Naujausios
Norint atsakyti, būtina aiškiai suprasti skirtumus tarp pažeidžiamumų skenavimo ir įsilaužimų testavimo (angl. pentest) tiek techniniu, tiek atitikties požiūriu. Nors abi priemonės skirtos saugumo spragoms identifikuoti, jų tikslas, gylis ir suteikiama vertė organizacijai skiriasi iš esmės.
Šiame straipsnyje aptarsime, ko reikalauja pagrindinės reguliacinės sistemos, kuo skiriasi šie du metodai ir kaip organizacijos gali sukurti saugumo vertinimo programą, kuri ne tik atitiktų formalius reikalavimus, bet ir realiai stiprintų jų kibernetinį atsparumą.
Ką reikia žinoti apie ES reguliacijas ir direktyvas
Europoje veikiančioms organizacijoms kibernetinio saugumo reguliavimas tapo nebe pasirinkimu, o būtinybe. Skirtingos reguliacinės sistemos aiškiai įtvirtina reikalavimą ne tik turėti saugumo priemones, bet ir nuolat tikrinti jų veiksmingumą.
• TIS2 direktyva (angl. NIS2 Directive, liet. Tinklų ir informacinių sistemų saugumo direktyva), įsigaliojusi 2024 metais, nustato privalomus saugumo reikalavimus esminiams ir svarbiems subjektams visose ES valstybėse narėse. Direktyva įpareigoja organizacijas taikyti tinkamas ir proporcingas technines, operacines bei organizacines priemones rizikai valdyti, įskaitant reguliarius saugumo vertinimus ir testavimą.
• DORA (angl. Digital Operational Resilience Act, liet. Skaitmeninio operacinio atsparumo aktas), taikomas finansų sektoriaus subjektams nuo 2025 m. sausio, šiuos reikalavimus dar labiau konkretizuoja. Jame tiesiogiai numatyti grėsmėmis pagrįsti skverbimosi testai (angl. Threat-Led Penetration Testing, TLPT) kaip privalomas reikalavimas reikšmingiausioms finansų įstaigoms. DORA nustato, kad tokie testai turi būti atliekami ne rečiau kaip kas trejus metus, laikantis Europos bankininkystės institucijos (EBI) gairių ir metodologijos.
• ISO/IEC 27001 (angl. ISO/IEC 27001 Information Security Management Standard, liet. Informacijos saugumo valdymo sistemos standartas), ypač 2022 m. redakcija, taip pat akcentuoja nuolatinį saugumo vertinimą. Kontrolė A.8.8 apibrėžia pažeidžiamumų valdymą kaip privalomą procesą. Nors standartas tiesiogiai nereikalauja atlikti įsilaužimų testavimo, praktikoje auditoriai vis dažniau tikisi įrodymų, kad organizacija ne tik identifikuoja pažeidžiamumus, bet ir tikrina jų realų išnaudojamumą.
Nors šios reguliacinės sistemos skiriasi savo apimtimi ir detalumo lygiu, jų kryptis yra aiški: nebeužtenka formaliai identifikuoti pažeidžiamumų. Organizacijos turi gebėti įrodyti, kad jos realiai supranta savo rizikas ir aktyviai tikrina, kaip jų sistemos atlaikytų tikrą ataką. Tai reiškia, kad vien automatizuoto skenavimo dažniausiai nepakanka, vis dažniau tikimasi gilesnio, kontekstinio saugumo vertinimo, kurį suteikia įsilaužimų testavimas.
Būtent čia įsitraukia visapusiškas kibernetinio saugumo paslaugas teikianti įmonė – „Baltic Amadeus“, padedanti organizacijoms ne tik formaliai atitikti reguliacinius reikalavimus, bet ir realiai stiprinti savo kibernetinį atsparumą. Kibernetinio saugumo ekspertai taiko pažangias, praktika grįstas metodologijas, užtikrina, kad įsilaužimų testavimas atitiktų TIS2, DORA ir ISO 27001 lūkesčius.
