Er en gang om året nok?

Her taler jeg selvfølgelig om penetrationstest. For nylig var den uafhængige tænketank Cyber Resilience Think ude og sige, at det er tid til at pensionere den såkaldte penetrationstest. Den forudsigelse er jeg ikke enig i, jeg mener derimod, at vi hellere skal tale om, at en gang om året ikke er nok, og at en penetrationstest ikke kan stå alene. 

Da organisationer begyndte at gennemføre penetrationstest tilbage i starten af 1990’erne, var det for at få et overblik over alle de sårbarheder, der var på deres webapplikation. Da disciplinen var forholdsvis ny, var de findings, som it-sikkerhedsleverandøren fandt ofte fyldt med alvorlige sårbarheder. Kunden modtog blot en rapport, som de så i det næste stykke tid kunne arbejde med. Ofte gennemførte man en lille gentest af de sårbarheder, som kunden havde udbedret. Året efter gennemførte man en ny test, hvor rapporten forhåbentlig viste fremskridt. Lidt firkantet sagt, så brugte man penetrationstest, som led i en procedure til at finde sine sårbarheder.

Men det blev hurtigt tydeligt, at man havde brug for at gøre noget mere end bare at gennemføre en årlig penetrationstest, så derfor introducerede vi, i branchen, scanninger, som en måde at fange sårbarheder, i løbet af året, på. For mange virksomheder er dette i dag stadig modellen, og for mange virksomheder giver den stadigvæk rigtig meget værdi.

For de virksomheder som er længere op ad modenhedstrappen, holder scanninger op med at være en proces til at finde sårbarheder til at være en kontrol af patch management. Problemet er her, at vi ikke afdækker alle de nye angrebsmetoder og teknikker. Scanning er godt til kontrol – ikke andet. 

Så hvad gør vi så med de nye angreb metoder, der kommer i løbet af året? Kan vi leve med, at der kan være op til et år mellem vores test/kontrol af, om vi som virksomhed er sårbar? Svaret for mange vil nok være nej. Og hvis du følger Datatilsynets vejledninger, så anbefaler de, at du som dataansvarlig eller databehandler regelmæssigt udfører sikkerhedstests, herunder penetrationstest. 

Jeg mener derfor, at svaret er en løbende penetrationstest med løbende rapportering. Der er ingen grund til at lægge penetrationstesten i graven, det handler blot om at se den i et andet lys. En løbende test kræver et tættere parløb med din it-sikkerhedsleverandør og til en start en lidt større investering. Til gengæld får du meget hurtigt værdi af din investering, da du hurtigere og mere målrettet kan sætte ind over for svagheder og ikke mindst få afprøvet nye angrebstekniker efter, de er frigivet.