Відповіді на запитання
— Навіщо потрібна інформаційна безпека?
— Засоби масової інформації сповнені новин про інциденти безпеки та втрати інформації. Організації страждають від істотного збитку від інцидентів кібербезпеки. Процеси та рішення безпеки вимагаються нормами регуляторів, такими як GDPR, PCI DSS та HITECH/HIPAA. Невідповідність вимогам може призвести до серйозних санкцій. Навіть якщо компанія не зобов’язана виконувати вимоги та стандарти безпеки, відповідність вимогам і дотримання кращих світових практик безпеки є конкурентною перевагою. Кібер-здоров’я аналогічно фізичному здоров’ю, тому завжди краще запобігати хворобі, ніж лікувати.
— Навіщо купувати сервіс технічної оцінки безпеки?
— Технічна оцінка безпеки – це найкращий спосіб з’ясувати поточний стан безпеки програми, мережевої інфраструктури або інших систем. Технічна оцінка безпеки корисна для оцінки ризиків. Оцінка ризиків надзвичайно важлива для обґрунтування бюджетів і заходів із безпеки. Внутрішній персонал не може об’єктивно виконувати незалежну оцінку безпеки, тому компетентна третя сторона – це кращий вибір. Нарешті, послуга оцінки безпеки – це один із сервісів безпеки, тому також дивіться попередню відповідь.
— Яка різниця між аудитом, перевіркою, оцінкою інформаційної безпеки, тестуванням на проникнення та скануванням вразливостей?
— Тестування на проникнення – це оцінка технічної та/або соціотехнічної безпеки. «Оцінка безпеки» – більш офіційний термін. Аудит і перевірка безпеки зазвичай охоплюють більш стратегічний шар, такий як відповідність процесів вимогам безпеки, та можуть включати технічну оцінку безпеки як частину. Іноді «аудит безпеки» використовується як синонім «оцінки безпеки». У деяких випадках «аудит» означає реєстрацію або журнал подій безпеки. Сканування на вразливості – це відносно проста автоматизована робота з пошуку технічних вразливостей систем, яка є тільки одним з етапів деяких пентестів. Недобросовісні постачальники послуг безпеки називають пентестом сканування вразливостей.
— Що таке вразливості інформаційної безпеки, та як вони з’являються?
— Вразливості інформаційної безпеки (або технічні вразливості) є недоліками програмного коду або конфігурації. Деякі вразливості можуть бути використані хакерами для проникнення або іншіх видів атак. Вразливості з’являються у веб-сайтах, застосунках, прошивках, службах тощо. В основному через людські помилки, але іноді через зловмисні дії. Створення безпечних застосунків набагато довше та дорожче звичайних, але сучасні ринки програмного забезпечення вимагають швидкий випуск продуктів і зниження витрат. Тому виробникам доводиться допускати ймовірність вразливостей безпеки в їхніх програмних продуктах. Щоб компенсувати недоліки безпеки, оцінка безпеки проводиться на етапі використання програмного забезпечення. Виробники програмного забезпечення, дослідники безпеки та інші фахівці постійно шукають нові вразливості безпеки в багатьох застосунках. Вони автоматизують свою роботу та дозволяють нам використовувати їхні результати за допомогою сканерів вразливостей.
— Хакінг – це законно?
— Термін «хакінг» неоднозначний. Терміни «комп’ютерний злочин» і «оцінка безпеки» є точнішими. Різниця та ключовий момент полягають у дозволі власника цільового об’єкту. Якщо власник дає письмовий дозвіл, то виконання оцінок безпеки законно.
— Чому нам слід довіряти вам?
— Наші сертифікації вимагають тільки законні дії та етичну поведінку. Ви можете перевірити наші сертифікати у відповідних незалежних міжнародних сертифікаційних організаціях. Почитайте більше про нас, тому що це важливо.
— Хто ваші клієнти?
— Наші клієнти – компанії, що працюють в електронній комерції, промисловості, фармацевтиці, телекомунікаціях, торгівлі, ІТ, страхуванні, а також банки та державні організації. Будь-яка компанія, яка цінує свою інформацію, онлайн-сервіси, відповідність вимогам безпеки, конфіденційність і безперервність бізнесу, є нашим потенційним клієнтом.
— Хто в замовника зазвичай відповідає за безпеку? До кого мені слід звертатися, щоб просувати безпеку?
— Ви можете говорити з власниками та першими особами компаній, директорами та виконавчими директорами, ІТ-директорами, начальниками служб безпеки та інформаційної безпеки, аудиторами, технічними директорами, фінансовими директорами, ІТ-фахівцями та фахівцями з безпеки, або з представниками аналогічних ролей.
— Якщо безпека – це нематеріальний актив, тоді як замовник дізнається, за що він платить?
— Разом із комерційною пропозицією ми надаємо детальний план проекту, розроблений індивідуально для замовника. Для створення такого плану ми з’ясовуємо всі потреби, передумови та умови клієнта. У плані описуються вимоги безпеки, моделі загроз, режими тестування, специфікації обсягу охоплення та кілька десятків інших параметрів. Розробка плану проекту – це частина передпроектної підготовки, і це безкоштовно.
— Що означає «H-X»?
— Спочатку це було «Hacker eXperience» («хакерський досвід»), але ми виросли та перестали бути тільки хакерами. Тому тепер наша назва – просто H-X.