— Итак, господа, все вы знаете, что наша компания давно собирается провести аудит ИТ и информационной безопасности. Ваши предложения? Финансовый директор?
— Это весьма интересно, но, господин директор, у нас нет денег! Мы не планировали такие расходы.
— Я знаю. Но ведь мы собирались выйти на биржу, а это обязательное условие.
— Проводить нужно, это безусловно. Тем более на рынке можно найти эту услугу и относительно недорого. В крайнем случае проведем только пентест, а скажем, что прошли аудит. Кто будет разбираться? Ну, соврем немного. И то нужно искать подешевле.
— Ну что ж, вперед.
Прошло две недели.
— Господин директор, наиболее приемлемые условия предложила фирма N. Достаточно дешево, да и отзывы у них вроде неплохие. Хотя, безусловно, компания N не принадлежит к ведущим. Но у ведущих — дорого!
— Хорошо! Заключаем договор. Не забудьте соглашение о неразглашении.
— Безусловно!
Прошла еще неделя.
— Господин директор, у нас найдены уязвимости. Мы можем их исправить.
— Отлично! И сколько это будет стоить? Нужно привлекать кого-то или можете своими силами?
— Сделаем сами.
Прошло еще две недели, и вдруг данные компании всплыли у конкурентов.
— Как? Нас взломали? Но почему вы ничего не увидели?
— Увы, мы действительно ничего не увидели. Более того, мы и сейчас не понимаем, как это сделано!
— А может, это ваши аудиторы?
— Нет, не может быть. Хотя им это сделать проще всего. Но ведь вроде серьезная фирма. Не думаю.
— Итак, думайте или не думайте, но нас взломали и украли практически все, что смогли.
Вот такая печальная история произошла не так давно с моим знакомым. Кто виноват? Непонятно. Но аудиторы клянутся, что они ни причем. Как на самом деле — неизвестно. А компания, забывшая или не сумевшая учесть все риски при подборе команды пентеста идет к банкротству. Будьте внимательнее!
