Rakkaalla lapsella on monta nimeä ja tietoturvatestauksesta käytetään myös nimityksiä: murtotestaus, penetraatiotestaus, pentest tai leikkisästi “pena”. Tietoturvatestauksessa pyritään murtautumaan tietojärjestelmään tai käyttämään sovelluksen toimintoja luvattomasti (penetraatiotestaus/murtotestaus).
Kyse on eettisestä hakkeroinnista, jossa järjestelmään toteutetaan white hat hengessä hyökkäys hyödyntäen samoja tekniikoita ja työkaluja, joita rikolliset hyödyntävät. White hat on termi, jota käytetään hyväntahtoisesta ja eettisin periaattein toteutetusta hakkeroinnista/hyökkäyksestä. Black hat termiä käytetään, kun toimitaan pahantahtoisin tavoittein piittaamatta eettisyydestä.
Käytännössä järjestelmään pyritään sovitusti ja luvan kanssa “murtautumaan keinolla millä hyvänsä” ja pyrkimyksenä on järjestelmän hyödyntäminen sillä tavoin, miten sen ei kuuluisi olla mahdollista. Joissain yhteyksissä kyberhyökkäystä ja hakkerointia verrataan perinteisten lukkojen tiirikointiin tai kassakaapin murtamiseen. Hyvä ja varmatoiminen lukko tai kassakaappi on vaikeasti tiirikoitavissa ja murrettavissa.
Edellinen vertaus on siinä mielessä huono, että perinteisen lukon tai kassakaapin murtaminen vaatii fyysisen pääsyn kohteeseen.
Internetiin avoinna olevaa verkkosovellusta voi periaatteessa kuka tahansa yrittää murtaa, mistä päin maailmaa tahansa ja milloin tahansa (24/7/365).
Laadukkaasti toteutetusta tietoturvatestauksesta saat lopputuloksena todellisuutta kuvaavan raportin sovelluksen tietoturvan tasosta ulkopuolisen pahantahtoisen hyökkääjän näkökulmasta. Raportin avulla on mahdollista kehittää ja varmistaa sovelluksen laatua ja turvallisuutta, joka edesauttaa tiedon luottamuksellisuutta, eheyttä, saatavuutta ja jäljitettävyyttä.
Tietoturvan tason tunnistaminen auttaa varautumisessa ja edesauttaa ongelmien ennaltaehkäisyssä.
Parhaimmassa tapauksessa