Vad är dina företagshemligheter värda?
Låt ett proffs hacka först!

Cyberbrottsligheten blir allt mer sofistikerad för varje dag, och de attackerar alla typer av organisationer. De vet att små och medelstora företag har börjat lagra värdefull information, som personlig data, något som har inneburit en markant ökning av cyberattacker. Statistik rapporterar att omkring 54 procent av små och medelstora företag har rapporterat någon form av dataintrång under de senaste 12 månaderna. Du kan alltså vara säker på att ditt företag är i riskzonen.

Samtidigt, i enlighet med den av den EUs nyligen införda allmänna dataskyddsförordning (GDPR), är företag ansvariga för att skydda den personliga data de har i sina system, särskilt om de innehåller känsliga data. Hur tryggar man datasäkerheten? Penetrationstester eller det mer försvenskade ordet intrångstest kan vara det värdefulla verktyg som är svaret! Penetrationstest kan bidra till att förbättra säkerheten avsevärt samtidigt som du därmed lever upp till regleringarna i GDPR. För om man inte testar systemet på riktigt hur kan man veta? 

Vad är penetrationstest?

Penetrationstestning, även känt som pentest eller etisk hackning och är ett värdefullt sätt att hitta säkerhetsproblem. Testet genomförs av professionella hackers. Företagen anlitar dessa hackers för att attackera sina egna system och målet är att i förebyggande syfte identifiera svagheter. På så sätt kan företag lösa problemen innan verkliga cyberbrottslingar kan dra nytta av dem.

Fördelar med penetrationstest

Även utan GDPR ger penetrationstester många fördelar:

Tidig upptäckt av säkerhetshot

Ett nätverks infrastruktur är alltid i konstant förändring. Vid utformningen av ett systems arkitektur är det svårt att förutse alla möjliga sårbarheter. Penetrationstester hjälper dig att utvärdera svagheter och det kommer att ge dig värdefulla insikter om hur du kan förbättra ditt system för att förhindra eventuella attacker och obehörig åtkomst.

Förebygga och minimera driftstopp

Penetrationstester hjälper dig att upptäcka problem, att förbättra ditt system och eliminera driftstopp på nätverket. De testar även robustheten i din respons vid cyberattacker. Genom att inte informera ditt säkerhetsteam om en kommande simulerad attack kan du genomföra ett dubbelblindtest. Detta kommer att hjälpa dig att mäta hur din nuvarande säkerhetsrespons står sig i verkliga situationer. Utvärderingen kan hjälpa dig att ytterligare förbättra dina processer, vilket kan minimera responstiden vid nya typer av cyberattacker.

Var rädd om ditt renommé

Ett dataintrång kommer att påverka ditt anseende negativt. Så det är klokt att undvika alla cyberattacker i första hand och givetvis kommer penetrationstester att hjälpa till i detta avseende. Men om ditt företag blir hackat och dina kunder får reda på att du inte vidtog enkla åtgärder som kunde ha förhindrat attacken, kan det vara mer förödande för ditt företag. Penetrationstester kommer att visa dina kunder att du följde bästa praxis för att förbättra datasäkerheten. Dina kunder kan vara mer villiga att ursäkta en cyberattack om de vet att du vidtog alla möjliga försiktighetsåtgärder för att skydda deras information.

Uppfyll efterlevnadskraven

Globalt har företag använt penetrationstester under en lång tid för att se till att de uppfyller efterlevnadskraven hos förordningar såsom Sarbanes-OxleyHIPAAPCI DSS med fler. Att använda penetrationstester för GDPR verkar således vara en naturlig förlängning av denna praxis.

Penetrationstestprocessen

Processen kan delas upp i följande 4 steg:

Att bestämma omfattningen

Du kan välja olika sätt att gå till väga på gällande testerna. Du kan be om externa penetrationstester där hackern kommer att försöka inrikta sig mot tillgångar synliga från utsidan. Du kan ge hackern intern resursåtkomst för att simulera en illvillig insiderattack. Du kan använda dubbelblinda tester där IT-avdelningen inte skulle veta att en simulerad attack är på väg att hända. I vissa fall kan det även vara nödvändigt att begränsa omfattningen till mer riktade tester för att få bättre återkoppling avseende ett visst område av verksamhetens infrastruktur.

Skanning och upptäckt

I detta skede kommer den inhyrda hackern att använda sin kunskap och erfarenhet för att skanna nätverket och samla in information om saker som IP-portar, operativsystem, applikationer, mjukvara och hårdvaruversioner.

Simulerat angrepp

Därefter kommer hackern att köra attackscenarier med hjälp av den information som samlats in i föregående steg. De kommer att försöka få obehörig åtkomst till data eller resurser, dra ner nätverk och servrar, försöka installera skadlig kod och köra andra kända attacker.

Rapportering

Slutligen kommer hackern att skapa en rapport baserad på attackerna och resultaten. Rapporten bör ge omfattande information gällande specifika sårbarheter som utnyttjats, känsliga uppgifter som kommits åt och vilken typ av åtkomst som uppnåtts. Analysen bör ge dig den information du behöver för att avgöra vilka åtgärder din IT-avdelning måste vidta för att förhindra framtida cyberattacker och dataintrång.

Konsekvenser av GDPR för penetrationstest

GDPR har utformats för att säkerställa att EU-medborgare har bättre kontroll över sina egna uppgifter. Här är några viktiga saker att tänka på relaterade till GDPR:

  • Du måste tydligt informera EU-kunder om hur deras uppgifter används.

  • Du måste ge EU-kunder tillgång till sina uppgifter.

  • Du måste korrigera eventuella felaktigheter i uppgifterna på begäran.

  • EU-kunderna har rätt att glömmas bort, vilket innebär att alla uppgifter måste raderas fullständigt från systemet.

  • Kunduppgifter måste vara portabla till andra företag och system.

  • Alla säkerhets- eller dataintrång måste rapporteras inom 72 timmar.


Penetrationstester ger dig möjlighet att arbeta med din ”white hat”-hacker för att utforma tester som kommer att utvärdera hur förberedd du är på punkterna i GDPR. Straffen för att inte efterleva GDPR kan bli ganska kännbara – det högre värdet av €20 miljoner eller 4% av den globala årliga omsättningen. Så det är värt att investera i penetrationstester för att ta reda på om ditt system efterlever GDPR innan du råkar ut för några negativa konsekvenser.

 

Pierre Gustavsson
GDPR Coach, Arbore AB


Vad är dina företagshemligheter värda?
Pierre Gustafsson 30 november, 2018
Dela detta inlägg
Our blogs
Arkiv
10 företagsutmaningar vid övergång till molnet
Förberedd hela organisationen