Навигатор по рискам: что на самом деле значит пентест для владельца бизнеса

Если ваши айтишники приходят с предложением провести пентест, не спешите отмахиваться. Это действенный инструмент, чтобы понять, где ваш бизнес недостаточно защищен, и сколько денег вы можете потерять, если хакеры воспользуются этими слабостями.

В мире кибербезопасности есть забавный парадокс: «успешный пентест» для технарей – это когда им удалось все взломать. А для собственника – когда не удалось. Из-за этого вечные споры и недопонимание. Давайте разберемся, как сделать так, чтобы проверка приносила пользу, а не головную боль.

Заказывая услугу пентеста, вы по факту нанимаете «доброго хакера». Он пытается взломать вашу компанию так же, как это сделал бы настоящий злоумышленник. Но в отличие от настоящего, он не причиняет максимум вреда и не ворует деньги. Вместо этого он пишет отчет: вот здесь удалось преодолеть защиту, вот тут получилось взломать сервер, а вот по каким причинам это произошло.

Ценность этого отчета – в ответе на вопрос: «Может ли кто-то со стороны нарушить работу нашего бизнеса и как именно?»

• Если взломали – супер. Мы нашли дыру, через которую реально можно потерять деньги. Хорошо, что это сделал «наш» хакер, а не реальный киберпреступник и не конкуренты.
• Если не взломали – нужен анализ. Либо у нас действительно крепкая защита — и это прекрасно — либо мы тестировали что-то не то. Например, охраняли входную дверь, хотя грабители всегда лезут через окно.

Есть мнение, что при заказе пентеста этичные хакеры берут деньги за попытку взлома. Возможно, так это выглядит с их стороны. Но если разобраться, то компания, которая решилась на подобную проверку, покупает три конкретные вещи:

• Сценарии ущерба. Вам принесут список слабых мест, и за каждой уязвимостью будет стоять история, понятная вам: «Если мы не закроем эту проблему, хакер сможет остановить наш интернет-магазин на трое суток» или «Вот как мошенники могут подменить наши реквизиты в счете и увести платеж контрагенту на другой счет».
• Доказательства. Вы увидите фактическую ситуацию с кибербезом именно в вашей компании: «Мы смогли это сделать вот здесь и вот так». С этим уже не поспоришь. И она может сильно отличаться от того, что рассказывают на ИБ-конференциях.
• План действий. Станет ясно,что нужно сделать прямо сейчас (это спасет от 90% бед), что можно сделать в ближайшие полгода, а что подождет. И опять-таки, план будет сформирован исходя из ситуации с киберзащитой именно вашей организации.

Что это дает вам как директору? Инвестиции в ИБ, под которые регулярно просит деньги IT-отдел, перестанут быть загадочными сущностями. Как у руководителя у вас появится больше данных, на чем именно в первую очередь следует сфокусировать усилия, и насколько будут оправданными траты в укрепление ИБ относительно вероятного ущерба. А значит, решения о таких инвестициях будут приняты рационально.

Хороший отчет по пентесту должен умещаться в голове у занятого человека. В нем должно быть три блока:

• 3–5 сценариев риска. Написано человеческим языком: «Остановка продаж», «Утечка баз клиентов», «Кража денег через увод платежей на сторонние счета».
• План на 30–60 дней. Конкретные задачи: «Иванов (главный инженер) до 10 числа меняет пароли на серверах, Петров (финансист) согласовывает лимиты на платежи». Понятно, кто за что отвечает и когда будет результат.
• Границы теста. Честное описание того, что именно попало в периметр проверки, а что – нет. Чтобы потом не выяснилось, что проверяли склад, а хакеры взломали головной офис.

Самая страшная история, которую мы видели в своей практике. Компанию атаковали шифровальщики. В ходе переписки директор согласился заплатить, но попросил прислать рекомендации, чтобы закрыть дырки, через которые их взломали. Хакеры в ответ скинули директору скриншот с рабочего стола его директора по ИТ. На нём лежал наш старый отчет по пентесту, где были указаны все дыры в защите. За полтора года компания ничего с этим не сделала. В итоге хакеры просто показали, где можно посмотреть сами уязвимости и рекомендации по исправлению.

Пентест без изменений – это выброшенные деньги. Он становится «неудачным» не потому, что пентестеры плохо старались, а потому что вы проигнорировали результаты.

Очень частая ошибка: CISO (руководитель безопасности) заказывает тест, чтобы подтвердить свои догадки. CEO ждет конкретного вердикта: «У нас все хорошо» или «У нас все плохо». Когда приходят результаты, и там написано, что все плохо, CEO набрасывается на CISO: «Почему не защитил?».

Это тупик. Чтобы не ссориться, перед началом работ подпишите «контракт ожиданий». Просто проговорите:

• Какова цель? Мы ищем сценарии потери денег или проверяем гипотезу, что конкретный сервер неуязвим?
• Что будем считать успехом? То, что нашли уязвимости (ведь мы заплатили за их поиск) или то, что не нашли?
• Как обсуждаем итоги? Это не суд над безопасником, а поиск слабых мест в системе.

Чтобы пентест сработал, сразу после получения отчета сделайте так:

• 72 часа. Соберите «штаб» (вы, айтишники и безопасники). Выделите 3–5 самых критичных дыр. Назначьте ответственных и крайние сроки их закрытия.
• 2 недели. Просите команду сделать «быстрые победы» – то, что можно исправить здесь и сейчас (обновить программы, отключить лишнее).
• 30 дней. Проведите повторную быструю проверку самого критичного. На правлении доложите: «Было найдено то-то, вот что мы сделали, риски снижены, вот план на следующий квартал».

У директора и безопасника общая задача – устойчивость бизнеса. Пентест – это мостик между ними. Он переводит разговор с технических материй на язык бизнес-рисков.

Для вас как для CEO, кибербезопасность перестает быть «черным ящиком», куда уходят миллионы. Вы видите конкретные угрозы, понимаете план их устранения и можете проконтролировать результат. А для безопасника это способ перестать быть «просителем денег» и стать менеджером, который решает реальные задачи бизнеса.