Početna Blog Penetracijsko testiranje

Penetracijsko testiranje

Svi članci
23.05.2024.

Penetracijsko testiranje vrsta je sigurnosnog testiranja koje uključuje procjenu sigurnosti sustava, mreže ili aplikacije pokušajem simulacije napada zlonamjernog hakera iz stvarnog svijeta. Cilj penetracijskog testa je identificirati ranjivosti i slabosti u sustavu i dati preporuke za njihovo uklanjanje.

Morate paziti koje testiranje planirate i što istim želite otkriti, a što ovisi o dosta detalja  i sustava koje koristite...

Postoji nekoliko različitih vrsta penetracijskih testova. Test može uključivati intranet, vanjsku mrežu, društveni inženjering, testiranje web aplikacija, testiranje mobilnih aplikacija, pa čak i testiranje fizičkog prodora.

Revizija sigurnosti nije isto što i pen testiranje

Pen test nije isto što i skeniranje ranjivosti ili revizija sigurnosti. Skeniranje ranjivosti uključuje automatizirane alate koji skeniraju sustav u potrazi za poznatim ranjivostima, dok je revizija sigurnosti općenitija procjena sigurnosnog stanja sustava. I jedno i drugo morate raditi na godišnjoj razini.

Po mišljenju nadzornih tijela, takva ispitivanja mogu se uskladiti s odredbama čl. 32. i 25. GDPR-a. Prema čl. 32. st. 1 lit. d) GDPR, ne samo tehničke i organizacijske mjere koje se odnose na dostupnost, povjerljivost i cjelovitost sustava moraju se implementirati i provoditi, već se stvarna učinkovitost mora pokazati odgovarajućim mjerama.

GDPR zahtijeva od organizacije da kontinuirano prati i ima kontrolu nad kretanjem osobnih podataka zajedno s implementacijom potrebnih mehanizama za kontrolu razina pristupa i da podatke učini neupotrebljivima nenamjernom korisniku.  Uz navedeno, GDPR zahtijeva da voditelj obrade redovito provjerava i ocjenjuje učinkovitost provedenih tehničkih i organizacijskih mjera, vidi članak 32(1)(d) GDPR. Takav pregled može se provesti uz pomoć penetracijskih testova.

EDPB u svojim Smjernicama 01/2021 o primjerima obavješćivanja o povredi osobnih podataka navodi kao jednu od preporučenih organizacijskih i tehničkih mjera redovito provođenje penetracijskih testova. 

Međutim, u kontekstu ovog testa, izvođač koji provodi testove može dobiti, pročitati ili na drugi način obrađivati osobne podatke. Ako se to ne može isključiti, nadzorna tijela savjetuju voditelja/e obrade da obveže izvođača ugovorom o obradi podataka (to je obveza!).

Kako bi se osiguralo da klijent na kraju ostane "gospodar podataka", nadzorna tijela savjetuju da izvođač treba biti vezan ugovorom o obradi podataka kako izvođač ne bi pravno djelovao kao treća strana (čl. 4 br. 10 GDPR). Prema stajalištu nadzornih tijela, ovaj rezultat možda nije u potpunosti u skladu sa regulativom o zaštiti podataka, jer ti sigurnosni testovi ne podrazumijevaju obradu osobnih podataka kao svoju glavnu obvezu stoga je uvijek nužno procijeniti od slučaja do slučaja kada je ugovor obvezan, a kada se preporučuje. O zadnje navedenom ovisi i sadržaj ugovora.

U slučaju ugovora o održavanju penetracijskih testova, obrada osobnih podataka zapravo nije srž ugovora. Unatoč tome, klijent je svjestan mogućnosti otkrivanja i upućuje praktički "s uvjetnom namjerom".

Ako osobni podaci mogu biti otkriveni, izvođač bi trebao biti pravno vezan ugovorom o obradi podataka. Nadzorno tijelo preporučuje korištenje dodatka ugovora o obradi podataka koji može upućivati na glavni ugovor. U ugovoru treba posebno odrediti kako će se postupati s osobnim podacima prema uputama klijenta u očekivanom ili neočekivanom slučaju da isti budu primljeni ili otkriveni iz sfere klijenta ili da će podaci biti dostavljeni klijentu nakon završetka testa te mjere i izvješća predati odgovornima ili propisno izbrisati.

 

Imate pitanja? Kontaktirajte nas!
Odgovaramo u najbržem mogućem roku.

Newsletter
Prijavi se i ostvari eksluzivan pristup novostima iz svijeta GDPR-a.
Zatvori