Bezpečnost je u mnoha lidí vnímána jako drahá záležitost. Ne každá firma si může dovolit pravidelné penetrační testy – hloubkové, systematické bezpečnostní testy, které provádějí etičtí hackeři s cílem nalézt bezpečnostní zranitelnosti ve vašem webu, infrastruktuře nebo aplikaci.
Jako ale mnoho věcí, ani bezpečnost není binární záležitost.
Důvod první: Je drahé mít nezabezpečený web
I když mnoho lidí vnímá, že řešit bezpečnost a najímání etických hackerů jsou náklady navíc, nemít bezpečný web a infrastrukturu jsou také náklady. Hack už není jen reputační riziko, ale přímé náklady, které nelze jednoduše obejít.
Hack je třeba řešit
Máte-li web a někdo jej nahradí hacknutou verzí, která je buď jiný web nebo obsahuje škodlivý kód, je třeba zaplatit lidi, kteří zjistí, co se stalo a jak byl web změněn, a zároveň zalátat díru, kterou se hackeři dostali dovnitř. I při nejjednodušší variantě – obnova webu ze zálohy – je třeba identifikovat vektor útoku a díru opravit, jinak bude web hacknutý za pár hodin znovu. Pokud není možné obnovit zálohu (například se data častěji mění), je třeba najít aktuální data. Tato práce je ve většině případů náročnější a dražší než zaplacení hackerů za nalezení bezpečnostních zranitelností.
Někteří útočníci chtějí výpalné
Kategorie škodlivého kódu zvaná ransomware vám zašifruje data a pustí vás k nim, pouze když zaplatíte výpalné. Mnohý ransomware zároveň zašifruje data i v době zálohování, takže záloha je stejně nepoužitelná. Výpalné se může pohybovat v tisících eur (zaplacených většinou v kryptoměně Bitcoin nebo Monero). Tím však problém nekončí – je třeba dešifrovat soubory a znovu identifikovat, jak vůbec k infekci škodlivým kódem došlo.
Únik osobních údajů
Máte-li v systému osobní údaje nebo peníze, máte zodpovědnost za škodu a navíc se vás týkají různé pokuty související s GDPR. I když nejlepší strategie je nemít osobní údaje, ne vždy je to možné – například eshop, který doručuje objednávky potřebuje vědět adresu klienta.
Důvod druhý: Bezpečnost není statická
Vaši vývojáři možná tvrdí, že máte všechno bezpečné. Máte aktualizace, firewally, antiviry, zaplatili jste bezpečnostní produkty – měli byste být v pohodě. Možná jste dokonce zaplatili za penetrační test. Bezpečnost je však dynamická a nové bezpečnostní zranitelnosti se nacházejí pravidelně. To, co bylo bezpečné před třemi měsíci, už může být děravé jako známý francouzský sýr. Proto je zapotřebí řešení jako bug bounty program, které zranitelnosti identifikuje a pomáhá je odstraňovat průběžně.
Důvod třetí: I v bezpečnosti se dá zlepšovat
…a toto zlepšování nemusí být drahé. Nové standardy na ochranu DNS, boj proti e-mail spoofingu a spamu či šifrování přicházejí na trh pravidelně. Můžete je sledovat nebo můžete vypsat odměnu komukoli, kdo zjistí, že vaše bezpečnost není aktuální. Odměny za nekritické zranitelnosti mohou být nízké (v desítkách eur).
Malý web či velký – bezpečnost se vždy vyplatí
Hacktrophy používáme samozřejmě také na Hacktrophy. Ale zakladatelé Hacktrophy jej používají i na svých projektech. Bezpečnostní firmy Citadelo, Nethemba, používají Hacktrophy proto, aby jim nic neuniklo a byly stále zabezpečeny. Stovky párů očí šikovných hackerů motivovaných odměnami najdou více než jeden super chytrý bezpečnostní expert.
Zakladatel Hacktrophy Juraj Bednár má Hacktrophy dokonce na svém osobním blogu. Přestože se v IT bezpečnosti vyzná, hackeři mu stále pomáhají zlepšovat bezpečnost. Cena neřešení bezpečnosti je vyšší než těch pár odměn, které musel vyplatit. O své zkušenosti napsal článek.