LexDigital

Testy penetracyjne w perspektywie RODO

​Przy analizie zgodności naszej organizacji z rozporządzeniem RODO warto zwrócić uwagę na techniczne środki bezpieczeństwa przetwarzania danych osobowych. W erze technologii nie powinniśmy bagatelizować zagrożeń wynikających z użytkowania skomplikowanych systemów informatycznych i na bieżąco testować podatność naszych wewnętrznych i zewnętrznych systemów. Skutecznym narzędziem umożliwiającym zdiagnozowanie luk i błędów są testy penetracyjne nazwane również pentestami.

Testy penetracyjne w perspektywie RODO

Przy analizie zgodności naszej organizacji z rozporządzeniem RODO warto zwrócić uwagę na techniczne środki bezpieczeństwa przetwarzania danych osobowych. W erze technologii nie powinniśmy bagatelizować zagrożeń wynikających z użytkowania skomplikowanych systemów informatycznych i na bieżąco testować podatność naszych wewnętrznych i zewnętrznych systemów. Skutecznym narzędziem umożliwiającym zdiagnozowanie luk i błędów są testy penetracyjne nazwane również pentestami.

Kara nałożona przez UODO za luki w systemie

Jak dotkliwie może się skończyć bagatelizowanie technicznych wymagań bezpieczeństwa IT, przekonała się spółka Morele.net. Wyciek danych osobowych ponad 2 mln klientów sklepu, spowodowany źle zabezpieczonymi serwerami, poskutkował nałożeniem przez UODO rekordowej kary wysokości 2,8 mln złotych. Spółka próbowała odwołać się od decyzji deklarując, że nie powinna brać odpowiedzialności za atak hackerski, którego padła ofiarą. Prezes Urzędu Ochrony Danych Osobowych podtrzymał jednak decyzję karząc Morele.net za niewystarczające zabezpieczenia organizacyjne i techniczne.

Cytując decyzję na stronie UODO:

"[...]W toku postępowania ustalono, że do naruszenia doszło także z uwagi na nieskutecznie monitorowanie potencjalnych zagrożeń. Postępowanie wykazało także inne uchybienia, jednak to brak odpowiednich środków technicznych (niewystarczające zabezpieczenia)  i organizacyjnych (dotyczących  monitorowania potencjalnych zagrożeń, związanych z nietypowymi zachowaniami w sieci) przesądził o nałożeniu kary. [...]"

W powyższym uzasadnieniu widzimy jak na dłoni potrzebę "monitorowania potencjalnych zagrożeń, związanych z nietypowymi zachowaniami w sieci" - właśnie w tym mają pomóc nam testy penetracyjne.

Jakie zapisy RODO motywują regularne badanie odporności systemów bezpieczeństwa IT?

Dbanie o odpowiedni poziom bezpieczeństwa sieci, aplikacji webowych oraz innych elementów infrastruktury IT zapewnia Twojej organizacji spokój oraz zmniejsza ryzyko udanego ataku hackerskiego. Przyglądając się poniższym zapisom RODO łatwiej będzie nam umotywować regularne prowadzenie testów penetracyjnych.

W art 32 RODO czytamy:

"1. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku: [...]

d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

2. Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych."

Urząd publikując swoją decyzję dotyczącą spółki Morele.net powołał się również na art. 5 ust. 1 lit f RODO:

"1. Dane osobowe muszą być: [...]

f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”)."

Jak widać w powyższych zapisach istotne jest nie tylko zapewnienie odpowiedniego poziomu bezpieczeństwa ale również "regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania"


Czym są testy penetracyjne (pentesty)?

Testy penetracyjne to jedne z podstawowych testów bezpieczeństwa systemów informatycznych. Pentesty polegają na zleceniu lub samodzielnym symulowaniu ataków hackerskich na wszelkie istniejące elementy infrastruktury it. Testy penetracyjne powinny sprawdzić podatność sieci, punktów dostępowych, stacji roboczych, aplikacji webowych i mobilnych oraz wszelkich usług których przejęcie lub nieautoryzowany dostęp, może mieć negatywne dla organizacji skutki (jak np. wyciek danych). W zależności od potrzeb oraz skomplikowania infrastruktury, testy penetracyjne prowadzone są w oparciu o podstawowe lub rozwinięte dane dostępowe, według określonego scenariusza lub bez jakiejkolwiek wiedzy na temat atakowanego systemu.

