Penetrační test jako hloubkový bezpečnostní audit od nezávislé společnosti dokáže odhalit slabá místa v systému, která mohou být zneužita ke kybernetickým útokům, krádežím dat a podvodům. Ačkoli jde o metodu, která je v IT využívaná již mnoho let a v poslední době prožívá doslova boom, tuzemské společnosti ji stále příliš nepoptávají.

Že nejde o metodu všeobecně známou ani mezi zaměstnanci IT oddělení firem, dokazují jejich rozdílné představy, co to vlastně penetrační test znamená. Desetina respondentů průzkumu uvedla, že to je „trochu lepší antivirus“, který prověří firemní síť a odhalí případný útok. Více než 5 % dotazovaných si dokonce plete pene­trač­ní test s penetračním nátěrem. Správnou definici penetračního testu znalo jen 37 % respondentů průzkumu. Penetrační testy jsou přitom velmi důležité i kvůli stále přísnějším nárokům na zabezpečení firem ze strany Evropské unie. Řady firem se dotkne bezpečnostní směrnice NIS2, která klade zvýšené nároky na kybernetickou bezpečnost klíčových firem i jejich dodavatelského řetězce.

„Firmy si většinou představují kybernetickou bezpečnost tak, že nakoupí nějaké antivirové nebo EDR řešení, firewall a jako celek pak průběžně aktualizují. Penetrační test představuje pohled z druhé strany. Je to vlastně pokus o útok, který si firma objedná sama na sebe. Tímto simulovaným útokem na organizaci mapuje její bezpečností slabiny, a to nejen na infrastrukturní, ale i aplikační úrovni. Klient pak může další investice do informační bezpečnosti zacílit na svoje skutečně slabé stránky a nemusí utrácet za zbytečně robustní a obecněji zaměřené řešení,“ říká Adam Paclt, spoluzakladatel společnosti APPSEC.

Adam Paclt

Citovaného průzkumu se ve dnech 27. až 31. července 2023 zúčastnilo 1050 zaměstnanců IT oddělení firem v České republice.