Kodėl ne visos saugumo ataskaitos yra lygiavertės
Atitikties specialistams svarbu suprasti, kad pažeidžiamumų skenavimas ir įsilaužimų testavimas skiriasi ne tik techniniu gyliu, bet ir tuo, kaip jų rezultatai dokumentuojami bei vertinami audito ar reguliacinio patikrinimo metu.
Pažeidžiamumų skenavimas generuoja standartizuotas, automatizuotas ataskaitas, kuriose pateikiami nustatyti pažeidžiamumai, jų CVSS (Common Vulnerability Scoring System) balai ir rekomendacijos. Tokios ataskaitos yra naudingos kaip nuolatinio stebėjimo įrodymas – jos parodo, kad organizacija sistemingai tikrina savo infrastruktūrą ir reaguoja į žinomas grėsmes. Dėl to jos dažnai naudojamos audituose kaip įrodymas, kad vykdomas pažeidžiamumų valdymo procesas.
Tačiau šių ataskaitų ribotumas taip pat akivaizdus: jos neatsako į esminį klausimą – ar nustatyti pažeidžiamumai iš tikrųjų gali būti išnaudoti konkrečioje organizacijos aplinkoje. Kitaip tariant, jos rodo potencialią riziką, bet nepatvirtina realaus poveikio.
Įsilaužimų testavimo (pentest) ataskaita yra gerokai išsamesnė ir kokybiškai kitokia. Joje dokumentuojamas visas testavimo procesas: apimtis, prielaidos, naudotos metodologijos (pvz., OWASP, PTES, OSSTMM), atlikti veiksmai, radinių patvirtinimo eiga ir, svarbiausia, realių atakos scenarijų simuliacijos. Tai nėra tik pažeidžiamumų sąrašas, o kontekstualizuota analizė, parodanti, kaip ir kokiomis sąlygomis sistema galėtų būti pažeista.
Audito ir teisiniu požiūriu tokia ataskaita turi žymiai didesnę vertę. Ji leidžia pagrįsti, kad organizacija ne tik formaliai vykdo saugumo patikras, bet ir aktyviai vertina realias grėsmes, testuoja kontrolės priemonių veiksmingumą bei imasi veiksmų pagal nustatytas rizikas. Tai ypač svarbu griežtėjančio reguliavimo kontekste, kur vis daugiau dėmesio skiriama ne procesų egzistavimui, o jų efektyvumui.
Kada reguliuotojams nepakanka skenavimo?
Nors konkretūs reikalavimai skiriasi priklausomai nuo reguliacinės sistemos ir sektoriaus, yra aiškios situacijos, kai vien pažeidžiamumų skenavimo nepakanka atitikčiai pagrįsti. Tokiais atvejais reguliuotojai tikisi gilesnio, praktika pagrįsto saugumo vertinimo:
• Finansų sektoriuje, kuriam taikomas DORA, grėsmėmis pagrįsti įsilaužimų testavimai (TLPT) yra privalomas reikalavimas, o ne rekomendacija.
• Kai organizacija tvarko jautrius asmens duomenis – BDAR (Bendrasis duomenų apsaugos reglamentas) 32 straipsnis įpareigoja taikyti tinkamas technines priemones, o praktikoje tai dažnai reiškia ir įsilaužimų testavimą kaip jų veiksmingumo įrodymą.
• Po esminių IT architektūros pokyčių: diegiant naujas sistemas, API ar aukštos rizikos sprendimus, vien teorinis pažeidžiamumų sąrašas nebėra pakankamas.
• Po saugumo incidento, kai reguliuotojai vertina ne tik reakciją, bet ir tai, ar organizacija iš tiesų supranta bei valdo savo rizikas.
