«Инфосистемы Джет» провела комплексную проверку безопасности приложения для группы компаний ANCOR

Компания «Инфосистемы Джет» провела комплексный анализ защищенности системы кадрового электронного документооборота HRFile, разработанной группой компаний ANCOR. В результате выполненных работ заказчик внес изменения согласно полученным рекомендациям по устранению уязвимостей приложения, которые могли привести к утечке персональных данных, и успешно запустил промышленную эксплуатацию HRFile.

ANCOR — стаффинговая группа, которая предлагает решения в области аутсорсинга HR-функций и бизнес-процессов, рекрутмента и консалтинга. Для ведения кадрового электронного документооборота компания разработала собственное веб-приложение, позволяющее работодателям формировать, передавать и хранить кадровые документы в электронном формате. В приложении обрабатывается большое количество конфиденциальных данных, поэтому перед компанией стояла задача проверить его безопасность и устойчивость к кибератакам.

«Для нашей компании ключевое значение имеют бесперебойная работа всех систем и надежная защита персональных данных. Компания «Инфосистемы Джет» стала тем подрядчиком, который смог комплексно проверить нашу систему на наличие уязвимостей, попутно разъясняя происхождение уязвимостей и чем они могут быть опасны для компании и пользователей, а также дать рекомендации по устранению найденных уязвимостей с учетом специфики работы нашей компании. Полученные рекомендации для нас были ценными и своевременными перед внедрением системы в промышленную эксплуатацию», — комментирует Галина Остапова, руководитель службы информационной безопасности ГК ANCOR.

Команда «Инфосистемы Джет» провела комплексный пентест приложения, разработанного заказчиком. В ходе проекта специалисты искали уязвимые места во внешнем периметре, провели тестирование на проникновение всей инфраструктуры веб-приложения и провели тестирование ресурса на устойчивость к DDoS-атакам.

Во время тестирования были обнаружены уязвимости, позволяющие получить доступ к персональным данным пользователей приложения. Также были обнаружены недостатки, эксплуатация которых могла повлечь за собой нарушение доступности приложения.

«Поскольку приложение предназначено для работы с персональными данными, было особенно важно проверить защищенность документов и личных данных работников и исполнителей. Компаниям, допускающим утечки конфиденциальной информации, грозят финансовые и репутационные потери, поэтому важно своевременно контролировать защищенность своих продуктов и систем», — поясняет Максим Абрамов, консультант по информационной безопасности «Инфосистемы Джет».