Chris Goggans har varit penetrationstestare sedan 1991. Han får betalt att bryta sig in i företag och organisationers datorer och säger att offentliga organisationer är sämst på it-säkerhet.

På sex timmar skaffade sig Chris Goggans, för närvarande anställd som säkerhetsexpert på Patchadvisor, åtkomst till FBIs it-miljö och databaser.

– Åtkomst hade lätt kunna förhindras genom en grundläggande säkerhetsstrategi, som att skärma av polisernas arbetsdatorer från nätverket där den känsliga informationen finns, säger Chris Goggans till Computerworld.

Andra problem i FBIs miljö var ej åtgärdade säkerhetshål och det faktum att systemadministratörerna tillät samma lösenord på flera användarkonton i olika miljöer.

Lustigt nog penetrationstester inte bara hackarens förstahandsval, det är även den säkerhetsansvariges bäste vän.

Marcus Murray är säkerhetskonsult på Truesec och använder penetrationstester i sitt dagliga arbete. Han säger att det finns två viktiga aspekter när det gäller penetrationstester.

– De ger ett kvitto på om företaget har en bra säkerhetsnivå. Och det kan vara ett bra politiskt verktyg för att övertyga cheferna att investera i säkerhet, säger Marcus Murray.

Samtidigt innebär penetrationstester enbart att den säkerhetsansvarige tar ett stickprov. Om de hittar fem allvarliga säkerhetsbrister kan det återstå 20 till. Testerna ska kompletteras med tekniska säkerhetgranskningar för att ge en mer detaljerad bild.

– Ponera att it-miljön har 100 brister. Vid en teknisk granskning kan alla brister upptäckas medan endast ett fåtal problem uppdagas vid ett penetrationstest, säger Marcus Murray.