Hlavní strana -> Časopis IT Systems -> Rok 2025 -> IT Systems 7-8/2025 -> Finanční instituce musejí provádět pokročilejší penetrační testy TLPT
IT SYSTEMS 7-8/2025 , Banky a finanční organizace , IT Security

Finanční instituce musejí provádět pokročilejší penetrační testy TLPT

aby vyhověly nařízení DORA

Marek Kovalčík

Evropské nařízení DORA požaduje po finančních institucích vysokou úroveň kybernetické odolnosti a řízení ICT rizik. Je proto nutné, aby pravidelně prováděly Threat-Led Penetration Testing, inteligenčně řízené testy vedené na základě hrozeb, které simulují schopnosti pokročilých organizovaných kybernetických útočníků. Cílem není jen nalézt technické zranitelnosti, ale ověřit schopnost celé organizace odhalit, reagovat a obnovit provoz po útoku, který odpovídá reálnému a koordinovanému scénáři útoku.


Na rozdíl od standardního penetračního testu simuluje Threat-Led Penetration Testing (TLPT) útok v celé jeho komplexitě, včetně průniku, laterálního pohybu, eskalace oprávnění, persistence a exfiltrace dat. Dále je řízen podle aktuálních hrozeb (threat intelligence) a specifických sektorových scénářů a zahrnuje koordinační fázi s definovaným rozsahem, pravidly zásahu, identifikací kritických systémů a stanovením cílů testu.

Z technického pohledu vyžaduje TLPT detailní znalosti útočných vektorů a schopnost napodobit metody reálných útočníků, kteří využívají zero-day zranitelnosti, sociální inženýrství, obfuskaci kódu nebo útoky na dodavatelské řetězce.

Jaké požadavky stanovuje DORA v souvislosti s TLPT? 

Testování musí být prováděno na základě aktuálního profilu hrozeb, nikoli jako univerzální scénář. Test se musí týkat kritických funkcí a systémů, jejichž výpadek by mohl ohrozit stabilitu služeb. Organizace musí zapojit externí, nezávislé a kvalifikované testery. Výsledky musí vést k implementaci nápravných opatření a případnému retestování.
Instituce, které podléhají regulaci DORA, budou muset splňovat požadavky jak na frekvenci testování, tak na jeho dokumentaci a reportování vůči příslušnému dozorovému orgánu (např. ČNB, ECB). Fáze aktivního red-team testování musí trvat minimálně 12 týdnů. Tato doba je nezbytná k napodobení skrytých aktérů hrozeb.

Jaké jsou požadavky na testovací týmy?

DORA klade důraz i na kvalitu a kvalifikaci subjektů provádějících pokročilé testy. Testeři musejí splňovat přísná kritéria, např. musí jít o renomované odborníky, s prokázanými technickými a organizačními schopnostmi a specifickými znalostmi, testeři musejí být certifikováni a absolvovat nezávislé audity či potvrzení o řádném řízení rizik při testování a musejí mít adekvátní pojištění odpovědnosti pro případ způsobených škod.
Pokud by instituce chtěla využít vlastní interní red team musí získat chválení regulátora a zajistit organizační nezávislost interního týmu (zamezit střetu zájmů). Operativní informace o hrozbách pro scénář musí dodat externí poskytovatel.

Jak testování probíhá v praxi?

  1. Reconnaissance: identifikace cílové aplikace a připojení k interní síti. Shromažďování informací o cílovém systému, jako jsou IP adresy, záznamy DNS a další metadata.
  2. Footprinting: analýza dostupných informací o aplikaci a přidružených systémech. Určení dostupných služeb, verzí a dalších informací.
  3. Sniffing: odposlouchávání a sběr přenášených dat za účelem identifikace zranitelností vedoucích k úniku dat.
  4. Skenování: skenování sítě pro identifikaci aktivních hostů a portů. Skenování konkrétních aplikačních služeb, jako jsou API, GUI.
  5. Enumerace: identifikace uživatelských účtů a skupin v systému. Určení dostupných funkcí a oprávnění v aplikaci.
  6. Analýza zranitelností: skenování a analýza identifikovaných zranitelností v aplikaci. Hodnocení zabezpečení operačního systému, databáze a dalších komponent. Budeme používat nástroje jako qualys, nessus, burp suite a další standardní automatické a manuální nástroje pro identifikaci zranitelností.
  7. Exploitace: pokus o využití identifikovaných zranitelností k získání neoprávněného přístupu nebo úniku informací. Simulace útoků na prostředí aplikace.
  8. Post-exploitace: pokračování průzkumu prostředí po získání přístupu. Shromažďování dalších informací a pokusy o eskalaci oprávnění.
  9. Reporting: sestavení podrobné zprávy obsahující identifikované slabiny, doporučení pro zlepšení a důkazy provedených testů. Doručení výsledků zprávy odpovědným osobám v organizaci.
  10. Cleanup: v případě úspěšného přístupu přijímání opatření k minimalizaci možných důsledků. Smazání stop testování a obnovení systému do jeho původního stavu.
Firmy, které podléhají evropské regulaci DORA, dnes stojí před zásadní výzvou – připravit se na novou éru v oblasti kybernetické bezpečnosti. Zajištění souladu s požadavky na Threat-Led Penetration Testing znamená nejen technickou náročnost testů samotných, ale také důkladnou znalost regulatorních pravidel, koordinaci s dozorovými orgány a schopnost reagovat na rychle se vyvíjející hrozby. Připravit se na tuto realitu je zásadní pro všechny instituce, které chtějí obstát v rostoucích nárocích evropského finančního prostředí.
 
Marek Kovalčík
Autor je odborníkem na kyberbezpečnost firem z poradenské společnosti BDO.
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.