На Международном форуме по кибербезопасности 2018 года выяснилось, что в среднем 92% компаний подвергаются одной или двум кибератакам в год. Самой распространенной из этих атак остается вторжение на сервер, за ним следуют фишинг и вирусы, распространяемые по электронной почте.
Постоянно экспоненциальный прогресс в области глубокого и машинного обучения создает для киберпреступников множество новых возможностей для автоматизации выбора целей и процедурного анализа уязвимостей сети для использования слабых мест.
Столкнувшись с этими тревожными цифрами и ростом этой новой формы преступности, компании все чаще инвестируют в защитные меры для обеспечения безопасности своих информационных систем (под «информационной системой» мы понимаем организованный набор ресурсов, используемых для сбора, хранения, обработки и распространения информации, как правило, через компьютерную сеть).
Для этого компаниям часто необходимо пройти предварительный этап аудита безопасности своей информационной системы с помощью пентеста.
В ходе пентеста компьютерные системы или сети подвергаются комплексному тестированию с целью определения их восприимчивости к атакам.
Пентестер (или «Провайдер») будет использовать целевые атаки, чтобы определить чувствительность сетей или компьютерных систем к попыткам вторжения и мошенническому захвату данных, с единственной целью оценки потенциальных рисков.
Однако практика пентестирования не лишена риска для поставщика услуг.
Юридические риски пентестинга или «тестирования на проникновение»
Операции, выполняемые пентестером в рамках его миссии, по своей природе могут привести к ситуациям несоответствия, которые могут повлечь ответственность.
Что касается этой ответственности, то она будет носить в основном договорной характер, как по отношению к поставщику услуг — в данном случае пентестеру — по отношению к его клиенту, так и деликатный характер по отношению к третьим сторонам договора о тестировании на проникновение, чья информационная система была бы непреднамеренно исследована из-за недостаточного разграничения периметра сети, подлежащего проверке.
Действительно, часто бывает, что поставщик услуг при проведении пентеста непреднамеренно проникает в соседнюю сеть, не входящую в сферу действия первоначального контракта на проведение теста на проникновение.
Аналогичным образом, в случае «исследований», проводимых в информационной системе, не принадлежащей Клиенту, Поставщик услуг может совершить преступление.
Незаконный доступ
Понятие «незаконный доступ» является множественным и охватывает два значения:
- активная концепция, понимаемая как «все способы проникновения»;
- пассивная концепция: в основном путем прослушивания и перехвата пакетов или кадров, циркулирующих в сети, с помощью сниффера (т.е. программного обеспечения, которое может читать или записывать данные, проходящие через сеть).
Отсутствие полномочий
Компания должна дать разрешение на доступ ко всем частям системы, которые будут тестироваться.
Распределение ответственности между поставщиком услуг пентеста и клиентом должно быть предварительно согласовано между сторонами. В этом случае для определения того, имело ли место нарушение договора, достаточно будет обратиться к первоначальному договору.
Чтобы избежать этих рисков, необходимо тщательно разработать договор, определяющий объем вмешательства пентестера.
Составление контракта на проведение пентеста или «теста на проникновение».
Практика профессионалов в этой сфере деятельности свидетельствует о том, что при составлении договоров на проведение пентеста очень часто пренебрегают преамбулой или даже не включают ее в договор.
Это серьезная ошибка, которую слишком часто допускают.
Действительно, цель преамбулы — описать общий контекст, в котором будет выполняться пентест. Например, следует упомянуть такие объективные элементы, как описание чувствительных активов проверяемой информационной системы, сферу деятельности заказчика или причины, по которым заказчик выбрал именно поставщика услуг, выполняющего пентест.
Кроме того, стороны договора не должны спешить и понимать, что запуск тестовых операций должен быть заморожен до получения всех необходимых разрешений от третьих лиц (чаще всего это компании-партнеры заказчика, размещающие часть информационной системы, подлежащей пентесту).
Что касается статей, составляющих основную часть договора, то в них должны быть описаны условия проведения тестовых операций.