Опасности несогласованного пентеста
Андрей Козлов, Chief Information Security Officer компании Offbox Cybersecurity, подчёркивает:
"Компании часто сталкиваются с так называемыми 'добровольными' хакерами, которые сообщают об уязвимостях. На первый взгляд это выглядит благородно, но такие действия нарушают закон, этику и могут привести к серьёзным последствиям для бизнеса."
Ключевые риски:
Во многих странах, включая Узбекистан, несанкционированный доступ к системам регулируется законодательством. Например, Статьи 2782 УК РУз “Незаконный (несанкционированный) доступ к компьютерной информации”, 2784 “ Модификация компьютерной информации”, 2786 “Создание, использование или распространение вредоносных программ” ( с целью несанкционированного уничтожения, блокирования, модификации, копирования или перехвата информации), предусматривают ответственность за неправомерный доступ к охраняемой законом информации. Нарушителям грозят штрафы (до 100 БРВ), исправительные работы или лишение свободы от 1 года, в зависимости от тяжести последствий.
Дополнительная опасность
Хакеры также зачастую могут использовать данные в корыстных целях. Высока вероятность шантажа, утечки информации или передачи данных третьим лицам.Также угрозе подвергается целостность всей компьютерной системы организации ( ст. 2785 “Компьютерный саботаж” ). Взломщики угрожают выводом из строя служебного компьютерного оборудования, разрушением компьютерной системы.
Этичный пентест: стандарт безопасности и сертификация
Этичный пентест проводится исключительно с согласия владельца системы. Международный стандарт PTES (Penetration Testing Execution Standard) устанавливает чёткие требования к проведению таких тестов.
Ключевые аспекты:
Согласование всех действий. Без разрешения владельца системы любые действия считаются незаконными.
Прозрачность и документирование. Профессиональные компании предоставляют полный отчёт и согласовывают каждый шаг с заказчиком.
Гарантия конфиденциальности.
Сертификаты и компетенции, которыми должны обладать компании-профессионалы, предлагающие услуги тестирования на проникновение:
Сертификаты специалистов:
CEH (Certified Ethical Hacker): базовый уровень для понимания методологий взлома.
OSCP (Offensive Security Certified Professional): продвинутый уровень с акцентом на практическое применение навыков.
GPEN (GIAC Penetration Tester): сертификат, подтверждающий квалификацию в области тестирования на проникновение.
CISSP (Certified Information Systems Security Professional): подтверждает общий уровень экспертизы в области информационной безопасности.
Соответствие международным стандартам:
ISO/IEC 27001: системы управления информационной безопасностью.
PTES (Penetration Testing Execution Standard): стандарты выполнения пентестов.
Компетенции компании:
Наличие опыта работы с крупными организациями и выполнения проектов различной сложности.
Обеспечение полного цикла услуг: от анализа рисков до устранения выявленных уязвимостей.
Гарантия конфиденциальности и защита данных на всех этапах работы.
Эти выгоды делают сертифицированные компании лучшим выбором для проведения пентестов, особенно для организаций, стремящихся к надежной защите и долгосрочной репутации.
Что делать, если к вам обратились хакеры?
Если ваша компания столкнулась с несанкционированным пентестом:
Не вступайте в сотрудничество. Не признавайте легитимность действий злоумышленников.
Соберите доказательства. Сохраните переписку, сделайте скриншоты, аудиозаписи и любые другие материалы.
Обратитесь в правоохранительные органы. Это поможет предотвратить дальнейшие атаки и наказать виновных.
Проанализируйте инцидент. Проверьте системы на наличие следов вмешательства.
Укрепите безопасность. Устраните выявленные уязвимости и пересмотрите внутренние политики реагирования на инциденты.
Советы адвоката
Юрист Холбаев Нодир Тахирович подчёркивает важность соблюдения законодательства и предлагает следующие рекомендации для компаний:
Политика реагирования на несогласованный пентест ( попытку взлома )
Организации должны заранее подготовить алгоритм действий в случае, если кто-либо попытается протестировать их системы без разрешения (хакерской атаке). Руководству компании необходимо собрать доказательную базу и обращаться в правоохранительные органы
Заключение соглашений с подрядчиками
Контракты на проведение пентестов должны содержать чёткие условия: сроки, объём работ и ответственность сторон. Такой подход минимизирует риски.
Сбор доказательной базы
В случае получения отчёта без согласования с тестировщиком,необходимо зафиксировать все детали обращения, чтобы при необходимости предоставить их правоохранительным органам. Копируйте переписку ( экспорт переписки, скриншоты, записывайте на диктофон разговор, если он происходит в аудио формате). Все эти доказательства вам понадобятся при обращении с заявлением к регуляторам и в органы. А в органы, в любом случае, при подобных происшествиях, я советую обращаться, так как это не даст злоумышленникам действовать безнаказанно и убережет вашу компанию от дальнейших рисков.
Почему важно выбирать профессионалов?
Проведение пентестов сертифицированными специалистами не только снижает риски, но и даёт компании ощутимые преимущества:
Соответствие законодательству. Работы проводятся строго в рамках закона.
Качество и результативность. Сертифицированные специалисты выявляют как технические, так и организационные уязвимости.
Прозрачность процесса. Каждый этап согласовывается с заказчиком, а результаты тестирования оформляются в понятный отчёт.
Профессиональные компании,работают по международным стандартам и обеспечивают защиту, на которую можно положиться.
Заключение
Несогласованные пентесты ( хакерские атаки) - это не решение проблемы, а создание новых. Они нарушают законы, угрожают безопасности и подрывают доверие. Чтобы защитить свой бизнес и репутацию, выбирайте профессионалов, которые соблюдают законодательство, имеют необходимые сертификаты и придерживаются этических стандартов.
Подготовила: Камилла Файзиева
