Penetrační testeři odhalují slabiny ministerstva

Willi Lazarov z Ústavu telekomunikací Fakulty elektrotechniky a komunikačních technologií VUT v Brně ČT ukázal, jak jednoduše lze získal u špatně zabezpečené aplikace seznam uživatelů, jejich přihlašovací jména a dokonce i hesla. Stačilo změnit několik slov v adresním řádku a aplikace odhalila své slabiny.

V tomto případě ovšem nebyla v ohrožení citlivá data skutečných lidí. Jde o speciální aplikaci, s jejíž pomocí učí Lazarov studenty na brněnském VUT takzvaný etický hacking. Úkolem etického hackera, známého také jako penetrační tester, je hledat pomyslné otevřené dveře, kterými se do systémů nabourávají kybernetičtí útočníci.

„Cílem je ty zranitelnosti odhalit, popsat a nahlásit, aby byly správně odstraněny a předešlo se právě potenciálnímu útoku ze strany aktérů hrozeb,“ říká Lazarov.

Reagovat je třeba hned

Ministerstvo pro místní rozvoj spustilo tento program jako první orgán státní správy v Česku. „Máme na starosti i veřejné zakázky a monitorovací systém na evropské peníze. To znamená, že bezpečnost je pro nás zásadní. A bug bounty program je jeden z nástrojů, jak relativně levným způsobem můžeme získat expertízu právě zvenku,“ vysvětlila vrchní ředitelka sekce IT na ministerstvu Eva Pavlíková.

Podle míry závažnosti odhalených chyb vyplácí ministerstvo buď pět set, anebo tisíc eur. Výzkumníci je nahlašují přes zabezpečenou platformu. Dodržet musí řadu podmínek. „Například to, aby nedošlo k narušení fungování organizace. Etičtí hackeři musí sbírat důkazy o tom, jak provedli svůj výzkum, své testování,“ uvedla analytička kybernetické bezpečnosti společnosti PwC a Institutu mezinárodních studií FSV UK Lucie Kadlecová.

Podle ní je klíčové, aby v případě odhalení chyby zareagovala dotčená instituce hned a co nejrychleji chybu odstranila.