Penetracijsko testiranje vrsta je sigurnosnog testiranja koje uključuje procjenu sigurnosti sustava, mreže ili aplikacije pokušajem simulacije napada zlonamjernog hakera iz stvarnog svijeta. Cilj penetracijskog testa je identificirati ranjivosti i slabosti u sustavu i dati preporuke za njihovo uklanjanje.
Morate paziti koje testiranje planirate i što istim želite otkriti, a što ovisi o dosta detalja i sustava koje koristite...
Postoji nekoliko različitih vrsta penetracijskih testova. Test može uključivati intranet, vanjsku mrežu, društveni inženjering, testiranje web aplikacija, testiranje mobilnih aplikacija, pa čak i testiranje fizičkog prodora.
Revizija sigurnosti nije isto što i pen testiranje
Pen test nije isto što i skeniranje ranjivosti ili revizija sigurnosti. Skeniranje ranjivosti uključuje automatizirane alate koji skeniraju sustav u potrazi za poznatim ranjivostima, dok je revizija sigurnosti općenitija procjena sigurnosnog stanja sustava. I jedno i drugo morate raditi na godišnjoj razini.
Po mišljenju nadzornih tijela, takva ispitivanja mogu se uskladiti s odredbama čl. 32. i 25. GDPR-a. Prema čl. 32. st. 1 lit. d) GDPR, ne samo tehničke i organizacijske mjere koje se odnose na dostupnost, povjerljivost i cjelovitost sustava moraju se implementirati i provoditi, već se stvarna učinkovitost mora pokazati odgovarajućim mjerama.
GDPR zahtijeva od organizacije da kontinuirano prati i ima kontrolu nad kretanjem osobnih podataka zajedno s implementacijom potrebnih mehanizama za kontrolu razina pristupa i da podatke učini neupotrebljivima nenamjernom korisniku. Uz navedeno, GDPR zahtijeva da voditelj obrade redovito provjerava i ocjenjuje učinkovitost provedenih tehničkih i organizacijskih mjera, vidi članak 32(1)(d) GDPR. Takav pregled može se provesti uz pomoć penetracijskih testova.
EDPB u svojim Smjernicama 01/2021 o primjerima obavješćivanja o povredi osobnih podataka navodi kao jednu od preporučenih organizacijskih i tehničkih mjera redovito provođenje penetracijskih testova.
Međutim, u kontekstu ovog testa, izvođač koji provodi testove može dobiti, pročitati ili na drugi način obrađivati osobne podatke. Ako se to ne može isključiti, nadzorna tijela savjetuju voditelja/e obrade da obveže izvođača ugovorom o obradi podataka (to je obveza!).
Kako bi se osiguralo da klijent na kraju ostane "gospodar podataka", nadzorna tijela savjetuju da izvođač treba biti vezan ugovorom o obradi podataka kako izvođač ne bi pravno djelovao kao treća strana (čl. 4 br. 10 GDPR). Prema stajalištu nadzornih tijela, ovaj rezultat možda nije u potpunosti u skladu sa regulativom o zaštiti podataka, jer ti sigurnosni testovi ne podrazumijevaju obradu osobnih podataka kao svoju glavnu obvezu stoga je uvijek nužno procijeniti od slučaja do slučaja kada je ugovor obvezan, a kada se preporučuje. O zadnje navedenom ovisi i sadržaj ugovora.
U slučaju ugovora o održavanju penetracijskih testova, obrada osobnih podataka zapravo nije srž ugovora. Unatoč tome, klijent je svjestan mogućnosti otkrivanja i upućuje praktički "s uvjetnom namjerom".
Ako osobni podaci mogu biti otkriveni, izvođač bi trebao biti pravno vezan ugovorom o obradi podataka. Nadzorno tijelo preporučuje korištenje dodatka ugovora o obradi podataka koji može upućivati na glavni ugovor. U ugovoru treba posebno odrediti kako će se postupati s osobnim podacima prema uputama klijenta u očekivanom ili neočekivanom slučaju da isti budu primljeni ili otkriveni iz sfere klijenta ili da će podaci biti dostavljeni klijentu nakon završetka testa te mjere i izvješća predati odgovornima ili propisno izbrisati.