Jesteśmy firmą konsultingową, specjalizującą się w usługach SAP, outsourcingu IT i rozwoju oprogramowania. Wspieramy biznes naszych klientów. Do 2017 roku działaliśmy jako BCC.

Jesteśmy częścią Grupy SNP, światowego lidera w zakresie transformacji środowisk SAP

Od 1995 roku zrealizowaliśmy z sukcesem setki projektów IT w Polsce i kilkudziesięciu innych krajach.

Nasi eksperci przedstawiają najciekawsze rozwiązania i nowości ze świata IT.

Zobacz archiwum nagrań z webinarów, zarejestruj się na kolejne edycje.

Dlaczego uważamy, że SNP Poland jest dobrym pracodawcą? Bo łączymy cechy rzadko spotykane w jednej organizacji - duże możliwości rozwoju, a zarazem dobrą atmosferę i elastyczność środowiska pracy. Dowiedz się więcej, na czym to polega w praktyce!

Seamless Medical Systems: Etyczny hacking zwiększa bezpieczeństwo aplikacji

Testy penetracyjne dla firmy programistycznej

Udostępnij
Profesjonalnie tworzone oprogramowanie nie tylko realizuje założone funkcje biznesowe, ale także zapewnia bezpieczeństwo przetwarzania danych. Waga aspektu bezpieczeństwa jest tym większa, im bardziej krytyczne dane dostępne są w systemie. Testy penetracyjne weryfikują poziom bezpieczeństwa w sposób praktyczny i pozwalają wykryć nawet te luki, które umknęły uwadze architektów, programistów i testerów oprogramowania lub nie wynikają bezpośrednio z jakości kodu źródłowego.

Seamless Medical Systems dostarcza specjalistyczne aplikacje dla branży medycznej. Wśród oferowanych funkcjonalności dostępne są m.in. mobilna rejestracja pacjentów, zarządzanie kolejkami, weryfikacja ubezpieczeniowa i pobieranie płatności, edukacja pacjentów i bieżąca komunikacja. Oprogramowanie jest w pełni zintegrowane z wiodącymi systemami EMR (ang. Electronic Medical Record) oraz spełnia wymagania HIPAA (ang. Health Insurance Portability and Accountability Act).

Z uwagi na przetwarzanie szczególnie wrażliwych danych, zarówno dla użytkowników systemu, jak i jego producenta, kluczowym aspektem jakości oprogramowania jest szeroko rozumiana poufność informacji.

Zaufany haker do wynajęcia

Optymalną metodą weryfikacji bezpieczeństwa systemu okazał się, zaproponowany przez SNP, etyczny hacking – usługa polegająca na szczegółowym, metodycznym przetestowaniu aplikacji pod kątem występowania błędów i podatności. Dzięki wysokim kompetencjom konsultantów bezpieczeństwa SNP oraz wykorzystanym specjalistycznym narzędziom, taka praktyczna próba przełamania zabezpieczeń systemu pozwoliła na sprawdzenie bezpieczeństwa danych w znacznie szerszym kontekście niż tylko obszar, za który odpowiadają programiści. Testom podlegały bowiem zarówno aplikacje, jak również ich otoczenie (m.in. serwery), a nawet tablety klienckie – wykorzystywane przez pacjentów.

Bezpieczeństwo aplikacji

Obiektem przeprowadzonych testów penetracyjnych było 8 aplikacji webowych. Porównywalność wyników i powtarzalność testu zapewniono dzięki zastosowaniu uznanych wytycznych Open Web Application Security Project (OWASP) Testing Guide v4 oraz National Institute of Standards and Technology Special Publication 800-115 (NIST SP 800-115).

Wykorzystanie szeregu narzędzi wspierających pracę pentestera, pozwoliło na efektywne sprawdzenie obszarów takich jak:

  • poprawność szyfrowania transmitowanych przez Internet danych,
  • zarządzanie użytkownikami systemu (tworzenie, nadawanie, resetowanie haseł itp.),
  • reakcja aplikacji na niepoprawne (w tym podmienione) dane,
  • sposób i bezpieczeństwo przechowywania danych (w tym danych tymczasowych).