Wyróżniamy trzy rodzaje testów penetracyjnych:

Black box testing (testy czarnej skrzynki) - Osoba przeprowadzająca test nie posiada żadnych informacji na temat aplikacji czy systemu. Ten typ testu najlepiej odwzorowuje losowy atak z sieci internetu

Grey box testing (testy szarej skrzynki) - Osoba atakująca posiada pewne informacje na temat infrastruktury organizacji. Symulacja ta może dotyczyć scenariusza w którym ktoś przejął podstawowy dostęp do systemu lub stacji roboczej (np. w trakcie wizyty w firmie)

White box testing (testy białej skrzynki) - Pentester posiada pełną wiedzę na temat systemu oraz najwyższy poziom dostępu. Często udostępniana jest również dokumentacja lub kod źródłowy atakowanej aplikacji. Ten rodzaj testu symuluje atak wewnętrzny i pomaga ocenić ryzyko w przypadku współpracy kogoś z naszej firmy.


Symulowane ataki są realizowane przede wszystkim w celu sprawdzenia podatności naszych rozwiązań oraz odnalezienia luk w aktualnych systemach zabezpieczeń. Naturalną konsekwencją zdiagnozowania problemów jest wdrożenie lepszych zabezpieczeń. Często używane w firmie usługi i aplikacje na pierwszy rzut oka posiadają wystarczający poziom bezpieczeństwa. Z perspektywy osób korzystających z systemów wszystko może wyglądać prawidłowo i szczelnie, jednak stosowane przez nas zabezpieczenia dla doświadczonego włamywacza (pentestera) okazują się trywialne. Dopiero w trakcie testów penetracyjnych uwidaczniane są błędy i luki umożliwiające przejęcie kontroli nad systemem lub kradzież danych. Testy penetracyjne potrafią skutecznie zdiagnozować podatności środowiska IT tak aby podjąć odpowiednie działania zanim dojdzie do prawdziwego ataku.

Kto przeprowadza pentesty?

Testy penetracyjne są zazwyczaj zlecane profesjonalnej firmie zajmującej się bezpieczeństwem IT. Firmy takie zatrudniają doświadczonych pentesterów badających systemy pod kątem podatności na różnego rodzaju ataki. Umiejętności oraz doświadczenie specjalistów w połączeniu z odpowiednio dobranymi scenariuszami i wewnętrzną analizą płaszczyzn na których występuje ryzyko - da nam najbardziej odpowiedni plan realizacji takiego projektu.

Twoja firma potrzebuje pomocy w kompleksowym zaplanowaniu takiego projektu? Skontaktuj się nami.

Jeżeli wewnątrz naszej organizacji posiadamy dział bezpieczeństwa IT, w jego składzie z pewnością powinny znaleźć się osoby posiadające wiedzę z zakresu metodologii testów penetracyjnych. Posiadając taki dział pentesty możemy zlecieć i zaplanować wewnętrznie, pamiętajmy jednak, że testowanie systemów bezpieczeństwa przez osoby ja tworzące nie zawsze daje najlepsze efekty.

Jaka powinna być częstotliwość testów penetracyjnych?

W dynamicznym środowisku nasze usługi wciąż się rozwijają a systemy ewoluują, pojawiają się nowe elementy i zagrożenia, a przestępcy nie próżnują. Tylko regularne testowanie podatności, szczególnie w przypadku wprowadzania nowych części infrastruktury, da nam pewność oraz będzie argumentem obronnym w przypadku wystąpienia naruszenia czy wycieku danych. Nigdy nie będziemy w stanie przewidzieć wszystkich możliwych scenariuszy oraz przygotować się każdą formę ataku, możemy jednak zredukować zagrożenie do minimum planując i realizując cykliczne testy wszystkich podatnych części systemu. Ciężko jest ocenić i jednoznacznie odpowiedzieć na pytanie: Jak często powinniśmy testować nasz system? Z pewnością im szybciej się rozwijamy i im więcej danych przetwarzamy tym częściej powinniśmy realizować testy penetracyjne.


Czynnik ludzki

Pamiętajmy, że stałym elementem naszego systemu są nie tylko urządzenia i oprogramowanie ale również ludzie. Często okazuje się, że to oni są najsłabszym ogniwem w organizacji i odpowiednie przeszkolenie pracowników może być najskuteczniejszą formą ochrony. Znajomość popularnych metod ataków socjotechnicznych oraz przetestowanie tych scenariuszy w naszej firmie może okazać się kluczowe.