• Sertifikuojantis pagal ISO/IEC 27001 (Informacijos saugumo valdymo sistemos standartą), kai auditoriai vertina ne tik kontrolės priemonių egzistavimą, bet ir jų realų veiksmingumą.
Tokiose situacijose organizacijos turi gebėti parodyti ne tik „kas teoriškai gali būti pažeista“, bet ir „kas realiai gali būti išnaudota“. Būtent šį skirtumą ir užpildo profesionalus įsilaužimų testavimas.
Šiame etape pirmaujanti kibernetinio saugumo įmonė „Baltic Amadeus“ padeda organizacijoms sustiprinti savo poziciją reguliacinėje aplinkoje, pateikdama techniškai tikslias ir audito poreikiams pritaikytas ataskaitas. Remdamasi praktine patirtimi ir giliais saugumo tyrimais, komanda užtikrina, kad atliktas testavimas būtų suprantamas tiek IT specialistams, tiek auditoriams ar priežiūros institucijoms, o organizacija galėtų pagrįstai įrodyti savo saugumo brandą.
3 praktinės rekomendacijos atitikties komandoms
Efektyvi atitikties strategija turėtų remtis dviem vienas kitą papildančiais komponentais: reguliariu automatizuotu skenavimu kaip nuolatinio stebėjimo priemone ir periodiniu įsilaužimų testavimu (pentest) kaip gilaus, kontekstinio saugumo vertinimo būdu. Tokia kombinacija leidžia ne tik identifikuoti žinomas grėsmes, bet ir suprasti realų jų išnaudojamumą jūsų organizacijos aplinkoje.
1. Dažnis. Pažeidžiamumų skenavimas turėtų būti atliekamas reguliariai – kas savaitę arba kas mėnesį, priklausomai nuo infrastruktūros dinamikos. Pentest rekomenduojama vykdyti bent kartą per metus arba po kiekvieno reikšmingo sistemos pakeitimo. DORA taikomiems subjektams – pagal TLPT reikalavimus, t. y. ne rečiau kaip kas trejus metus.
2. Dokumentavimas. Abu procesai turi generuoti aiškius, struktūruotus ir archyvuojamus dokumentus: su datomis, taikytomis metodologijomis, testavimo apimtimi ir radinių patvirtinimo įrodymais. Tokia dokumentacija yra kritiškai svarbi audito metu, nes leidžia pagrįsti ne tik veiksmus, bet ir jų kokybę.
3. Taisymo ciklai. Reguliuotojai vis dažniau vertina ne tik pažeidžiamumų identifikavimą, bet ir jų valdymą. Tai reiškia, kad organizacijos turi dokumentuoti taisymo veiksmus, rizikos priėmimo sprendimus ir taikomas kontrolės priemones. Pakartotinis testavimas (retest) po taisymų tampa svarbiu brandžios saugumo ir atitikties programos požymiu.
Šioje srityje „Baltic Amadeus“ išsiskiria kaip patikima kibernetinio saugumo įmonė, padedanti organizacijoms sistemingai sujungti šiuos procesus į vieningą saugumo programą. Komanda neapsiriboja vien testavimu – ji padeda struktūruoti dokumentaciją, pasiruošti auditams ir užtikrinti, kad kiekvienas radinys būtų paverstas aiškiu, įgyvendinamu veiksmų planu.
Pažeidžiamumų skenavimas ir įsilaužimų testavimas atlieka skirtingas, tačiau papildančias funkcijas reguliacinės atitikties kontekste. Organizacijos, kurios siekia ne tik formaliai atitikti reguliavimo reikalavimus, bet ir realiai valdyti kibernetines rizikas, turėtų integruoti abu metodus į nuoseklią saugumo vertinimo programą. Toks požiūris ne tik stiprina saugumo poziciją, bet ir suteikia aiškius, dokumentuotus įrodymus, kurių reikalauja šiuolaikiniai reguliuotojai.
Užs. Nr. 593180
