Najlepsze praktyki zarządzania usługami IT

Dedykowana organizacja serwisowa BCC zapewnia jakość i ciągłość obsługi kontraktów outsourcingowych.

Jesteśmy firmą konsultingową, specjalizującą się w usługach SAP, outsourcingu IT i rozwoju oprogramowania. Wspieramy biznes naszych klientów.

Dlatego nasze hasło brzmi: IT makes business better

Jesteśmy częścią Grupy SNP, światowego lidera w zakresie transformacji środowisk SAP

Od 1995 roku zrealizowaliśmy z sukcesem setki projektów IT w Polsce i kilkudziesięciu innych krajach.

"Lepszy Biznes" to magazyn klientów BCC. Czytaj setki artykułów, przydatnych w przygotowaniu i realizacji projektów IT.

Nasi eksperci przedstawiają najciekawsze rozwiązania i nowości ze świata IT.

Zobacz archiwum nagrań z webinarów, zarejestruj się na kolejne edycje.

Dlaczego uważamy, że BCC jest dobrym pracodawcą? Bo łączymy cechy rzadko spotykane w jednej organizacji - duże możliwości rozwoju, a zarazem dobrą atmosferę i elastyczność środowiska pracy. Dowiedz się więcej, na czym to polega w praktyce!

Seamless Medical Systems: Etyczny hacking zwiększa bezpieczeństwo aplikacji

Testy penetracyjne dla firmy programistycznej
Profesjonalnie tworzone oprogramowanie nie tylko realizuje założone funkcje biznesowe, ale także zapewnia bezpieczeństwo przetwarzania danych. Waga aspektu bezpieczeństwa jest tym większa, im bardziej krytyczne dane dostępne są w systemie. Testy penetracyjne weryfikują poziom bezpieczeństwa w sposób praktyczny i pozwalają wykryć nawet te luki, które umknęły uwadze architektów, programistów i testerów oprogramowania lub nie wynikają bezpośrednio z jakości kodu źródłowego.

Seamless Medical Systems dostarcza specjalistyczne aplikacje dla branży medycznej. Wśród oferowanych funkcjonalności dostępne są m.in. mobilna rejestracja pacjentów, zarządzanie kolejkami, weryfikacja ubezpieczeniowa i pobieranie płatności, edukacja pacjentów i bieżąca komunikacja. Oprogramowanie jest w pełni zintegrowane z wiodącymi systemami EMR (ang. Electronic Medical Record) oraz spełnia wymagania HIPAA (ang. Health Insurance Portability and Accountability Act).

Z uwagi na przetwarzanie szczególnie wrażliwych danych, zarówno dla użytkowników systemu, jak i jego producenta, kluczowym aspektem jakości oprogramowania jest szeroko rozumiana poufność informacji.

Zaufany haker do wynajęcia

Optymalną metodą weryfikacji bezpieczeństwa systemu okazał się, zaproponowany przez BCC, etyczny hacking – usługa polegająca na szczegółowym, metodycznym przetestowaniu aplikacji pod kątem występowania błędów i podatności. Dzięki wysokim kompetencjom konsultantów bezpieczeństwa BCC oraz wykorzystanym specjalistycznym narzędziom, taka praktyczna próba przełamania zabezpieczeń systemu pozwoliła na sprawdzenie bezpieczeństwa danych w znacznie szerszym kontekście niż tylko obszar, za który odpowiadają programiści. Testom podlegały bowiem zarówno aplikacje, jak również ich otoczenie (m.in. serwery), a nawet tablety klienckie – wykorzystywane przez pacjentów.

Bezpieczeństwo aplikacji

Obiektem przeprowadzonych testów penetracyjnych było 8 aplikacji webowych. Porównywalność wyników i powtarzalność testu zapewniono dzięki zastosowaniu uznanych wytycznych Open Web Application Security Project (OWASP) Testing Guide v4 oraz National Institute of Standards and Technology Special Publication 800-115 (NIST SP 800-115).

Wykorzystanie szeregu narzędzi wspierających pracę pentestera, pozwoliło na efektywne sprawdzenie obszarów takich jak:

  • poprawność szyfrowania transmitowanych przez Internet danych,
  • zarządzanie użytkownikami systemu (tworzenie, nadawanie, resetowanie haseł itp.),
  • reakcja aplikacji na niepoprawne (w tym podmienione) dane,
  • sposób i bezpieczeństwo przechowywania danych (w tym danych tymczasowych).