Bezpieczeństwo urządzeń pacjentów

Innym zweryfikowanym podczas testu scenariuszem była utrata tabletu (kradzież, zgubienie). Analizie podlegała możliwość wykorzystania urządzenia do wejścia w posiadanie danych medycznych jego prawowitego użytkownika lub innych użytkowników systemu. Sprawdzono m.in. poprawność nawiązywania i zamykania sesji klienta z serwerem oraz zakres i sposób składowania danych przechowywanych w pamięci urządzenia.

Anthony Brooke, Co-founder & CTO, Seamless Medical Systems Inc

Anthony Brooke, Co-founder & CTO, Seamless Medical Systems Inc

Kompleksowy program bezpieczeństwa
Najważniejsze założenia każdej komplementarnej platformy technologicznej HIPAA obejmują przeprowadzanie okresowych testów bezpieczeństwa przez wykwalifikowaną stronę trzecią. Testy penetracyjne stanowią najlepszą praktykę branżową, a Grupa SNP jest partnerem naszego kompleksowego programu bezpieczeństwa.

Projekt krok po kroku

Testy penetracyjne aplikacji zostały przeprowadzone w kilku etapach, w czasie których realizowane były scenariusze uzgodnione z klientem. Zakres prac obejmował środowisko testowe oraz – dla uzyskania całkowitej pewności – produkcyjne.
W celu zapewnienia ustandaryzowanego sposobu realizacji, badanie bezpieczeństwa wykonano zgodnie z metodykami:

  • OWASP (ang. Open Web Application Security Project) Testing Guide w wersji 4
  • National Institute of Standards and Technology Special Publication 800-115 (NIST SP 800-115)

Prace zostały rozpoczęte w trybie „czarnej skrzynki” (ang. black-box), czyli bez wiedzy pentestera o badanym systemie. Zbadano możliwość uzyskania nieautoryzowanego dostępu do systemu oraz nieuprawnionego pozyskania poufnych informacji.
Przebieg scenariusza był następujący:

  • zgromadzenie danych o aplikacji, systemach i infrastrukturze,
  • proces enumeracji,
  • badanie infrastruktury za pomocą skanerów podatności.

W dalszej części testu aplikacje badano z wykorzystaniem znanych kont z rolami poszczególnych użytkowników w systemie (ang. gray-box). Na tym etapie testów zweryfikowano:

  • formularze logowania i obsługę ról,
  • mechanizmy autoryzacyjne,
  • zarządzanie sesją,
  • walidację danych wejściowych oraz podatność na ataki typu injection,
  • obsługę błędów,
  • mechanizmy kryptograficzne,
  • logikę biznesową aplikacji,
  • możliwość zaatakowania przeglądarki klienta aplikacji.

Podsumowaniem testów był raport dokumentujący wszystkie przeprowadzone działania oraz potwierdzenie bezpieczeństwa systemu w formie certyfikatu.

Eskalacja uprawnień

Kolejnym elementem testu penetracyjnego była weryfikacja możliwości uzyskania dostępu do danych przez osobę do tego nieupoważnioną, poprzez zdobycie wyższego poziomu uprawnień niż przydzielone danemu użytkownikowi. Sprawdzenia dokonano m.in. poprzez niezgodne z przeznaczeniem wykorzystanie formularzy aplikacji oraz modyfikacje adresu URL.

Podsumowanie

Finalnym produktem przeprowadzonych testów był obszerny raport, dokumentujący podjęte działania i uzyskane wyniki. Potwierdzeniem bezpieczeństwa systemu zaś certyfikat wystawiony przez SNP, który dla klientów Seamless Medical Systems stanowi dowód, że aplikacje tworzone są z należytą dbałością o poufność i integralność danych.

Seamless Medical Systems Inc. to amerykańska firma dostarczająca oprogramowanie dla placówek służby zdrowia i pacjentów. Modularna, mobilna platforma umożliwia oszczędność czasu, wzrost efektywności zatrudnienia personelu oraz poprawę standardów opieki medycznej. Użytkownikami systemu są m.in. ośrodki zdrowia, kliniki, indywidualne praktyki lekarskie.

