Systémy HELIOS Nephrite a HELIOS Pantheon prošly úspěšně penetračními testy

06. prosince 2022

Podnikové informační systémy HELIOS Nephrite a HELIOS Pantheon se mohou pochlubit certifikací na penetrační testy, které provedla nezávislá společnost Auxilium Cyber Security.

Společnost Asseco Solutions je lídrem na českém trhu v segmentu podnikového softwaru a její ERP produkty jsou na trhu oceňovány pro svou spolehlivost a vysoké bezpečnostní standardy. Nově to dokládá i úspěšná certifikace o provedení penetračních testů.

U systémů HELIOS Nephrite a HELIOS Pantheon byly na konci října 2022 provedeny penetrační testy nezávislou poradenskou společností Auxilium Cyber Security s.r.o., jež se zaměřuje na poskytování kybernetické bezpečnosti a disponuje týmem OSCP certifikovaných penetračních testerů.

Testování zahrnovalo:

  • vlastní infrastrukturu – tedy nasazení systému podle best practices;
  • klientskou aplikaci i webového klienta;
  • audit použitých kryptografických prostředků;
  • proces aktualizací včetně všech souvisejících technologií;
  • integraci na systémy třetích stran;
  • integrační rozhraní REST-API.

Oba produkty byly náležitě otestovány podle mezinárodních standardů OWASP Top 10, OWASP API Security Top 10, což lze doložit vydaným certifikátem.

Bezpečnost dat našich zákazníků a partnerů je pro nás prioritou

Provedení testů ukazuje i zvýšenou pozornost, kterou společnost Asseco Solutions věnuje kybernetické bezpečnosti v době, kdy se v globální ekonomice zvyšují geopolitická rizika. Zároveň apeluje na všechny své zákazníky, aby si aktualizovali opravy a měli systém v bezpečí.

„Náš systém pravidelně testujeme a neustále připravujeme nové bezpečnostní prvky a implementujeme aktuální bezpečnostní standardy. K tomu je však nezbytná součinnost zákazníků a partnerů, spočívající v pravidelné instalaci oprav. Jedině tak společně zajistíme celkovou bezpečnost systému.“
Luboš Římal, vedoucí oddělení vývoje systémů HELIOS

Penetrační testy v souladu s požadavky NÚKIB

Dalším plusem penetračních testů je i to, že jsou prováděny v souladu s doporučením vydaným Národním úřadem pro kybernetickou a informační bezpečnost (NÚKIB). V obecné rovině je penetrační test legálním pokusem o průnik do testovaných systémů na základě podepsané smlouvy. Výsledkem je zpráva o chybách v zabezpečení testovaného subjektu.

Penetrační test se provádí s cílem identifikovat zranitelnosti, které by mohly být přítomny v aktivu: na počítači, na serveru, v informačním systému, síti, aplikaci nebo v organizaci (pak se testuje zranitelnost osob a fyzické zabezpečení). Penetrační testy provádí vyškolení, kvalifikovaní experti s použitím postupů, o kterých se předpokládá, že by je mohli použít skuteční hackeři.

Penetrační testy odhalují slabiny (zranitelnosti) i způsoby (hrozby), jakými by mohla být aktiva zneužita, a poskytují návod, jak snížit existující riziko. Mohou také identifikovat schopnost organizace reagovat na incident bezpečnosti informací.