О заказчике
Компания занимается розничной дистанционной торговлей, доставляя товары тысячам покупателей из разных регионов. Выручка компании ежегодно растет. Число покупателей превышает десятки тысяч.

В штате около 100 квалифицированных специалистов, многие из которых работают удаленно.

Цели и задачи проекта
Большой объем клиентских данных вынуждает особенно внимательно относиться к защите информации. Любая утечка персональных данных может стоить очень дорого, а восстановить репутацию будет невероятно сложно.

Хакеры и конкуренты тоже охотятся за чужими данными. Их цели — заработать, навредить коллеге по рынку, украсть клиентскую базу. При этом за любую утечку, — преднамеренную или случайную, — регулятор штрафует бизнес, а сумма штрафа может достигать нескольких миллионов рублей.

Минимизировать риски позволяет грамотная защита цифровых активов. Поэтому для компании важно было наметить стратегию информационный защиты с учетом уже существующих рисков и уязвимостей.



Решение
Решением стал комплексный анализ защищенности с тестированием на проникновение (пентестом) — имитацией хакерской атаки в целях выявления потенциальных уязвимостей.

До старта проекта компания сформировала шорт-лист подрядчиков, в который вошли 10 кандидатов. Исполнителя выбирали по нескольким критериям — компетенциям, опыту, наличию благодарственных писем, форме отчетных документов, скорости реакции и мобильности.

В результате остановились на «КРЕДО-С» — подрядчике, который продемонстрировал наиболее полное соответствие требованиям заказчика.

В рамках проекта эксперты компании «КРЕДО-С» провели пентест сразу нескольких видов:
  • тестирование на проникновение и анализ уязвимостей внешнего периметра;
  • тестирование на проникновение и анализ уязвимостей web-приложений;
  • тестирование на проникновение и анализ уязвимостей внутренней сети;
  • тестирование на проникновение и анализ уязвимостей беспроводной сети.

По итогам пентестов сформировали объемный отчет, содержащий два блока — перечень выявленных уязвимостей и рекомендации по их устранению.

На основе полученного отчета совместно с «КРЕДО-С» были устранены слабые места в системе информационной безопасности, усилены меры защиты цифровых активов.

На финальном этапе проекта эксперты провели повторное тестирование на проникновение, уже с учетом принятых мер по защите, и сформировали свежий отчет об уязвимостях.

Результат
Результатом стало повышение уровня защищенности данных и ИТ-инфраструктуры за счет закрытия критичных уязвимостей.

Отчет, полученный на финальном этапе, стал предпосылкой для последующего наращивания средств и компетенций в сфере информационной безопасности, а также фундаментом для грамотной стратегии защиты от киберугроз.