Bezpieczeństwo urządzeń pacjentów

Innym zweryfikowanym podczas testu scenariuszem była utrata tabletu (kradzież, zgubienie). Analizie podlegała możliwość wykorzystania urządzenia do wejścia w posiadanie danych medycznych jego prawowitego użytkownika lub innych użytkowników systemu. Sprawdzono m.in. poprawność nawiązywania i zamykania sesji klienta z serwerem oraz zakres i sposób składowania danych przechowywanych w pamięci urządzenia.

Anthony Brooke, Co-founder & CTO, Seamless Medical Systems Inc

Kompleksowy program bezpieczeństwa
Najważniejsze założenia każdej komplementarnej platformy technologicznej HIPAA obejmują przeprowadzanie okresowych testów bezpieczeństwa przez wykwalifikowaną stronę trzecią. Testy penetracyjne stanowią najlepszą praktykę branżową, a Grupa BCC jest partnerem naszego kompleksowego programu bezpieczeństwa.
Anthony Brooke, Co-founder & CTO, Seamless Medical Systems Inc

Eskalacja uprawnień

Kolejnym elementem testu penetracyjnego była weryfikacja możliwości uzyskania dostępu do danych przez osobę do tego nieupoważnioną, poprzez zdobycie wyższego poziomu uprawnień niż przydzielone danemu użytkownikowi. Sprawdzenia dokonano m.in. poprzez niezgodne z przeznaczeniem wykorzystanie formularzy aplikacji oraz modyfikacje adresu URL.

Podsumowanie

Finalnym produktem przeprowadzonych testów był obszerny raport, dokumentujący podjęte działania i uzyskane wyniki. Potwierdzeniem bezpieczeństwa systemu zaś certyfikat wystawiony przez BCC, który dla klientów Seamless Medical Systems stanowi dowód, że aplikacje tworzone są z należytą dbałością o poufność i integralność danych.

Projekt krok po kroku
Testy penetracyjne aplikacji zostały przeprowadzone w kilku etapach, w czasie których realizowane były scenariusze uzgodnione z klientem. Zakres prac obejmował środowisko testowe oraz – dla uzyskania całkowitej pewności – produkcyjne.
W celu zapewnienia ustandaryzowanego sposobu realizacji, badanie bezpieczeństwa wykonano zgodnie z metodykami:

  • OWASP (ang. Open Web Application Security Project) Testing Guide w wersji 4
  • National Institute of Standards and Technology Special Publication 800-115 (NIST SP 800-115)

Prace zostały rozpoczęte w trybie „czarnej skrzynki” (ang. black-box), czyli bez wiedzy pentestera o badanym systemie. Zbadano możliwość uzyskania nieautoryzowanego dostępu do systemu oraz nieuprawnionego pozyskania poufnych informacji.
Przebieg scenariusza był następujący:

  • zgromadzenie danych o aplikacji, systemach i infrastrukturze,
  • proces enumeracji,
  • badanie infrastruktury za pomocą skanerów podatności.

W dalszej części testu aplikacje badano z wykorzystaniem znanych kont z rolami poszczególnych użytkowników w systemie (ang. gray-box). Na tym etapie testów zweryfikowano:

  • formularze logowania i obsługę ról,
  • mechanizmy autoryzacyjne,
  • zarządzanie sesją,
  • walidację danych wejściowych oraz podatność na ataki typu injection,
  • obsługę błędów,
  • mechanizmy kryptograficzne,
  • logikę biznesową aplikacji,
  • możliwość zaatakowania przeglądarki klienta aplikacji.

Podsumowaniem testów był raport dokumentujący wszystkie przeprowadzone działania oraz potwierdzenie bezpieczeństwa systemu w formie certyfikatu.

Łukasz Czarniecki
Konsultant IT, Zespół Projektów IT, BCC

Seamless Medical Systems Inc. to amerykańska firma dostarczająca oprogramowanie dla placówek służby zdrowia i pacjentów. Modularna, mobilna platforma umożliwia oszczędność czasu, wzrost efektywności zatrudnienia personelu oraz poprawę standardów opieki medycznej. Użytkownikami systemu są m.in. ośrodki zdrowia, kliniki, indywidualne praktyki lekarskie.

Zobacz to case study w innym języku

Ta sama treść jest dostępna w serwisie w innym języku:

Zobacz case study - angielski

Zobacz case study - niemiecki

Nasze referencje

Poradniki

Aktualności

Udostępnij

Formularz kontaktowy





Napisz maila lub zadzwoń

M: bcc@bccgroup.com
T: 61 827 7000

Business Consulting Center Sp. z o.o.

Centrala w Polsce:
Złotniki, ul. Krzemowa 1
62-002 Suchy Las k. Poznania

Kontakt