17 Июня, 2019

Сказки о безопасности: Ненадежный пентестер

Владимир Безмалый

— Итак, господа, все вы знаете, что наша компания давно собирается провести аудит ИТ и информационной безопасности. Ваши предложения? Финансовый директор?

— Это весьма интересно, но, господин директор, у нас нет денег! Мы не планировали такие расходы.

— Я знаю. Но ведь мы собирались выйти на биржу, а это обязательное условие.

— Проводить нужно, это безусловно. Тем более на рынке можно найти эту услугу и относительно недорого. В крайнем случае проведем только пентест, а скажем, что прошли аудит. Кто будет разбираться? Ну, соврем немного. И то нужно искать подешевле.

— Ну что ж, вперед.

Прошло две недели.

— Господин директор, наиболее приемлемые условия предложила фирма N. Достаточно дешево, да и отзывы у них вроде неплохие. Хотя, безусловно, компания N не принадлежит к ведущим. Но у ведущих — дорого!

— Хорошо! Заключаем договор. Не забудьте соглашение о неразглашении.

— Безусловно!

Прошла еще неделя.

— Господин директор, у нас найдены уязвимости. Мы можем их исправить.

— Отлично! И сколько это будет стоить? Нужно привлекать кого-то или можете своими силами?

— Сделаем сами.

Прошло еще две недели, и вдруг данные компании всплыли у конкурентов.

— Как? Нас взломали? Но почему вы ничего не увидели?

— Увы, мы действительно ничего не увидели. Более того, мы и сейчас не понимаем, как это сделано!

— А может, это ваши аудиторы?

— Нет, не может быть. Хотя им это сделать проще всего. Но ведь вроде серьезная фирма. Не думаю.

— Итак, думайте или не думайте, но нас взломали и украли практически все, что смогли.

Вот такая печальная история произошла не так давно с моим знакомым. Кто виноват? Непонятно. Но аудиторы клянутся, что они ни причем. Как на самом деле — неизвестно. А компания, забывшая или не сумевшая учесть все риски при подборе команды пентеста идет к банкротству. Будьте внимательнее!