Ajatellaan että pahantahtoinen hakkeri hyökkää juuri nyt järjestelmääsi vastaan. Mitä konkreettista ikävää hän saa aikaan? Asiantuntijan vastaus kuuluu: “se riippuu”.
Jos tietoturva on järjestelmässä jätetty hoitamatta tai sitä on hoidettu leväperäisesti, voi ikävän määrä saada hien nousemaan pintaan. Tilanne on toinen jos tietoturvaan on kiinnitetty edes nimeksi huomiota. Kenties kehitystiimissä on tietoturvasta valveutunut kehittäjä, joka katsoo tietoturvan perään. Ehkä asiakkaiden vaatimuksista järjestelmään on lisätty liuta tietoturvaominaisuuksia. Kylkeen on vielä ostettu rautaa rajalle.
Mitä hakkeri tällöin saa aikaan? Ainut tapa saada se selville on tehdä järjestelmään tietoturvatestaus. Mikään tietoturvaprosessi tai -työkalu ei täysin korvaa valkohattuhakkerin tekemää tietoturvatestausta. Tietoturvatestaus on siksi tärkeä osa turvallisia kehitysprosesseja, esimerkiksi teollisuuden tietoturvastandardia IEC 62443-4-1.
Tietoturvatestauksessa järjestelmää vastaan hyökätään kyberrikollisen tavoin, pyrkien järjestelmällisesti löytämään kaikki tietoturva-ongelmat. Järjestelmän tarkastelu hyökkääjän vinkkelistä tuo esiin ongelmat jotka jäävät puolustajilta huomaamatta. Tehdyt havainnot ovat konkreettisia ja niiden korjauksen priorisointi on siksi helppoa.
Mihin järjestelmään testaus kannattaa tehdä?
Minkä järjestelmän hajoaminen tai minkä tietojen vuotaminen/katoaminen aiheuttaisi yritykselle suurinta vahinkoa? Jos yrityksellä on julkisesti saatavilla olevia palveluita, ne kannattaa testata. Saatavuuden ansiosta ne joutuvat poikkeuksetta hyökkäysten kohteeksi.
Tyypillisiä kohdejärjestelmiä ovat web-sovellukset, mobiilisovellukset, langattomat verkot, IoT laitteet, palvelimet, sekä sisä- ja ulkoverkot.
Kuinka laaja testaus kannattaa tehdä?
Testauksen laajuus riippuu kohdejärjestelmän luonteesta ja laajuudesta. Keskikokoisesta web-sovelluksesta saadaan hyvät tulokset 5 päivän testauksella.
Milloin tietoturvatestaus kannattaa tehdä?
Testaus kannattaa tehdä ennen kohdejärjestelmän käyttöönottoa, tai kun järjestelmään on tullut perustavanlaatuisia muutoksia.
Mitä tietoturvatestauksen jälkeen?
Testauksen jälkeen sinulla on käsissäsi raportti josta selviää järjestelmäsi tietoturvan taso, löydetyt tietoturva-aukot sekä priorisoidut korjaussuositukset. Raportin pohjalta voit arvioida kannattaako sinun pienentää riskejä parantamalla testatun järjestelmän tietoturvan tasoa, vai kannattaako sinun kenties keskittyä muihin järjestelmiin.
Lopuksi on syytä muistuttaa, että edes tietoturvatestaus ei anna täyttä varmuutta järjestelmän hakkerinpitävyydestä. Realistisempaa arviota ei kuitenkaan ole saatavilla. Kovimpaan tietoturvaan päästään käyttämällä testausta muiden tietoturvaponnisteluiden laadun varmistajana.
Molemmat Oy testaa järjestelmäsi ammattitaidolla. Toimitamme havainnot korjausohjeiden kanssa ja halutessasi myös korjaamme ne puolestasi. Ota yhteyttä tai tee suoraan tarjouspyyntö!