Amikor egy szervezet a weboldaláról gondolkodik, gyakran a nyitóoldal, a szolgáltatásbemutató, az űrlapok vagy a látványos nyilvános felületek jutnak elsőként eszébe. A valódi üzleti és adatkezelési szempontból legérzékenyebb funkciók azonban sokszor nem itt találhatók, hanem a bejelentkezés mögött. Ilyenek lehetnek az adminisztrációs panelek, ügyfélfiókok, partneri felületek, megrendelési rendszerek, belső ügykezelő oldalak vagy éppen a jogosultságokkal védett adatrészek.

A legfontosabb részek sokszor rejtve maradnak

Amikor egy szervezet a weboldaláról gondolkodik, gyakran a nyitóoldal, a szolgáltatásbemutató, az űrlapok vagy a látványos nyilvános felületek jutnak elsőként eszébe. A valódi üzleti és adatkezelési szempontból legérzékenyebb funkciók azonban sokszor nem itt találhatók, hanem a bejelentkezés mögött. Ilyenek lehetnek az adminisztrációs panelek, ügyfélfiókok, partneri felületek, megrendelési rendszerek, belső ügykezelő oldalak vagy éppen a jogosultságokkal védett adatrészek.

Ha ezek a területek kimaradnak a biztonsági ellenőrzésből, akkor a szervezet csak a felszínt látja. A nyilvános oldal önmagában ritkán mutatja meg, mennyire biztonságos a ténylegesen használt rendszer.

Mitől más a hitelesített vizsgálat?

A hitelesített vizsgálat lényege, hogy a biztonsági ellenőrzés nem áll meg a publikus tartalomnál, hanem be is lép az alkalmazásba. Így a vizsgálat képes elérni azokat a funkciókat, amelyekhez felhasználói vagy adminisztrátori jogosultság szükséges. Ez azért különösen értékes, mert éppen ezeken a területeken találhatók a valóban érzékeny folyamatok: adatkezelés, ügyfélkapcsolatok, jogosultságok, tranzakciók, belső működési lépések.

A hitelesített megközelítés közelebb áll a valós használathoz. Nem csupán azt vizsgálja, mi látható kifelé, hanem azt is, mi történik a rendszerben akkor, amikor valaki ténylegesen használja.

Milyen kockázatok jelenhetnek meg a védett felületeken?

A bejelentkezés mögötti részeken sokszor egészen más jellegű problémák jelennek meg, mint a nyilvános felületeken. Ide tartozhatnak például a jogosultsági hibák, a nem megfelelően kezelt belső funkciók, az érzékeny adatok túl széles körű láthatósága, vagy olyan folyamatok, amelyek a valós felhasználói működés során nyitnak kockázatot.

Egy nyilvános oldal lehet kifelé rendezett és biztonságosnak tűnő, miközben a belső adminisztrációs vagy ügyfélfelület már egészen más képet mutat. A szervezet szempontjából mégis ez utóbbi hordozza a nagyobb üzleti és reputációs kockázatot.

Miért fontos ez azoknak is, akik nem technikai szereplők?

A döntéshozónak nem kell a hitelesítési folyamat technikai részleteit ismernie ahhoz, hogy megértse a lényegét. Elég azt felismerni, hogy a rendszer legérzékenyebb részei sokszor nem nyilvánosak, és ha ezek nincsenek rendszeresen ellenőrizve, akkor a biztonsági kép szükségszerűen hiányos.

A vezetői felelősség szempontjából ez azért lényeges, mert az adatvédelmi, üzleti és ügyfélbizalmi kockázatok gyakran éppen a bejelentkezés mögötti területeken keletkeznek. Ha ezeket nem látjuk, akkor a problémák sokszor csak akkor derülnek ki, amikor már hatásuk van.

Mikor különösen indokolt az ilyen vizsgálat?

Különösen ajánlott a hitelesített webalkalmazás-vizsgálat olyan szervezeteknél, ahol ügyfélfiókok, adminisztrációs felületek, belső portálok, e-learning rendszerek, foglalási felületek vagy bármilyen üzletileg fontos, belépéshez kötött szolgáltatás működik. Ugyanígy indokolt lehet új fejlesztés, verzióváltás vagy érzékenyebb adatkezelés esetén is.

A lényeg, hogy a szervezet ne csak azt tudja meg, milyen a kirakat, hanem azt is, mennyire biztonságos a ténylegesen használt belső működés.