Millal sa viimati oma veebirakendusele läbistustesti tegid?

Esiteks, mis üldse on läbistustestimine?

KPMG kübertiimi vanemspetsialisti Rein Luhtaru sõnul on veebirakenduste läbistustestimine toiming, kus küberturbe spetsialistid mängivad ründaja rolli. “Meil on ees kindlad turvanõuded ja -standardid ja me kontrollime rakenduste vastavust neile. Selleks kasutatakse samasuguseid tehnikaid ja tööriistu nagu päris ründajad kasutavad.”

Erinevus testijate ja päris ründajate vahel seisneb selles, et KPMG testijatele on antud luba neid tegevusi teha. “Kui me teeme neid tegevusi, siis me peame silmas, et me teeks seda võimalikult vähe kahjustaval moel. Me ei võta testitavat rakendust maha ega muuda seda kuidagi teistele kättesaadavamaks,” selgitab ta.

Lisaks sellele paneb KPMG kübertiim kirja kõik tegevused ja probleemid. “Me esitleme avastatud turvanõrkusi kliendile arusaadaval moel. Et nad oskaksid ennast selliste rünnakute eest kaitsta ja saaksid need probleemid ära lahendada,” ütleb Luhtaru.

KPMG küberturvalisuse spetsialist Jaan Vahtre lisab, et testijatel on kindel eesmärk ja tööde ulatus, mis on kliendiga eelnevalt kooskõlastatud. “Testimine ei ole midagi müstilist, vaid me lähtume kokkulepitud standardist ja toetume kindlale metodoloogiale,” räägib Vahtre.

Reaalsed ohud, millega peab arvestama

Kõige hullem õnnetus, mida Luhtaru sõnul klient endale ise tekitada saab, on see, kui enda või oma klientide äriks vajalikke andmeid hoitakse või töödeldakse ebaturvaliselt kuskil pilves, kus need on küberpättidele lihtsalt kättesaadavad.

“Üks asi on materiaalne kahju, mis tekib siis, kui teenus on maas, aga väga oluline on ka mainekahju, mille ulatust ja rahalist kahju on tihti väga raske hinnata. Esmapilgul ei ole lihtne öelda, kui suur kahju on tekitatud, kui sinu kliendid sind enam ei usalda ja teenust ei osta,” räägib Vahtre.

Luhtaru täiendab, et usalduse kaotamiseks piisab ühestainsast infolekkest. “Tüüpiline on muidugi see, et töötajad ei ole hästi koolitatud. Palju on juhtumeid, kus tullakse ühe masina kaudu sisse, krüptitakse kogu ettevõtja vara, arveldus ja kõik muu ära nii, et ettevõte ei saa enam oma tööd jätkata.”

Vahtre lisab omalt poolt, et kahjuks tuleb iga nädal ette näiteid, kuidas lisaks tehnilistele võtetele viiakse rünnakuid edukalt läbi ka inimestega manipuleerimise teel.

Et seda kõike vältida, soovitab Luhtaru ettevõtetel suunata oma arendajad vastavasisulistele koolitustele, kus õpetatakse probleeme ennetama ja rünnakuid ära tundma. “Arendustiim tuleks kindlasti nendesse koolitustesse kaasata, sest kui turvalisus on juba eos arendustsüklisse sisse kirjutatud, siis see hoiab ära väga palju probleeme.”

Finantssektor käib teistest paar sammu ees

“Finantssektori teadlikkus küberturvalisusest on üldist pilti vaadates parem, küberturvalisuse tagamisele pannakse rohkem rõhku ja ressurssi. Selles sektoris on oht sattuda rünnaku ohvriks ka kindlasti kõrgem kui mõnes teises tegevusvaldkonnas. Aga kui kuulata uudiseid, siis teadlikkus on viimaste aastatega ka teistes sektorites kõvasti tõusnud,” räägib Vahtre.

Tema arvates ongi nüüd vaja mõelda sellele, kuidas viia teadlikkus igas sektoris ja ka teistes valdkondades kõrgemaks, kui see praegu on. “Ma pean ütlema, et just mobiilirakenduste osas on teadlikkus kindlasti madalam,” tõdeb Vahtre.

