Penetraatiotestaus

Penetraatiotestaus tarkoittaa tietotekniikassa eettisten tietomurtojen tekemistä.[1] Yleisellä tasolla penetraatiotestaus tarkoittaa minkä tahansa järjestelmän testaamista tietoturvariskien varalta. Penetraatiotestauksella voidaan esimerkiksi selvittää realistisesti kuinka houkutteleva kohde on hyökkääjien näkökulmasta. Usein penetraatiotestauksessa suoritetaan samoja toimenpiteitä kuin aidoissa hyökkäyksissä, kuitenkin täysin vaaraa ja vahinkoa aiheuttamatta.[2]

Penetraatiotestauksessa on kyse eettisestä hakkeroinnista, jossa white hat hengessä suoritetaan hyökkäys toimenpide, hyödyntäen samoja tekniikoita ja työkaluja, joita aidot verkkorikolliset käyttävät. Edellä mainittu "white hat" on termi, jota käytetään hyväntahtoisesta ja eettisesti oikeilla periaatteilla toteutetusta hakkeroinnista/hyökkäyksestä. Black hat -termiä käytetään puolestaan silloin, kun kyseessä on aidosti pahantahtoinen ja eettisyydestä piittaamaton hakkerointi/hyökkäys. Käytännössä penetraatiotestaus tarkoittaa sitä, että järjestelmään pyritään murtautumaan ennalta sovitusti "keinolla millä hyvänsä" ja pyrkimyksenä on järjestelmän hyödyntäminen siten, miten sen ei pitäisi olla mahdollista. Laadukkaasti toteutetusta penetraatiotestauksesta lopputuloksena saadaan todellisuutta kuvaava raportti sovelluksen tietoturvan tasosta ulkopuolisen pahantahtoisen hyökkääjän näkökulmasta. Saadun raportin avulla on mahdollista kehittää ja varmistaa sovelluksen laatua sekä turvallisuutta, joka edesauttaa tiedon luottamuksellisuutta, eheyttä, saatavuutta ja jäljitettävyyttä.[3]

Penetraatiotestauksia voidaan tehdä erilaisin laajuuksin ja kohdentaa esimerkiksi: asiakkaan ulkoverkkoon ja sen palveluihin, asiakkaan sisäverkkoon ja sen palveluihin, sovittuun verkkosegmenttiin ja sen palveluihin, asiakkaan tiettyyn palveluun, vierasverkkoon tai langattomaan verkkoon.[4] Penetraatiotestausta suoritetaan yleensä 5 vaiheisesti, joita ovat: 1. Tiedustelu, 2. Skannaus, 3.Pääsy, 4. Ylläpitää ja 5. Piilossa.[5]

Penetraatiotestauksen hyötyjä on muun muassa tietoturvariskien tunnistaminen, tietoturvan parantaminen, luottamuksen rakentaminen, lakisääteisten vaatimusten noudattaminen sekä testauksen avulla saadaan kustannus säästöjä, kun pystytään ennaltaehkäisemään vahinkoja.[6]