Ile trwa test penetracyjny?

Czas zależy od zakresu, liczby ról i złożoności systemu. Mała aplikacja lub API to zwykle kilka dni roboczych, a większy system z wieloma rolami, integracjami i retestem wymaga indywidualnej wyceny.

Czy raport zawiera rekomendacje dla programistów?

Tak. Raport zawiera opis techniczny podatności, dowody, kroki reprodukcji, ocenę ryzyka, rekomendacje naprawcze i kryteria retestu.

Czy wykonujecie retest po poprawkach?

Tak. Retest potwierdza, czy podatności zostały skutecznie usunięte, częściowo usunięte albo wymagają dalszej pracy.

NIS2, DORA i testy penetracyjne: jak zbudować dowody bezpieczeństwa, a nie tylko odhaczyć audyt

Przewodnik dla firm regulowanych: pentesty, retesty, dokumentacja ryzyka, dowody techniczne i priorytety napraw dla zarządu.

Regulacje nie wymagają magicznego dokumentu, który rozwiązuje bezpieczeństwo. Wymagają procesu, dowodów i odpowiedzialnego zarządzania ryzykiem. Testy penetracyjne są jednym z najpraktyczniejszych sposobów pokazania, że organizacja nie tylko deklaruje bezpieczeństwo, ale sprawdza je w działających systemach.

NIS2, DORA, wymagania klientów korporacyjnych, audyty ISO 27001 i wewnętrzne polityki bezpieczeństwa mają wspólny mianownik: organizacja powinna wiedzieć, jakie ma ryzyka, jak je ogranicza, kto podejmuje decyzje, jakie poprawki wdrożono i czy zostały zweryfikowane. Pentest bez retestu i bez decyzji właściciela ryzyka jest tylko zdjęciem w czasie. Dobry program testów tworzy ślad decyzyjny.

Potrzebujesz pentestu jako elementu compliance?Przygotujemy zakres, raport zarządczy, raport techniczny i retest, tak aby materiał dało się pokazać audytorowi, IT i zarządowi.Zapytaj o testy pod NIS2/DORA

Co daje pentest w kontekście regulacji

Pentest pokazuje, czy zabezpieczenia działają w praktyce. Polityka może mówić, że dostęp jest ograniczony. Test sprawdza, czy zwykły użytkownik nie pobierze cudzych dokumentów. Architektura może deklarować segmentację. Test sprawdza, czy z jednego segmentu nie da się przejść do krytycznych systemów. Procedura może wymagać MFA. Test sprawdza, czy są wyjątki, stare konta i panele bez dodatkowego zabezpieczenia.

Dzięki temu organizacja otrzymuje materiał, który można wykorzystać w zarządzaniu ryzykiem: lista podatności, wpływ, priorytety, właściciele, rekomendacje, status poprawek i wynik retestu.

Różnica między „mamy raport” a „zarządzamy ryzykiem”

Słaby model wygląda tak: raz do roku firma zamawia skan, dostaje PDF, wysyła go do szuflady i pokazuje w audycie, że „coś było robione”. Dobry model wygląda inaczej: zakres testów wynika z krytyczności systemów, wyniki trafiają do backlogu, podatności mają właścicieli, terminy napraw są uzależnione od ryzyka, a retest potwierdza skuteczność działań.

Podejście pozorne	Podejście dojrzałe
jeden automatyczny skan raz w roku	testy dobrane do krytyczności aplikacji, API i infrastruktury
raport bez decyzji biznesowych	executive summary, priorytety i właściciele ryzyka
brak retestu	potwierdzenie usunięcia podatności
lista CVE bez kontekstu	wpływ na dane, procesy, klientów i ciągłość działania

Jak zaplanować zakres testów

Zakres powinien zaczynać się od pytania: które systemy mają największy wpływ na działalność firmy? W praktyce często są to: aplikacje dla klientów, API partnerskie, systemy płatności, panele administracyjne, VPN, usługi dostępne publicznie, Active Directory, systemy integracyjne i infrastruktura obsługująca dane wrażliwe.

Nie zawsze trzeba testować wszystko naraz. Dobrze zaprojektowany plan może dzielić prace na etapy: rekonesans zewnętrzny, pentest aplikacji krytycznej, test API, test infrastruktury wewnętrznej, przegląd chmury, retest. Ważne, aby decyzja o kolejności była uzasadniona ryzykiem.

