Kezdjük egy könnyedebb témával, melyik volt a legkülönlegesebb sérülékenységvizsgálat, amit végeztetek?
Ha ki kell választanom egyet a sok érdekes közül, akkor egy ciprusi ügyfelünk óceánjáró hajójának a vizsgálata jut eszembe, amit a helyszínen, a szingapúri kikötőben kellett elvégezni. A kollégánk odautazott, és mialatt a hajón az éves szerviz és karbantartás zajlott, ennek részeként ő elvégezte a megrendelt tesztelést.
Ciprus, Szingapúr – hány országban dolgoztatok már?
Európa számos országában, de leggyakrabban Svédországban és Svájcban (ahol néhány helyi szakemberrel közösen céget is alapítottunk). Illetve számos megbízást kaptunk ausztrál és új-zélandi ügyfelektől is.
A tapasztalataitok alapján mennyiben különböznek a magyar és a külföldi ügyfelek elvárásai?
Az angolszász országokban részletesebb jelentést várnak el, mint Magyarországon. Illetve a Redteam jellegű vizsgálatokat ott már akkor is igényelték, amikor errefelé ez még nem igazán volt elterjedt. Mi az első Redteam munkánkat 7-8 éve végeztük egy ausztrál reptérnek, ekkor még nekünk is újdonság volt ez a fajta megközelítés. Most azonban érdekes változás áll be ezzel kapcsolatban Európában is, hiszen a DORA-rendelet által előírt Threat-Led Penetration Testing pontosan ezt a gyakorlatot várja el a pénzintézetektől.
Ha már DORA és NIS2 – ezen szabályozások kapcsán milyen tanácsot adnátok a felelős vezetőknek?
A rendeletek és a direktívák betartása természetesen nagyon fontos, de a szabályozásoknak való megfelelés nem jelent sebezhetetlenséget, és nem helyettesíti a proaktív kiberbiztonsági intézkedéseket. Az adathalász-szimulációkat például a DORA-rendelet nem említi kifejezetten követelményként, azonban hangsúlyozza a munkavállalók tudatosságának fejlesztését, így a biztonságtudatossági képzést is. Ezért szoktuk javasolni az MI-vel támogatott phishing szimulációs szolgáltatásunkat, amely hatékonyan segít az adathalász-támadások elleni védekezésben.
Mi abban hiszünk, hogy a NIS2, illetve a DORA által támogatott információbiztonságot nem elegendő kizárólag dokumentációs szinten kezelni, elengedhetetlenek a technológiai vizsgálatok is.
A dokumentáció korábban is felmerült. Nálatok hogy történik ez a folyamat?
A Whiteshieldnél a jelentéskészítés nem merül ki egy pdf-formátumú dokumentum átadásában. Egy erre a célra kifejlesztett dedikált platformot alkalmazunk, amelyhez a megbízó is hozzáférést kap. Ez a felület a vizsgálat lezárultát követően is elérhető, lehetővé téve az ügyfél számára, hogy bármikor megtekinthesse a fennálló sérülékenységeket, valamint közvetlen kapcsolatba léphessen és kommunikálhasson a hibát feltáró szakértőnkkel.
