Trend digitalizace firemních operací a procesů má sklon podceňovat nová technologická rizika, kterým jsme vystavení. Při vývoji aplikací hraje velkou roli čas, za který jsou programátoři schopní práci dokončit. I proto vznikají softwarové zranitelnosti, kterých útočníci využívají.

„Ve větším výrobním podniku může vzniknout ekonomická ztráta přes padesát milionů korun za jediný den,“ varuje David Pícha ze společnosti Integra Czech Republic. „Setkal jsem se s podniky, které investovaly do kybernetické bezpečnosti velké prostředky, ale bohužel zcela nesprávně. Z pohledu vedení to vypadá, že mají zabezpečení na vysoké úrovni, ale v kybernetickém prostoru to tak nefunguje. Do bezpečnosti se musí investovat rozvážně a strategicky, aby se vyloučila slabá místa,“ dodává.

Pro příklad: firma s  obratem okolo 2,5 miliardy korun investuje zhruba deset milionů do nákupu IT technologií a služeb a dalších 3,5 milionů do kyberbezpečnosti. Do penetračních testů často vůbec neinvestuje, ačkoli náklady na ně by vyšly zhruba na dvě stě tisíc, tedy 1,48 % z celkových investic do informačních technologií a služeb. Penetrační testování stojí od padesáti do víc než tří set tisíc korun ‒ v závislosti na velikosti IT infrastruktury firmy, a tedy potřebného času lidské práce.

Penetrační testování, nazývané také etické hackování, je forma hodnocení IT bezpečnosti, která testuje počítačový systém, síť nebo softwarovou aplikaci, aby zjistila bezpečnostní chyby, které by útočník mohl zneužít.

Mezi šest hlavních důvodů, proč by každá firma měla provést penetrační test patří:

1. Ukáže sílu aktuálního zabezpečení
Pentest ukazuje vektory kybernetických útoků, které by mohly ovlivnit aktiva IT podniku, data, lidi nebo fyzické zabezpečení ‒ odhaluje tak, jak odolné je vaše IT zabezpečení proti hackerským útokům.

2. Předcházení kybernetickému útoku
Firma by měla vědět, jak důležitý je plynulý provoz IT infrastruktury ‒ kolik by ji stál hodinový, denní nebo týdenní výpadek. Pokud nezná odpovědi na tyto otázky, měla by najmout odborníka, který analyzuje současný stav kybernetické bezpečnosti. Výsledek analýzy poskytne nejen seznam prioritních cílů, kterých je třeba dosáhnout k zabezpečení podnikání, ale i případné finanční ztráty způsobené výpadkem.

3. Testování nových technologií
Nové produkty nebo technologie jsou jedním z hlavních cílů penetračních testů. Implementace do podniků provádějí většinou partnerské firmy, které se zaměřují na včasné a úspěšné provedení implementace. Druhý případ je například při koupi společnosti a migraci jejich IT, zde se otevírá spousta neznámých, které je potřeba otestovat.

4. Zkouška bezpečnostního týmu
Po provedení penetračních testů odhalíte, jak rychle a zda vůbec váš bezpečnostní tým takovou činnost zaznamená a jak se zachová. Může to být obzvlášť užitečné k vypracování plánu reakce na mimořádné situace, jako jsou hackerské útoky.

5. Reputace
Pokud jste správci jakýchkoliv citlivých dat externích firem nebo zákazníků, tak vám penetrační testy pomůžou předejít úniku informací a následnému poškození pověsti firmy. Ztráta důvěry často vede k poklesu příjmů i zisku.

6. Regulace a compliance
Společnosti jako jsou například úvěrové instituce a poskytovatelé platebních služeb jsou povinni penetrační testování provádět. Porušení takové povinnosti může znamenat pokutu, trestní odpovědnost, nebo i ztrátu oprávnění podnikat.