Ent kuidas saab ettevõtja end kaitsta rünnakute eest ja millised võiksid olla läbistustestimisest saadavad õppetunnid? Luhtaru vastab, et läbistustestimine tasub kindlasti tellida juhul, kui töösse või laiemasse kasutusringi on pandud mõni uuem veebirakenduse versioon. “Meie kirjeldame testimise järgselt probleemsed kohad ja turvavead ära sellisel moel, et tavaline arendaja saab sellest aru ning oskab need ohukohad ära parandada,” lisab ta.

Läbistustestija ülesanne on olla pahalane

Vahtre täiendab, et teinekord, kui klient on arenduse mõnelt kolmandalt osapoolelt tellinud, on nad koos kliendiga läinud selle arendaja juurde ja selgitanud, millised on tuvastatud nõrkused ja ohud ning kuidas neid on võimalik ära kasutada. “Oleme teinud üheskoos tegevusplaani, kuidas neid leide parandada või nende mõju vähendada.”

Luhtaru, kellel on pikk töökogemus ka arenduse poolel, teab väga hästi, et kui ettevõtjad lasevad arendajatel rakendusi testida, siis ei testita neid kunagi turvalisuse vaatest. “Tavaliselt on ettevõtjale tähtis ainult äriline protsess ja et rakendusega oleks võimalik raha teenida. Kuid kahjuks turvalisuse või ohukohtade peale tavaliselt ei mõelda ning keskendutakse eelkõige sellele, et klient tahaks meie tooteid kasutada ning ei arvestata sellega, et kasutaja võib olla ka pahatahtlik.”

Läbistustestijate ülesanne ongi aga mõelda just negatiivse poole pealt ja mängida klienti, kes tahab ettevõttele, kust ta teenust saab, kahju teha, kirjeldab Luhtaru.

Kuidas kõlab “teeme ise” läbistustestimine?

Kas ettevõtted võiksid ka ise teha läbistustestimisi, et ei peaks iga kord teenust tellima?

Vahtre sõnul võiksid arendajad tõesti juurutada ning jälgida arendusprotsessis ka turvatestimise standardit, kuid perioodilist ja eraldiseisvat turvatestimise olulisust see siiski ei asenda,” sõnab Vahtre.

Luhtaru jätkab, et KPMG on oma töös näinud, et igaüks võib jah skannerit kasutada, aga probleem on selles, et igaüks ei oska tõlgendada, kas leiud on positiivsed või negatiivsed või mida need leiud tegelikult tähendavad.

“Mida me oleme oma praktikas näinud, on see, et suur vahe on sees, kas pannakse läbistustestimise skanner tavalise inimese või IT-töötaja poolt tööle võrreldes välise ettevõtte teenuse kasutamist, kus ei kuvata ainult skanneri tulemusi, vaid läbistustestija suudab ka rakendust süsteemselt analüüsida ja läbi mõelda, kuidas ründaja edasi toimiks, kuidas seda ühte leidu ära kasutab, et tungida veelgi sügavamale ja saada ettevõtte kohta veel rohkem infot kätte,” selgitab Luhtaru.

Läbistustestimine on loominguline töö

Vahtre sõnul ei tunne automaatsed tööriistad ettevõtte äriloogikat, ei oska hinnata adekvaatselt ohtusid ega kombineerida erinevaid nõrkuseid, et teostada keerulisemaid rünnakuid. “See on väga loominguline töö: me võtame iga rakendust eraldiseisvana, kus on ründevektorid erinevad. Äriloogikat ei saa testida ühe stambi alusel,” kinnitab ta.

Luhtaru võtab jutu kokku tõdemusega, et tellides läbistustestimise väljastpoolt maja, ongi kõige olulisem see, et asja vaadatakse värske pilguga. “Inimene, kes ei ole konkreetse protsessiga seotud, võtab rakenduse ette ja näeb seda hoopis teisest küljest kui näiteks arendaja, kes seda viimased kuus kuud arendanud on. Sama lähenemist kasutame ka meeskonna siseselt, kui meil on sama rakenduse test mitmendat korda käsil, vahetame meeskonna sees testijaid lihtsalt selleks, et oleks värske pilk ja võib-olla tuleb uue pilguga lähenemisest välja mingi viga, mida me ei märganud eelmise testiga.”