Raport zarządczy i raport techniczny

Dla compliance ogromne znaczenie ma forma raportu. Zarząd nie powinien dostawać wyłącznie requestów HTTP i stack trace. Zespół techniczny nie powinien dostawać wyłącznie kolorowych wykresów. Dlatego dobry raport składa się z dwóch warstw: zarządczej i technicznej.

Warstwa zarządcza powinna mówić: ile jest podatności krytycznych/wysokich, co może się stać, które procesy są dotknięte, jakie decyzje trzeba podjąć i jakie poprawki są najpilniejsze. Warstwa techniczna powinna zawierać PoC, kroki reprodukcji, dowody, endpointy, konta testowe, rekomendacje i kryteria retestu.

Retest jako dowód zamknięcia ryzyka

Retest jest często ważniejszy niż się wydaje. Sam fakt wykrycia podatności nie poprawia bezpieczeństwa. Poprawia je dopiero skuteczna zmiana i potwierdzenie tej zmiany. Retest daje audytorowi i zarządowi dowód, że organizacja nie tylko przyjęła raport, ale wykonała działania naprawcze.

Przykładowy status w raporcie retestu:
Podatność: BOLA w module dokumentów
Status: usunięta
Metoda weryfikacji: powtórzenie testów dla 4 ról i 3 tenantów
Wynik: dostęp do obcych obiektów zwraca 403, brak wycieku metadanych
Uwagi: zalecany test regresyjny dla nowych endpointów dokumentów

Jakie dowody warto zachować

W dojrzałym procesie warto przechowywać zakres testu, daty, wersję systemu, listę testerów, środowisko, ograniczenia, wyniki, decyzje właścicieli ryzyka, statusy poprawek i wyniki retestu. Dzięki temu po kilku miesiącach nie ma dyskusji, czy podatność została naprawiona, czy zaakceptowana, czy przesunięta.

Dobrą praktyką jest też rozdzielenie informacji wrażliwych. Raport techniczny może zawierać szczegółowe dowody, ale dystrybucja powinna być kontrolowana. Executive summary może mieć szerszy obieg, bo nie zawiera instrukcji technicznych i sekretów.

Co z TLPT i testami zaawansowanymi

Nie każda organizacja potrzebuje od razu pełnego scenariusza red team. Wiele firm uzyska największą wartość z dobrze wykonanych testów aplikacji, API i infrastruktury oraz retestów. Bardziej zaawansowane ćwiczenia, takie jak kontrolowane scenariusze red team, testy detekcji i symulacje ataków ukierunkowanych, warto planować wtedy, gdy podstawowe powierzchnie są już uporządkowane.

Wniosek praktyczny:W dojrzałym modelu compliance podatność ma właściciela, priorytet, decyzję, termin usunięcia i retest potwierdzający skuteczność poprawki.

Jak pentesty wspierają NIS2, DORA i ISO 27001

Regulacje i standardy nie sprowadzają bezpieczeństwa do jednego testu rocznie. Wymagają zarządzania ryzykiem, dowodów działania kontroli, reagowania na podatności i ciągłego doskonalenia. Pentest jest jednym z najmocniejszych dowodów, że organizacja nie tylko deklaruje bezpieczeństwo, ale weryfikuje je technicznie.

Co powinno zostać po dobrze wykonanym teście

zakres testu i daty realizacji,
opis środowiska oraz ograniczeń,
lista podatności z oceną wpływu i priorytetem,
dowody techniczne i kroki reprodukcji,
decyzje właścicieli ryzyka,
plan naprawczy, statusy i wynik retestu.

Taki materiał jest użyteczny dla audytu, zarządu, działu IT, compliance i developmentu. Pozwala pokazać, że ryzyka zostały rozpoznane, ocenione, przypisane i zamknięte lub świadomie zaakceptowane.

Potrzebujesz testów, które mają sens techniczny i audytowy?Przygotujemy zakres, wykonamy test, opiszemy ryzyko językiem biznesowym i technicznym oraz wykonamy retest po poprawkach.Zapytaj o program testów bezpieczeństwa