Náš příběh: Analyzujeme
Nekupujte zajíce v pytli. Pomůžeme vám eliminovat bezpečností rizika při začleňování nových řešení do vaší infrastruktury.

Stavební spořitelna s pobočkami po celé ČR používala v některých externích centrech aplikaci pro sjednávání úvěrů. Aplikace se zde stala úspěšnou, proto se spořitelna rozhodla ji od dodavatele odkoupit a používat ji v rámci celé své sítě. ICT manažer si však nebyl jistý, zda je dobře zabezpečená a zda se bez problémů začlení do stávajících interních procesů firmy.

ICT manažer si vybral náš tým. Provedli jsme audit aplikace a posouzení nejen bezpečnostních, ale i organizačních, procesních a dalších rizik, které by její integrace mohla přinést. Naše analýza ukázala závažné chyby, jako např. neoprávněný přístup do databáze a získání osobních a finančních údajů klientů spořitelny. K rychlé nápravě zjištěných zranitelností jsme navrhli účinná opatření, která dodavatel aplikace obratem implementoval.

Vedle toho jsme po posouzení všech rizik externího vývoje i obchodních procesů předali spořitelně zjištěné výhody a nevýhody jednotlivých variant vlastnictví aplikace. Tyto podklady byly významným vodítkem pro rozhodnutí vedení spořitelny.

Náš příběh: Navrhujeme
Jsme nezávislá laboratoř – svým expertním přístupem vám pomůžeme vybudovat opravdu bezpečné řešení.

Mezinárodní finanční skupina potřebovala vytvořit pro své banky a instituce vlastní řešení pro druhý faktor autentizace pomocí technologie One Time Password. Výběrovým řízením prošli 3 dodavatelé. Každý z nich navrhl trochu jiný přístup.

Skupina se obrátila na AEC, abychom jí pomohli zhodnotit návrhy z pohledu bezpečnosti a vybrat nejvhodnější řešení. Po měsíci důkladné analýzy jsme skupině předali dokument shrnující výhody a nevýhody jednotlivých řešení, který byl podkladem pro konečný výběr dodavatele.

Pro projekt jsme se stali konzultantem v oblasti zabezpečení vyvíjeného produktu. Společně s dodavatelem jsme během 3 měsíců navrhli výsledné řešení, spolupracovali při jeho nasazování na jednotlivých mobilních platformách. Na závěr bylo vše ověřeno penetračními testy. Celý vývoj trval přibližně 5 měsíců a následné důkladné testování necelé 3 měsíce. Skupina tak během jednoho roku získala nové, bezpečnostně velmi silné řešení, které nasadila ve všech svých bankách.

Náš příběh: Integrujeme
Dokázali jsme zkrátit obnovu fungování firmy z několika dní na necelých 6 hodin.

Pobočka světového poskytovatele leasingu osobních a užitkových aut, který disponuje 1 milionem vozů, se rozrostla a potřebovala adekvátně k tomu upravit svoje havarijní plány. Služby této společnosti jsou totiž založené mj. také na neustálé dostupnosti řešení pro vyřizování požadavků zákazníků. Výpadek ICT služeb by mohl znamenat oslabení důvěry a způsobil by škody i samotným zákazníkům.

Pobočka si vybrala pro změnu havarijních plánů AEC, neboť jsme měli dobré reference na základě předchozích služeb pro holding, do něhož patří. Nešlo přitom jen o teoretickou revizi havarijních plánů a analýzu dopadů, ale také o praktický test jejich účinnosti.

Po důkladné analýze dopadů, revizi a aktualizaci havarijních plánů a související dokumentace jsme za ostrého provozu společně s ICT manažerem vypnuli jističe serverovny a obnovili data na pronajatých serverech v náhradním datovém centru. Do záložní lokality, která pojme jen 20 zaměstnanců (namísto standardních 150), byli svoláni jen ti, kdo jsou schopni obsloužit 80 % kritických procesů firmy. Tito zaměstnanci pak zajišťovali po stanovenou testovací dobu provoz společnosti.

Dle původní metodiky by simulovaná obnova fungování firmy zabrala několik dní. Po změnách, které jsme zapracovali do havarijních plánů a jejich doplnění o praktické poznatky z testování, trvala obnova fungování firmy necelých 6 hodin.

Náš příběh: Testujeme
Umíme hrát i na velkém hřišti.

Velká mezinárodní finanční skupina zahrnující desítky bank, pojišťoven a leasingových společností v zemích od Irska po Maďarsko, potřebovala snížit náklady na operativu při provádění bezpečnostních auditů a penetračních testů.

Abychom uspěli ve výběrovém řízení, museli jsme prokázat nejen expertní znalosti bezpečnosti testovaných systémů, ale i schopnost komunikovat v rámci týmů odlišných kultur v mezinárodním prostředí. Přínosem jednotného kontraktu s AEC byla o 30 % výhodnější cena v project a demand managementu jednotlivých zakázek. Zákazníkovi jsme také sjednotili kvalitu a strukturu reportů, což vedlo k dalším úsporám v procesu vyhodnocování bezpečnosti informačních systémů. Díky své spokojenosti prodloužil zákazník naši 4letou smlouvu na další období.

Náš příběh: Auditujeme
My řešení Vašich problémů negooglíme!

Banka s mezinárodním zastoupením požádala AEC o posouzení bezpečnosti přístupu jejích externích zaměstnanců do interní sítě prostřednictvím VPN. Pro přístup byly využívány předem nakonfigurované počítače, které byly funkčně omezené na připojení k VPN a firemním portálům. Ochranu dat jsme se rozhodli prověřit na odolnost vůči nejčastějším bezpečnostním hrozbám. Na unikátní prostředí zákazníka jsme dokázali reagovat úpravou našich postupů a metodik.

Z důvodu použití neobvyklých technologií banky jsme vytvořili novou metodiku testování, zohledňující nejnovější útoky zaměřené na specifické prostředí a hardware. Testy celého řešení ve spolupráci s bezpečnostní laboratoří VUT v Brně trvaly 20 dní. V rámci této spolupráce se podařilo odhalit některá slabá místa ještě před spuštěním do ostrého provozu. Jednou z nejzávažnějších nalezených chyb byla možnost obejít dvoufaktorové přihlašování, které standardně vyžaduje nejen jméno a heslo, ale také kryptografický certifikát. Objevili jsme způsob, jak se přihlásit pouze pomocí jména a hesla.

Pro banku jsme v AEC vypracovali zprávu, která obsahovala přehled zranitelností a doporučení k nápravě. Po opravě všech nedostatků jsme provedli nové testování, abychom ověřili, že je vše již dobře zabezpečené.