
Martin Hořický
Evropské nařízení DORA (Digital Operational Resilience Act) zavádí nový standard pro řízení ICT rizik. Od významných finančních subjektů požaduje, aby pravidelně prováděly Threat-Led Penetration Testing (TLPT), inteligenčně řízené testy vedené na základě hrozeb, které simulují schopnosti pokročilých organizovaných kybernetických útočníků (APT). Cílem není jen nalézt zranitelnosti, ale ověřit schopnost celé organizace odhalit, reagovat a obnovit provoz po útoku, který odpovídá reálnému a koordinovanému scénáři.
Na rozdíl od standardního penetračního testu TLPT:
Z technického pohledu vyžaduje TLPT detailní znalosti útočných vektorů a schopnost napodobit metody reálných útočníků, kteří využívají zero-day zranitelnosti, sociální inženýrství, obfuskaci kódu nebo útoky na dodavatelské řetězce.
Testování musí být prováděno na základě aktuálního profilu hrozeb, nikoli jako univerzální scénář.
Test se musí týkat kritických funkcí a systémů, jejichž výpadek by mohl ohrozit stabilitu služeb.
Organizace musí zapojit externí, nezávislé a kvalifikované testery.
Výsledky musí vést k implementaci nápravných opatření a případnému retestování.
DORA klade důraz i na kvalitu a kvalifikaci subjektů provádějících pokročilé testy. Testeři musejí splňovat přísná kritéria, např.:
Pokud by instituce chtěla využít vlastní interní red team, musí získat schválení regulátora a zajistit organizační nezávislost interního týmu (zamezit střetu zájmů). Operativní informace o hrozbách pro scénář musí dodat externí poskytovatel.
Identifikace cílové aplikace a připojení k interní síti. Shromažďování informací o cílovém systému, jako jsou IP adresy, záznamy DNS a další metadata.
Analýza dostupných informací o aplikaci a přidružených systémech. Určení dostupných služeb, verzí a dalších informací.
Odposlouchávání a sběr přenášených dat za účelem identifikace zranitelností vedoucích k úniku dat.
Skenování sítě pro identifikaci aktivních hostů a portů. Skenování konkrétních aplikačních služeb, jako jsou API, GUI.
Identifikace uživatelských účtů a skupin v systému. Určení dostupných funkcí a oprávnění v aplikaci.
Hodnocení zabezpečení operačního systému, databáze a dalších komponent. Využití standardních automatických a manuálních nástrojů pro identifikaci zranitelností v aplikaci.
Pokus o využití identifikovaných zranitelností k získání neoprávněného přístupu nebo úniku informací. Simulace útoků na prostředí aplikace.
Pokračování průzkumu prostředí po získání přístupu. Shromažďování dalších informací a pokusy o eskalaci oprávnění.
Sestavení podrobné zprávy obsahující identifikované slabiny, doporučení pro zlepšení a důkazy provedených testů. Doručení výsledků zprávy odpovědným osobám v organizaci.
V případě úspěšného přístupu přijímání opatření k minimalizaci možných důsledků. Smazání stop testování a obnovení systému do jeho původního stavu.
BDO poskytuje TLPT služby v souladu se specifickými požadavky evropských regulátorů (např. ECB, EBA, ESMA) i osvědčené metodiky typu TIBER-EU, CBEST nebo iCAST.
Naše metodologie kombinuje přístup red teamingu, znalost regulatorního rámce a hluboké technické know-how – včetně scénářů, které reflektují sektorové hrozby a digitální útoky v evropském finančním prostoru.
Naši specialisté vlastní certifikace OSCP, CRTO, eCPPT, BSCP, CEH, CRT, CPSA, CISSP, CCISO a další. Mají zkušenosti s testováním velkých bank, pojišťoven i ICT poskytovatelů.
Rozumíme regulatorním rámcům a dokážeme TLPT test přizpůsobit tomu, co požaduje legislativa i sektorový dohled. Pomáháme s celkovou strategií kybernetické odolnosti.
Jako nezávislá poradenská firma nemáme vlastní technologie a nabízíme skutečně objektivní hodnocení. Spolupráce s BDO je pro regulátory i klienty jasným signálem kvality a důvěry.