Surfshark
Wierzymy, że zapewnienie wysokiego poziomu bezpieczeństwa nie jest jednorazowym osiągnięciem – to odpowiedzialność i ciągłe dążenie do doskonalenia. Właśnie dlatego w ostatnim czasie zrealizowaliśmy niezależny audyt dotyczący bezpieczeństwa infrastruktury przeprowadzony przez SecuRing, zewnętrzną firmę zajmującą się cyberbezpieczeństwem. Cel był prosty: sprawdzenie, czy nasza infrastruktura sieciowa jest chroniona przed nieautoryzowanym dostępem i zakłóceniami w działalności biznesowej, odporna na rzeczywiste ataki i zgodna z najwyższymi standardami bezpieczeństwa. W tym poście omówimy, na czym polegał audyt i co oznacza dla użytkowników Surfshark.
Cele audytu
Audyt obejmował bezpieczeństwo naszej infrastruktury sieciowej – ze szczególnym uwzględnieniem identyfikacji słabych punktów, które mogłyby stanowić zagrożenie dla systemów lub użytkowników. W tym celu firma SecuRing przeprowadziła testy penetracyjne, symulujące rzeczywiste ataki. W uproszczeniu, próbowała dokonać naruszenia w taki sam sposób, jak zrobiłby to atakujący, bez specjalnego dostępu, wiedzy wewnętrznej czy dostępnych poświadczeń.
Celem było potwierdzenie, że:
- nieautoryzowani użytkownicy nie uzyskają dostępu do naszej infrastruktury;
- dane klientów są bezpieczne;
- nie nastąpią przerwy w świadczeniu usług dla naszych klientów;
- nie ma żadnych błędnych konfiguracji zabezpieczeń;
- potencjalne słabe punkty są wykrywane, zanim zostaną wykorzystane.
Wyniki audytu Surfshark
Wyniki są pozytywne:
- nie znaleziono istotnych luk w zabezpieczeniach;
- nie zidentyfikowano żadnych kwestii wysokiego ryzyka mających wpływ na bezpieczeństwo użytkowników;
- sprawdzane luki w zabezpieczeniach nie powodują poważnych zagrożeń dla bezpieczeństwa;
- nasza infrastruktura wykazała wysoki poziom ochrony w przypadku rzeczywistych scenariuszy ataków.
Podczas oceny zidentyfikowano jeden obszar wymagający poprawy konfiguracji związanej z protokołami SSL/TLS i niezwłocznie rozwiązano problem. Odkryliśmy, że jeden serwer – w określonej sytuacji – został skonfigurowany tak, aby obsługiwać zarówno nowoczesne, zaawansowane zabezpieczenia, jak i nieco starsze metody zabezpieczeń. Chociaż większość połączeń korzystała już z zaawansowanej ochrony, w rzadkich sytuacjach niesłusznie mogła być używana starsza opcja. Mimo że wykorzystanie tej luki byłoby trudne, postanowiliśmy usunąć tę drobną usterkę, aby utrzymać nasze standardy bezpieczeństwa na najwyższym poziomie.
SecuRing przedstawił również dodatkowe zalecenia dotyczące najlepszych praktyk, które nie wiązały się z bezpośrednim ryzykiem. Przyjęliśmy je i potraktowaliśmy jako okazję do dalszego podnoszenia naszych standardów – właśnie taką wiedzę chcemy uzyskiwać dzięki niezależnym audytom bezpieczeństwa.
Co to oznacza dla użytkowników?
Ta niezależna ocena potwierdza, że nasza infrastruktura została zaprojektowana, skonfigurowana i jest utrzymywana z zachowaniem najwyższych standardów bezpieczeństwa. Użytkownicy mogą mieć pewność, że nasze systemy są chronione przed nieautoryzowanym dostępem, a potencjalne zagrożenia są proaktywnie identyfikowane i eliminowane. Niezależna weryfikacja stanowi dowód – a nie puste obietnice – że za kulisami skutecznie staramy się zapewnić bezpieczeństwo danych i połączeń.
Bezpieczeństwo i transparentność są najważniejsze
Bezpieczeństwo nie jest celem uzyskanym raz na zawsze – to ciągły proces. Niezależne audyty, takie jak ten, pomagają nam wyprzedzać zagrożenia, podnosić nasze standardy i codziennie zdobywać zaufanie użytkowników.
Szczegółowy raport z audytu Surfshark przeprowadzonego przez SecuRing można znaleźć tutaj.