Zobacz to case study w innym języku

Ta sama treść jest dostępna w serwisie w innym języku:

Zobacz case study - angielski

Zobacz case study - niemiecki

Udostępnij

Nasza oferta

Nasze referencje

Poradniki

Aktualności

Formularz kontaktowy





  1. Dane osobowe przetwarzane są na podstawie art. 6 ust. 1 lit. a Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. – ogólnego rozporządzenia o ochronie danych osobowych.
  2. Administratorem Danych Osobowych jest SNP Poland Sp. z o.o. z siedzibą w Złotnikach, ul. Krzemowa 1 62-002 Suchy Las. Dane kontaktowe do Inspektora Ochrony Danych: dpo.pl@snpgroup.com.
  3. Zgoda na przetwarzanie danych jest dobrowolna, ale niezbędna w celu kontaktu. Zgodę można wycofać w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem
  4. Dane będą przetwarzane do realizacji określonych powyżej celów i do momentu wycofania niniejszej zgody, a dostęp do danych będą miały tylko wybrane osoby posiadające stosowne upoważnienie do ich przetwarzania.
  5. Każda osoba podając dane osobowe ma prawo dostępu do treści swoich danych i ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo do wniesienia sprzeciwu wobec przetwarzania i przenoszenia danych, prawo do ograniczenia przetwarzania i prawo sprzeciwu wobec przetwarzania danych, prawo do przenoszenia danych.
  6. Każda osoba, której dane są przetwarzane, ma prawo do wniesienia skargi do organu nadzorczego jakim jest Prezes Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa).
  7. Dane osobowe mogą być udostępniane innym jednostkom należącym do grupy kapitałowej, do której należy SNP Poland Sp. z o.o. – również znajdujących się poza Europejskim Obszarem Gospodarczym, w celach marketingowych. SNP Poland zapewnia, że dane przekazywane tym podmiotom są właściwie zabezpieczone, a osoba, której dane są przetwarzane, ma prawo do uzyskania kopii udostępnionych danych oraz informacji o miejscu udostępnienia danych.

Napisz maila lub zadzwoń

E-mail: office.pl@snpgroup.com
Tel. 61 827 7000

SNP Poland Sp. z o.o.

Centrala:
Złotniki, ul. Krzemowa 1
62-002 Suchy Las k. Poznania

W czym możemy pomóc?
Napisz do nas
Wyślij email
Zadzwoń





  1. Dane osobowe przetwarzane są na podstawie art. 6 ust. 1 lit. a Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. – ogólnego rozporządzenia o ochronie danych osobowych.
  2. Administratorem Danych Osobowych jest SNP Poland Sp. z o.o. z siedzibą w Złotnikach, ul. Krzemowa 1 62-002 Suchy Las. Dane kontaktowe do Inspektora Ochrony Danych: dpo.pl@snpgroup.com.
  3. Zgoda na przetwarzanie danych jest dobrowolna, ale niezbędna w celu kontaktu. Zgodę można wycofać w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem
  4. Dane będą przetwarzane do realizacji określonych powyżej celów i do momentu wycofania niniejszej zgody, a dostęp do danych będą miały tylko wybrane osoby posiadające stosowne upoważnienie do ich przetwarzania.
  5. Każda osoba podając dane osobowe ma prawo dostępu do treści swoich danych i ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo do wniesienia sprzeciwu wobec przetwarzania i przenoszenia danych, prawo do ograniczenia przetwarzania i prawo sprzeciwu wobec przetwarzania danych, prawo do przenoszenia danych.
  6. Każda osoba, której dane są przetwarzane, ma prawo do wniesienia skargi do organu nadzorczego jakim jest Prezes Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa).
  7. Dane osobowe mogą być udostępniane innym jednostkom należącym do grupy kapitałowej, do której należy SNP Poland Sp. z o.o. – również znajdujących się poza Europejskim Obszarem Gospodarczym, w celach marketingowych. SNP Poland zapewnia, że dane przekazywane tym podmiotom są właściwie zabezpieczone, a osoba, której dane są przetwarzane, ma prawo do uzyskania kopii udostępnionych danych oraz informacji o miejscu udostępnienia danych.

Kontakt ogólny do firmy
office.pl@snpgroup.com

Pytania o produkty i usługi
info.pl@snpgroup.com

Pytania na temat pracy i staży
kariera@snpgroup.com

61 827 70 00

Biuro jest czynne
od poniedziałku do piątku
w godz. 8:00 – 17:00