A KÜRT Zrt. szerepel a sérülékenységvizsgálat lefolytatására jogosult gazdálkodó szervezetek jegyzékén

A kockázatmenedzsment részeként az első lépésben különböző módszerekkel mérjük fel a lehetséges kockázatokat. Ennek a feladatnak a része az informatikai rendszerek sérülékenységeinek megállapítása.

Az informatikai rendszer sérülékenységeinek, gyengeségeinek vizsgálatának célja, hogy megelőzzük a bizalmas és nélkülözhetetlen vállalati adatok elvesztését, ellopását, illetve megakadályozzuk az ezekhez való illegális hozzáférést.

Hallott arról, hogy tinédzserek felülírnak vállalati honlapokat? Vagy a konkurencia „sétál be” a céges adatbázisaiba? Vagy a bizalmas információk feltűnnek a folyosói pletykákban? Vagy ha a milliós értékeket előállító gyártósort vezérlő számítógépet az utcáról át lehet programozni? És mi van akkor, ha Ön mindezekről mit sem sejt?

A fenti esetek közös ismérve megbízóink tekintete, amikor eléjük tárjuk a vizsgálataink eredményét, amelyek messze alulmúlják legrosszabb várakozásaikat. A sérülékenységvizsgálat kíméletlenül leleplezi az informatikai rendszerekben nyitva hagyott biztonsági réseket, amelyeken a „támadó” besétálhat, hogy aztán kedve szerint garázdálkodjon a bizalmas adatainkkal.

Az informatikai rendszereket sokféle veszély fenyegeti. Hogy egy adott cég esetében ezek közül melyik milyen mértékű kockázatot jelent, az nagyban függ az informatikai rendszer biztonsági állapotától, sérülékenységétől. Ennek kiderítése, folyamatos figyelése minden, jelentős értéket előállító szervezet számára létfontosságú.

Miért létfontosságú a rendszeres sérülékenységvizsgálat?

Mert e vizsgálat adja a kiinduló információt a kockázatok kezeléséhez, a védekezéshez. Rámutat a rendszer gyenge pontjaira, a biztonsági résekre, amelyeken keresztül rosszindulatú támadók kárt okozhatnak. A technológiai, szervezeti, strukturális változások, a szükséges rendszer frissítések bármelyikének elmaradása, vagy az emberi hanyagság, mind megváltoztatják a szervezet biztonság szintjét és folyamatosan új kockázatokat és fenyegetéseket jelentenek. Ezek feltárása, megnyugtató kezelése csak a rendszeresen elvégzett sérülékenységvizsgálattal lehetséges.

Már maga az esetenként sokkoló eredményeket hozó vizsgálat illetve az erről készült jelentés is felbecsülhetetlen segítséget jelent a cég menedzsmentje számára. Ugyanakkor a feltárt biztonsági réseket minél előbb meg kell szüntetni, és az ezután szükséges lépéseket meg kell határozni, sőt az idő- és erőforrási ütemezése is előtérbe kell hogy kerüljön.

A KÜRT vizsgálatának eredményeiből intézkedési javaslatcsomag készül, amely fontosságuk szerint priorizálva tartalmazza a hibák és biztonsági rések felszámolása érdekében végrehajtandó teendőket.

Mit jelent a „sérülékenységvizsgálat” kifejezés?

A védekezés biztonsága, a sebezhetőség, a készültségi szint fenntartása, mind-mind olyan fogalmak, amelyek a harcászati gyakorlatban használatosak, és innen kerültek át a mindennapi alkalmazásba.

A készültségi szint fenntartásának egyik legmeggyőzőbb, mérhető része a hadgyakorlat, ahol a védekezést és a támadást „jórészt” előre meghatározott körülmények között hajtják végre. A „jórészt” itt bizonyos mértékű moderálást jelent, azaz a bevetett támadó eszközök helyéről, idejéről és nagyságrendjéről a védekezőknek „megfelelő” információja van.

A szakembereink képesek előállítani e „hadgyakorlati” körülményeket az informatikai rendszerek vizsgálatához. Szaktudásunkat, többek között a legjelentősebb multinacionális cégeknél, a megrendelők legnagyobb megelégedésére elvégzett, nagyszámú projektben kamatoztatjuk és tökéletesítjük.

A vizsgálatainkban biztosítjuk az informatikai rendszer sértetlenségét, illetve az aktuális biztonsági és rendelkezésre állási szintek megtartását. Minden vizsgálatról jegyzőkönyvet vezetünk. Vizsgálatainkban értékeljük a szervezet informatikai dolgozóitól kapott általános informatikai kultúrájukról készített felmérést, valamint azt is, hogy az alkalmazott informatikai biztonsági előírások mennyire fedik le a behatolás elleni védekezés területeit.

Az állandóan változó szervezeti illetve technológiai környezet miatt e „hadgyakorlat” rendszeres végrehajtása jelenthet egyedüli biztosítékot a védelmi rendszer naprakészségére, a védelmi szint folyamatos fenntartására.

A KÜRT Incidensmenedzsment Központja által végzett sérülékenységvizsgálat az alábbi tevékenységek önálló, vagy együtt történő elvégzéséből áll:

  • Külső, Internet felőli vizsgálat.
  • Belső, hálózati vizsgálat.
  • On-line webes alkalmazások sérülékenységvizsgálata.
  • Social engineering.

Kik végezhetnek az Ibtv. hatálya alá tartozó szervezeteknél sérülékenységvizsgálatot?

Az Ibtv. 18. § (3) bekezdése alapján sérülékenységvizsgálatot, illetve a biztonsági esemény vizsgálatát – az (5) bekezdésben foglalt szervek és elektronikus információs rendszerek kivételével –

  • a Kormány rendeletében meghatározott állami szerv, vagy
  • telephely biztonsági tanúsítvánnyal, továbbá a feladat ellátásához szükséges – jogszabályban meghatározott – szakértelemmel és infrastrukturális feltételekkel rendelkező gazdálkodó szervezet

végezhet.

(4) A (3) bekezdés b) pontja szerinti gazdálkodó szervezet nevében és alkalmazásában kizárólag olyan személy végezheti a vizsgálatot, akinek a nemzetbiztonsági ellenőrzését elvégezték és a nemzetbiztonsági ellenőrzés során nemzetbiztonsági kockázatot nem állapítottak meg.

Az állami és önkormányzati szervek európai vagy nemzeti létfontosságú rendszerelemmé a létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről szóló 2012. évi CLXVI. törvény alapján kijelölt rendszerelemei elektronikus információs rendszerei, valamint a nemzetbiztonsági védelem alá eső szervek és létesítmények köréről szóló 2009/2015. (XII. 29.) Korm. határozatban szereplő állami és önkormányzati szervek vonatkozásában a Kormány rendeletében meghatározott állami szerv (a Kormányzati Eseménykezelő Központ) végzi el.

Bővebb információ:

Üzenet

Várjuk üzenetét!

Az alábbi elérhetőségeken várjuk kérdéseit, észrevételeit:
+36 1 424 6666
kurt@kurt.hu