Sızma Testi (Pentest) Nedir, Yasal Mıdır?

Sızma testi denildiğinde, akla ilk gelenlerden birisi de hecklemektir. Aslına bakarsanız, bu önerme bir nevi doğrudur da. Aradaki fark ise, tamamen yasal olarak çalışmalarda bulunup, belirli prosedürlere göre ilerlemektir. Konunun detaylarına içeriğimizin devamında değinecek olsak da, sızma testi çalışmaları günümüz dünyasında çok büyük bir önem arz etmektedir. Özellikle orta ve büyük çaptaki her şirketin bir web sitesi bulunmaktadır. Keza belirli bir kesimin mobil uygulamaları da vardır. Bu web siteleri ve uygulamalar, kullanıcılarının birçok bilgisini bünyesinde barındırmaktadır.

Bu site yalnızca tanıtım amaçlı bir site de olsa bir e-ticaret sitesi de olsa durumun ehemmiyeti kırmızı alarm verecek düzeyde yüksektir. Durumu 2 örnek ile ele alarak, aklınızdaki soru işaretlerini giderelim. Örneğin, yapı malzemeleri sunan bir şirketin sahibisiniz ve internet siteniz de rakiplerinizden çok daha ön planda. Etik olmayan bir rakibiniz, bu durumdan hiç haz etmiyor. Bunun için de yasa dışı bir yönteme başvurarak siyah şapkalı bir hacker ile anlaşıyor. Sitenizi heckleyen kişi veya kişiler, rakibinize sitenizin analizlerini, günlük kullanıcı sayısını, bu kullanıcıların demografik yapısını ve nerelerden geldiğinin bilgisini detaylı bir şekilde verebilmektedir. Sonuçta, bilgilerinizi ele geçiren karşı taraf, size karşı avantajlı hale gelerek sektör içerisinde sizi alt edebilmektedir. Bir diğer örnek ise, e-ticaret sitesinin hecklenmesi. Bu durumun sonuçları hayal edilemeyecek derecede kötüdür. E-Ticaret siteleri kullanıcıların kimlik bilgilerinden adreslerine, kredi kartı bilgilerinden alışveriş geçmişlerine değin verileri barındırmaktadır. Bunu ele geçiren 3. kişiler bilgilerinizi satışa çıkarabilmektedir. Bununla beraber kendi kötü emelleri doğrultusunda kullanabilirler. Peki, bu durumun önüne geçmek için neler yapılmalı? İşte tam da bu noktada sızma testi (pentest) devreye girmektedir.

Sızma Testi (Pentest) Nedir?

Şirketler, fiziksel ortamda hizmet/ürün sundukları kadar dijital ortamda da faaliyetlerini sürdürmektedirler. Gerçek dünyada ilgili kurumun güvenliğini, güvenlik kameraları, güvenlik çalışanları ve diğer ek tedbirler ile yapmaktadır. Peki, aynı hassasiyeti dijital ortamda da gösteriyorlar mı dersiniz? Aslına bakarsanız, bu yasal bir sorumluluktur. Beyaz şapkalı hacker dediğimiz, sertifikalı bilgi güvenliği uzmanları tarafından sızma testleri yapılmaktadır. Öncelikle şirket ile hukuki geçerliliği olan bir sözleşme imzalanmaktadır. Akabinde belirli adımlardan oluşan sızma testine başlanır. Bunun evvelinde ise şirket çalışanlarına temel siber güvenlik eğitimleri ve sosyal mühendislik çalışmaları hakkında bilgiler verilmektedir.

Sonrasında ise şirketin sitesi/uygulaması üzerinde sızma testi uygulamaları yapılmaktadır. Çalışmaların sonucunda her şey raporlanarak şirket yetkililerine sunulmaktadır. Bu zafiyetlerin ne olduğu ve nasıl bir yol haritası izlenmesi gerektiği hakkında bilgiler bulunmaktadır. Böylece ilgili marka, güvenlik açıklarını kapatmak için gerekli verileri almış olur. KVKK hususunu da ön planda bulundurarak, ilgili çalışmalara devam edilmektedir. Bu sayede şirketin sanal dünyada da güvenliği sağlanmış olmaktadır. Gerek şirket personeli gerekse de ilgili sitenin/uygulamanın kullanıcılarının güvenliği açısından mühim bir konudur. Pentestin gerekliliği bu anlamda yadsınamaz bir gerçektir. Pentest uzmanları ve sızma testi hakkındaki görüşlerinizi yorumlar bölümünden belirtebilirsiniz.