Bezpečnosť je u mnohých ľudí vnímaná ako drahá záležitosť. Nie každá firma si môže dovoliť pravidelné penetračné testy – hĺbkové, systematické bezpečnostné testy, ktoré vykonávajú etickí hackeri s cieľom nájsť bezpečnostné zraniteľnosti vo vašom webe, infraštruktúre alebo aplikácii.
Ako mnoho vecí ale, ani bezpečnosť nie je binárna záležitosť.
Dôvod prvý: Je drahé mať nezabezpečený web
Aj keď veľa ľudí vníma, že riešiť bezpečnosť a platiť etických hackerov sú náklady navyše, nemať bezpečný web a infraštruktúru sú tiež náklady. Hack už nie je len reputačné riziko, ale priame náklady, ktoré nie je možné jednoducho obísť.
Hack treba riešiť
Ak máte web a niekto ho nahradí hacknutou verziou, ktorá je buď iný web alebo obsahuje škodlivý kód, je potrebné zaplatiť ľudí, ktorí zistia, čo sa stalo, ako bol web zmenený a zároveň zaplátať dieru, ktorou sa hackeri dostali dnu. Aj pri najjednoduchšej variante – obnova webu zo zálohy – treba identifikovať vektor útoku a dieru zaplátať, inak bude web hacknutý za pár hodín znova. Ak nie je možné obnoviť zálohu (napríklad sa údaje častejšie menia), je potrebné nájsť aktuálne dáta. Táto práca je vo väčšine prípadov náročnejšia a drahšia ako zaplatenie hackerov za nájdenie bezpečnostných zraniteľností.
Niektorí útočníci chcú výpalné
Kategória škodlivého kódu zvaná ransomware vám zašifruje dáta a pustí vás k nim iba keď zaplatíte výpalné. Mnohé ransomware zároveň zašifrujú dáta aj v čase zálohovania, takže záloha je rovnako nepoužiteľná. Výpalné sa môže pohybovať v tisíckach eur (zaplatených väčšinou v kryptomene Bitcoin alebo Monero). Tým však problém nekončí – treba dešifrovať súbory a znova identifikovať, ako vôbec k infekcii škodlivým kódom došlo.
Únik osobných údajov
Ak máte v systéme osobné údaje alebo peniaze, máte zodpovednosť za škodu a navyše sa vás týkajú rôzne pokuty súvisiace s GDPR. Aj keď najlepšia stratégia je nemať osobné údaje, nie vždy je to možné – napríklad eshop, ktorý doručuje objednávky potrebuje vedieť adresu klienta.
Dôvod druhý: Bezpečnosť nie je statická
Vaši vývojári možno tvrdia, že máte všetko bezpečné. Máte aktualizácie, firewally, antivíry, zaplatili ste bezpečnostné produkty – mali by ste byť v pohode. Možno ste dokonca aj zaplatili za penetračný test. Bezpečnosť je však dynamická a nové bezpečnostné zraniteľnosti sa nachádzajú pravidelne. To, čo bolo bezpečné pred tromi mesiacmi už môže byť deravé ako známy francúzsky syr. Preto je potrebné riešenie ako bug bounty program, ktoré zraniteľnosti identifikuje a pomáha odstraňovať priebežne.
Dôvod tretí: Aj v bezpečnosti sa dá zlepšovať
…a toto zlepšovanie nemusí byť drahé. Nové štandardy na ochranu DNS, boj proti e-mail spoofingu a spamu či šifrovania prichádzajú na trh pravidelne. Môžete ich sledovať alebo môžete vypísať odmenu komukoľvek, kto zistí, že vaša bezpečnosť nie je aktuálna. Odmeny za nekritické zraniteľnosti môžu byť nízke (v desiatkach eur).
Malý web či veľký – bezpečnosť sa vždy oplatí
Hacktrophy používame samozrejme aj na Hacktrophy. Ale zakladatelia Hacktrophy ho používajú aj na svojich projektoch. Bezpečnostné firmy Citadelo, Nethemba, používajú Hacktrophy preto, aby im nič neuniklo a boli stále zabezpečený. Stovky párov očí šikovných hackerov motivovaných odmenami si všimne viac ako jeden super šikovný bezpečnostný expert.
Zakladateľ Hacktrophy Juraj Bednár má Hacktrophy dokonca na svojom osobnom blogu. Aj keď sa v IT bezpečnosti vyzná, hackeri mu stále pomáhajú zlepšovať bezpečnosť. Cena neriešenia bezpečnosti je vyššia ako tých pár odmien, ktoré musel vyplatiť. O svojej skúsenosti napísal článok.