Podsumowanie
Kluczowe efekty
Zweryfikowane bezpieczeństwo wszystkich nowych aplikacji
Konkretne rekomendacje usuwające wykryte podatności
Równoległy rozwój aplikacji i rosnące ryzyko podatności
W sektorze ubezpieczeniowym, gdzie procesy sprzedaży, obsługi i likwidacji szkód coraz częściej opierają się na aplikacjach webowych, bezpieczeństwo nowych rozwiązań jest kluczowe dla ciągłości działania i zgodności regulacyjnej.
Vienna Insurance Group uruchomiła program modernizacji systemów IT, obejmujący tworzenie kolejnych aplikacji oraz rozwój istniejących narzędzi, z których część miała kontakt z danymi klientów i agentów.
Większość projektów realizowali zewnętrzni dostawcy, którzy stosowali własne standardy bezpieczeństwa. Bez niezależnych testów istniało ryzyko, że część aplikacji trafi do produkcji z lukami bezpieczeństwa niewykrytymi na etapie tworzenia. Oznaczało to potencjalne ryzyko incydentów po wdrożeniu, konieczność kosztownych poprawek oraz opóźnienia w uruchamianiu systemów.
Dodatkowo nowe wersje aplikacji – zarówno webowych, jak i mobilnych – pojawiały się w sposób ciągły, co oznaczało konieczność regularnej weryfikacji bezpieczeństwa przed każdą publikacją. Bez stałego, niezależnego mechanizmu testów istniało ryzyko niespójnych standardów ochrony oraz podatności wykrywanych dopiero po wdrożeniu.
Aby ograniczyć te zagrożenia i upewnić się, że nowe aplikacje są odporne na ataki, VIG zdecydował się na współpracę z Sii Polska – partnerem dysponującym zespołem ponad 1 500 certyfikowanych testerów (95% ISTQB) oraz doświadczeniem zdobytym w realizacjach dla dużych, międzynarodowych firm ubezpieczeniowych, takich jak np. UNIQA i ERGO.
Pełna weryfikacja bezpieczeństwa nowych i rozwijanych aplikacji
Celem działań Sii było zapewnienie VIG niezależnej i rzetelnej oceny bezpieczeństwa aplikacji tworzonych przez wielu dostawców.
Eksperci Sii przeprowadzili analizę podatności i testy penetracyjne zgodnie z najlepszymi praktykami OWASP (Open Worldwide Application Security Project), międzynarodowego standardu weryfikacji bezpieczeństwa aplikacji, i uzupełnili je ręcznymi próbami wykorzystania wykrytych luk.
Zakres prac obejmował:
- Testy penetracyjne typu grey-box – próby ataku z poziomu użytkownika z ograniczoną wiedzą o systemie
- Vulnerability assessment – identyfikację podatności w warstwie aplikacyjnej i komunikacyjnej
- Ręczną weryfikację i exploitację wykrytych luk – potwierdzenie ich realnego wpływu na bezpieczeństwo
- Analizę kodu źródłowego pod kątem błędów bezpieczeństwa – identyfikację problemów niewidocznych z zewnątrz
- Testy prowadzone według OWASP Web Security Testing Guide – pełne pokrycie scenariuszy zagrożeń
- Raporty dla każdej aplikacji z opisem podatności, oceną ryzyka i konkretnymi rekomendacjami naprawczymi
W efekcie klient uzyskał pełną listę zagrożeń wraz z ich priorytetyzacją oraz instrukcjami, jak skutecznie je usunąć. Współpraca z Sii Polska ma charakter cykliczny – testy realizowane są regularnie dla kolejnych aplikacji i ich nowych wersji.
Bezpieczne wdrożenia i większa kontrola nad jakością aplikacji
Dzięki niezależnym testom Sii Polska, Vienna Insurance Group zyskała pewność, że nowe i rozwijane aplikacje są odporne na najczęściej spotykane wektory ataków, a jakość zabezpieczeń nie zależy wyłącznie od dostawców odpowiedzialnych za ich tworzenie.
Organizacja otrzymała pełną przejrzystość ryzyk oraz rekomendacje, które pozwoliły zamknąć luki jeszcze przed wdrożeniem systemów do środowiska produkcyjnego. Lepsza kontrola nad bezpieczeństwem przyniosła również korzyści długofalowe — zmniejszenie kosztów poprawek, podniesienie poziomu zgodności z regulacjami oraz większą odporność środowiska IT na incydenty.
Regularny charakter testów pozwala organizacji utrzymywać wysoki poziom cyberbezpieczeństwa w dynamicznie zmieniającym się środowisku IT oraz zapewniać zgodność z regulacjami branżowymi przy każdej kolejnej publikacji aplikacji. Stała współpraca z jednym, doświadczonym partnerem zwiększa przewidywalność procesu i skraca czas reakcji na wykryte zagrożenia.
kluczowe wyniki
- Zweryfikowane bezpieczeństwo nowych i modernizowanych aplikacji webowych
- Jednoznaczna identyfikacja i priorytetyzacja wykrytych podatności
- Konkretne rekomendacje naprawcze dla każdej aplikacji
- Większa odporność systemów na ataki i minimalizacja potencjalnych zagrożeń
- Spójne standardy bezpieczeństwa niezależnie od dostawcy tworzącego aplikację