Kybernetická bezpečnosť webových stránok samospráv: Čo by ste mali vedieť o testovaní

Kybernetická bezpečnosť webových stránok samospráv: Čo by ste mali vedieť o testovaní

Obce a mestá v poslednom čase dostávajú komerčné ponuky na testovanie kybernetickej bezpečnosti webových sídiel. Z tohto dôvodu sme pre vás pripravili zhrnutie ohľadne tejto problematiky.

Testovanie bez koordinácie môže spôsobiť problémy

Vaše webové sídlo (stránka) beží na systémoch spoločnosti WEBY GROUP. Ak by niekto spustil bezpečnostné testy bez nášho vedomia, naše systémy by túto aktivitu mohli vyhodnotiť ako kybernetický útok. To môže viesť k dočasnému obmedzeniu dostupnosti Vašej stránky. Toto je dôvod preto, aby akékoľvek bezpečnostné testovanie prebiehalo vždy v koordinácii s nami (WEBY GROUP) ako prevádzkovateľom infraštruktúry.

Penetračné testovanie má svoje pravidlá

Podľa metodiky MIRRI (Ministerstvo investícií, regionálneho rozvoja a informatizácie SR) musí pred každým penetračným testom prebehnúť niekoľko povinných krokov:

  • Definícia rozsahu a cieľov — čo presne sa bude testovať a prečo
  • Autorizačný list — písomné povolenie od vlastníka alebo prevádzkovateľa testovaného systému
  • Dohoda o mlčanlivosti (NDA) — ochrana citlivých informácií, ku ktorým tester počas práce získa prístup
  • Zmluva s dodávateľom — jasné vymedzenie zodpovedností a pravidiel

Testovanie bez týchto dokumentov je nielen v rozpore s odporúčanými postupmi, ale môže byť aj právne problematické. MIRRI vydalo podrobný metodický dokument Návrh štandardov pre postupy pri penetračných testoch v prostredí verejnej správy, ktorý tieto požiadavky opisuje (PDF 1,17 MB).

Bezplatné skenovanie od štátu: systém Achilles

Vládna jednotka CSIRT.SK prevádzkuje systém Achilles. Jedná sa o bezplatnú službu pre inštitúcie štátnej a verejnej správy. Systém automaticky skenuje verejné IP adresy zaregistrovaných subjektov a informuje ich o zraniteľnostiach, ktoré sú viditeľné z internetu. Achilles ponúka:

  • mesačné reporty kritických zraniteľností na verejných IP adresách
  • validáciu nálezov analytikmi CSIRT (eliminácia falošných poplachov)
  • kvartálne súhrnné správy
  • upozornenia na aktívne zneužívané zraniteľnosti

Registrácia je bezplatná. Stačí zaslať e-mail na adresu achilles@csirt.sk so žiadosťou o registráciu. Viac informácií nájdete na csirt.gov.sk.

Infraštruktúra vašej webovej stránky je pravidelne testovaná

Ak vaša obec využíva redakčný systém Webyportál od spoločnosti WEBY GROUP, webová stránka beží na infraštruktúre, ktorá je zabezpečená v súlade so zásadami kybernetickej bezpečnosti. Pravidelne prechádza bezpečnostným auditom. Je  vykonávaný auditorom certifikovaným Národným bezpečnostným úradom (NBÚ).

Máte otázky?
Obraťte sa na nás — radi vám poradíme, ako postupovať správne a v súlade s odporúčaniami MIRRI.

« Späť

Napíšte nám

Na Vašu otázku odpovieme do 48 hodín.

verify

WEBY GROUP, s.r.o. spracúva Vaše osobné údaje (meno, priezvisko, mesto, e-mail, telefón) iba za účelom vybavenia Vami požadovanej služby alebo dotazu. Prístup k údajom budú mať len oprávnené osoby a počas ich uchovávania bude primeraným spôsobom chránená integrita a dôvernosť týchto údajov a nebudú ďalej poskytnuté tretím stranám. Viac o Ochrane osobných údajov »