Penetrationstester - varför blir det så fel?

Anlitar du en säkerhetsspecialist vill du få reda på hur du kan skydda dig på bästa sätt.  Svårare än så är det inte. Tyvärr blir resultatet ofta något helt annat, till exempel när det gäller penetrationstester. Det är dags att vi i branschen tar oss i kragen och börjar leverera det som kunden verkligen behöver.Trots att det är år 2013 får vi fortfarande ofta förfrågan om så kallade black-box-tester. Det vill säga att vi endast får reda på en adressrymd som ska testas. Allt annat är hemligt. Motiveringen är att det ska vara så naturtroget som möjligt. Penetrationstestarna får leka cowboys och visa vad de går för. Kunderna blir imponerade om de tar sig in. Då borde väl allt vara frid och fröjd? Ja, om målet hade varit att testa den tekniska kompetensen hos testarna.Problemet är att vi missar det som är viktigt för våra kunder. För det första diskuterar vi inte vad företaget ska skydda och hur det påverkar det ekonomiska resultatet. Var finns informationen och systemen som är viktiga? Istället arbetar testarna lika mycket med att bevisa att det går att hacka lunchmenyn som affärskritisk information som kan orsaka mångmiljonförluster.

För det andra använder testarna en hel del värdefull tid åt att identifiera och kartlägga utrustning istället för att försöka överlista den. Med andra ord läggs mycket kraft åt att hantera security by obscurity istället för att ge mervärde åt kunden.

Om vi nu ändå har full information, varför blir resultatet bara en lista med tekniska sårbarheter och hur kunderna kortsiktigt täpper igen dem? Ett år senare är arbetet förgäves. Varför pratar vi så sällan om affärsrisker och bakomliggande processer? Varför föreslår vi inte utbildning och ändrade arbetssätt för att nya hål inte ska uppstå?

Nej, nu tar vi oss i kragen och blir bättre. Ett penetrationstest ska i slutändan generera rätt risknivå och mer pengar åt våra kunder. Liksom alla andra säkerhetstjänster. Inget annat.

Åsa Schwarz är säkerhetskonsult på Knowit.