Відповіді на питання, що часто задаються

Навіщо потрібна інформаційна безпека?
— Засоби масової інформації сповнені новин про інциденти безпеки та витоки інформації. Організації зазнають суттєвих збитків від інцидентів кібер-безпеки. Процеси та рішення безпеки вимагаються нормами регуляторів, такими як GDPR, PCI DSS та HITECH / HIPAA. Невідповідність вимогам може призвести до серйозних санкцій. Навіть якщо компанія не зобов'язана виконувати вимоги та стандарти безпеки, відповідність вимогам та слідування кращим світовим практиками безпеки є конкурентною перевагою. Кібер-здоров'я аналогічно фізичному здоров'ю, тому завжди краще запобігати хворобі, ніж лікувати.

Навіщо купувати сервіс технічної оцінки безпеки?
— Технічна оцінка безпеки – це найкращий спосіб з'ясувати поточний стан безпеки додатку, мережевої інфраструктури або інших систем. Технічна оцінка безпеки корисна для оцінки ризиків. Оцінка ризиків надзвичайно важлива для обґрунтування бюджетів та заходів з безпеки. Внутрішній персонал не може об'єктивно виконувати незалежну оцінку безпеки, тому компетентна третя сторона  – це кращий вибір. Нарешті, послуга оцінки безпеки – це один із сервісів безпеки, тому ви також можете використовувати попередню відповідь.

Яка різниця між аудитом, перевіркою, оцінкою інформаційної безпеки, тестуванням на проникнення та скануванням уразливостей?
— Тестування на проникнення – це оцінка технічної та соціотехнічної безпеки. У нашому контексті «пентест» та «оцінка безпеки» – це синоніми. «Оцінка безпеки» – більш офіційний термін. Аудит та перевірка безпеки зазвичай охоплюють більш стратегічний шар, такий як відповідність процесів вимогам безпеки, та можуть включати технічну оцінку безпеки як частину. Іноді «аудит безпеки» використовується як синонім «оцінки безпеки». У деяких випадках «аудит» означає реєстрацію (журналювання) подій безпеки. Сканування вразливостей – це відносно проста автоматизована робота з пошуку технічних уразливостей систем, яка є тільки одним з етапів деяких пентестів. Недобросовісні постачальники послуг безпеки називають пентестом сканування вразливостей.

Що таке вразливості безпеки, та як вони з'являються?
— Уразливості безпеки (або технічні уразливості) є недоліками програмного коду або конфігурації. Деякі вразливості можуть бути використані для проникнення хакерів або інших атак. Уразливості з'являються у веб-сайтах, додатках, прошивках, службах і т. д. в основному через людські помилки, але іноді з-зі зловмисних дій. Створення безпечних додатків набагато довше та дорожче звичайних, але сучасні ринки програмного забезпечення вимагають швидкого випуску продуктів та зниження витрат. Тому виробникам доводиться допускати ймовірність вразливостей безпеки в їхніх програмних продуктах. Щоб компенсувати недоліки безпеки, оцінка безпеки проводиться на етапі використання програмного забезпечення. Виробники програмного забезпечення, дослідники безпеки та інші фахівці постійно шукають нові уразливості безпеки у багатьох додатках. Вони автоматизують свою роботу і дозволяють нам використовувати їхні результати за допомогою сканерів уразливостей.

Хакінг – це законно?
— Термін «хакінг» неоднозначний. Терміни «комп'ютерний злочин» та «оцінка безпеки» є точнішими. Різниця та ключовий момент полягають у дозволі замовника. Якщо власник цільового об'єкта дає письмовий дозвіл, то виконання оцінок безпеки законно.

Чому нам слід довіряти вам?
— Наші сертифікації вимагають тільки законні дії та етичну поведінку. Ви можете перевірити наші сертифікати у відповідних незалежних міжнародних сертифікуючих організаціях. Почитайте більше про нас, тому що це важливо.

Хто ваші клієнти?
— Наші клієнти – компанії, що працюють в електронній комерції, промисловості, фармацевтиці, телекомунікаціях, торгівлі, ІТ, страхуванні, а також банки та державні організації. Будь-яка компанія, яка цінує свою інформацію, онлайн-сервіси, відповідність вимогам безпеки, конфіденційність і безперервність бізнесу є нашим потенційним клієнтом.

Хто у замовника зазвичай відповідає за безпеку? До кого мені слід звертатися, щоб просувати безпеку?
— Ви можете говорити з власниками та першими особами компаній, директорами та виконавчими директорами, ІТ-директорами, начальниками служб безпеки та інформаційної безпеки, аудиторами, фінансовими директорами, ІТ-фахівцями та фахівцями з безпеки, або з представниками аналогічних ролей.

Якщо безпека – це нематеріальний актив, тоді як замовник дізнається, за що він платить?
— Разом з комерційною пропозицією ми надаємо детальний план проекту, розроблений індивідуально для замовника. Для створення такого плану ми з'ясовуємо всі потреби, передумови та умови замовника. У плані описано вимоги безпеки, моделі загроз, режими тестування, специфікації області охоплення та кілька десятків інших параметрів. Розробка плану проекту  – це частина передпроектної підготовки, та це безкоштовно.

Що означає «H-X»?
— Просто H-X. Якщо наполягаєте на якомусь значенні, нехай буде «Hacker eXperience» («хакерський досвід»).


Хто ми, що робимо та що пропонуємо.

Про тести на проникнення.