Penetracijska testiranja predstavljajo tehniko preverjanja ranljivosti informacijskega sistema, ki ga slovenska podjetja vse pogosteje uporabljajo. Izvajanje zahteva visoko raven usposobljenosti in etičnosti izvajalcev storitev, če naj bodo storitve opravljene kvalitetno in skladno z nameni naročnika.
Strokovnjaki kibernetske varnosti so se na pobudo projekta CYBER, program sodelovanja Interreg Europe, 11.03.21 pogovarjali o odprtih vprašanjih etičnosti dela etičnih hekerjev. Z uvodnim predavanjem »ETIČNO HEKANJE» sta DOC. DR. BLAŽ MARKELJ – Fakulteta za varnostne vede, Univerza v Mariboru in SARA TOMŠE, MAG. VAR. – Operativni center za kibernetsko varnost, Telekom Slovenije, d. d. osvetlila temeljne opredelitve, zakonske podlage in usposabljanje ter predstavila rezultate raziskave o etičnem hekingu v Sloveniji. Omenjena govorca, sta tudi avtorja knjige »Informacijska varnost: Etično hekanje«, ki bolj podrobno opisuje vlogo etičnega hekanja, kot dejavnosti in kot osebe ki to izvaja, v kibernetskem prostoru.
Izhodiščno vprašanje razprave je bilo, kdaj je hekanje etično. Enotno mnenje razpravljavcev je, da mora predvsem biti vzpostavljeno dokumentirano soglasje z naročnikom storitev, ki jasno opredeli namen izvajanja aktivnosti varnostnega preverjanja in druge pogoje za kvalitetno izvedbo preverjanja, kot je dogovor o varovanju zaupnosti podatkov, postopek izvajanja, poročanje naročniku in drugo.
Številna podjetja danes najemajo strokovnjake za izvajanje penetracijskih testiranj s katerimi preverjajo morebitne ranljivosti svojega informacijskega sistema. Veseli smo, da je tudi zaradi državnih spodbud preko Vavčerja kibernetske varnosti, ki ga izvaja DIHDS, ta ukrep vedno pogosteje uporabljen v slovenskih podjetjih. Naročnikom se pri naročanju storitev penetracijskega testiranja postavlja vprašanje, kako izbrati izvajalca storitev in kako izvajanje nadzorovati z vidika spoštovanja mej, ki naj jih etični heker ne prestopi. Sogovorniki okrogle mize so si bile enotni, da je kakovost odvisna od izvajalca, ki je strokovno usposobljen in spoštuje določila kodeksa etičnih hekerjev. Za prepoznavanje strokovne usposobljenosti je potrebna pridobitev certifikatov in stalna strokovna praksa, ki se jo pridobiva tudi na strokovnih srečanjih in tekmovanjih. Naročnikom je lahko v pomoč tudi Katalog strokovnjakov na spletnih straneh DIHS in nabor priporočenih certifikatov na spletnih straneh SeKV.
Podjetja in posamezniki morajo skrbeti za stalen razvoj strokovnosti izvajalcev za izvajanje etičnega hekinga tako z vidika poznavanja tehnik, različnih sistemov in njihovih verzij, ki jih lahko srečajo v omrežjih, inovativnosti in sposobnosti komuniciranja z naročniki kakor tudi poznavanja zakonskih omejitev. Ob stalnem pojavljanju novih groženj, se odpirajo tudi nova vprašanja skladnosti z zakonodajo in omejitev, ki jih ta etičnemu hekerju nalaga, kar pa ne drži za realnega napadalca.
Bistvena razlika med etičnim in neetičnim hekanjem je v namenu zaradi katerega etičnih heker in nepooblaščeni napadalec izvajata tehnike napada in predhodnega soglasja, je bila ena od ugotovitev omizja. Poznavanje dobre prakse izvajanja etičnega hekanja pri naročnikih storitev in transparentnost dela hekerjev ter stalno usposabljanje so nujni za dvigovanje raven storitev in s tem tudi raven kibernetske odpornosti podjetij.