Backupy, przerwy w dostępie do systemu oraz konsekwencje symulowanych ataków

Jeżeli zdecydujemy się na przeprowadzenie testów penetracyjnych, których celem może być zablokowanie dostępu, zniszczenie lub zaszyfrowanie danych oraz innych części składowych naszych usług, nie zapomnimy o konsekwencjach dla płynności funkcjonowania naszej firmy. Większość profesjonalnych pentesterów nie powinna przypadkiem usunąć naszej bazy danych, aczkolwiek zawsze warto przed rozpoczęciem symulowanych ataków poinformować zespół i wykonać należyte kopie bezpieczeństwa.

Jak wybrać odpowiednią firmę prowadzącą testy penetracyjne?

Na rynku istnieje szereg firm oferujących usługi pentestów, przed podjęciem decyzji o współpracy, warto sprawdzić czy dana firma posiada najbardziej uznane certyfikaty poświadczające techniczne umiejętności:

  • OSCP (Offensive Security Certified Professional) - dotyczy ogólnych technologicznych kompetencji związanych z pentestami
  • OSWP (Offensive Security Wireless Professional) - dotyczy głównie testowania sieci bezprzewodowych
  • eWPT (eLearnSecurity Web application Penetration Tester) - dotyczy głównie testowania aplikacji webowych

W doborze odpowiedniego partnera, planowaniu scenariuszy oraz koordynowaniu całego projektu pomagają takie firmy jak nasza.

Jeżeli poszukujesz profesjonalnego wsparcia w ochronie danych osobowych umów się z nami na darmowe konsultacje.

Polecane

4 lata RODO

4 lata RODO

25 maja minęła czwarta rocznica stosowania RODO. To dobry moment na “update” co do aktualnych wyzwań w obszarze ochrony danych osobowych. Wraz z Zespołem LexDigital przygotowaliśmy dla Was krótki materiał! Życzymy wszystkiego bezpiecznego z okazji RODO-urodzin!

Testy penetracyjne w perspektywie RODO

Testy penetracyjne w perspektywie RODO

​Przy analizie zgodności naszej organizacji z rozporządzeniem RODO warto zwrócić uwagę na techniczne środki bezpieczeństwa przetwarzania danych osobowych. W erze technologii nie powinniśmy bagatelizować zagrożeń wynikających z użytkowania skomplikowanych systemów informatycznych i na bieżąco testować podatność naszych wewnętrznych i zewnętrznych systemów. Skutecznym narzędziem umożliwiającym zdiagnozowanie luk i błędów są testy penetracyjne nazwane również pentestami.

DPIA (Data Protection Impact Assessment) - Ocena skutków dla ochrony danych

DPIA (Data Protection Impact Assessment) - Ocena skutków dla ochrony danych

Kiedy administrator danych ma obowiązek przeprowadzenia oceny skutków dla ochrony danych? Jaka jest rola Inspektora ochrony danych w procesie wykonywania oceny skutków dla ochrony danych? Wytyczne Urzędu Ochrony Danych Osobowych w zakresie rodzajów operacji przetwarzania danych wymagających DPIA? W jaki sposób należy przeprowadzić DPIA?

Popularne

Wdrożenie ISO

Wdrożenie ISO

Uzyskanie certyfikatu zgodności z wytycznymi międzynarodowych norm ISO 9001, ISO/IEC 27001 czy ISO 22301 jest dowodem stosowania przez wybraną organizację wysokich standardów zarządzania oraz troski o bezpieczeństwo informacji czy ochronę danych. Pozwala m.in. na efektywne wykorzystywanie zasobów, wyeliminowanie lub ograniczanie sytuacji kryzysowych, optymalizację przebiegu procesów, umacnianie kontaktów z klientami, czy podnoszenie jakości świadczonych usług i produkowanych wyrobów.

Kontakt z UODO

Kontakt z UODO

W każdej organizacji przetwarzającej znaczące ilości danych osobowych kontakt z organem nadzorczym jest nieunikniony. Utrzymywanie odpowiednich relacji, wysokiego poziomu merytorycznego korespondencji oraz spełnianie wymogów proceduralnych ma bezpośredni wpływ na wynik spraw i postępowań. Profesjonalna komunikacja może często skrócić czas potrzebny na podjęcie decyzji przez Urząd, pomaga uchronić się od kar i problemów prawnych.

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

Biofarm Fibar Group Apart Wykop.pl PhytoPharm Veolia Cuf-podatki Netguru GetHero Tesgas GPD Agency Golden Submarine Pixers Pearson UEP