Bezpieczeństwo IT Opublikowano: · Aktualizacja: 4 min czytania · Autor: Dominik Rulkiewicz

Ile kosztują testy penetracyjne? Cennik i czynniki ceny pentestu

Ile kosztują testy penetracyjne? Wyjaśniamy, co wpływa na cenę pentestu, zakres, model testu i typ badań, oraz jak wygląda wycena dla firm.

Ile kosztują testy penetracyjne? Cennik i czynniki ceny pentestu

Ile kosztują testy penetracyjne? Co realnie wpływa na cenę

To jedno z najczęstszych pytań, jakie zadają firmy planujące pentest. Odpowiedź brzmi: to zależy. Nie ma jednej, sztywnej ceny testów penetracyjnych, ponieważ koszt jest pochodną zakresu i celu badania. W tym artykule wyjaśniamy, od czego zależy wycena, żebyś mógł świadomie zaplanować budżet na bezpieczeństwo.

1. Zakres i wielkość celu

Im większy i bardziej złożony system, tym więcej pracy wymaga jego rzetelne przetestowanie. Na wycenę wpływa liczba aplikacji, funkcji, ekranów i ról użytkowników, a także liczba adresów IP czy serwerów w infrastrukturze. Mała aplikacja webowa to inny nakład pracy niż rozbudowany system z wieloma integracjami.

2. Model testu: black, grey czy white box

W modelu black box testujemy bez wiedzy o systemie, jak zewnętrzny napastnik. Grey box (z ograniczonym dostępem, np. kontem użytkownika) daje najlepszy stosunek kosztu do pokrycia i najczęściej rekomendujemy go firmom z sektora MŚP. White box, z pełnym dostępem do dokumentacji i kodu, to najgłębsza i zarazem najbardziej czasochłonna analiza.

3. Typ testów

Inny zakres prac obejmują testy penetracyjne aplikacji webowych, mobilnych, API, sieci i infrastruktury czy kampanie socjotechniczne. Cena rośnie wraz z liczbą obszarów, które chcesz objąć badaniem. Często firmy zaczynają od najbardziej krytycznego elementu (np. aplikacji, na której opiera się biznes), a kolejne obszary testują etapami.

4. Wymóg retestu i forma raportu

Dobrą praktyką jest retest, czyli ponowne sprawdzenie po wdrożeniu poprawek, które potwierdza, że luki faktycznie zniknęły. Na koszt wpływa również oczekiwana forma raportu oraz tempo realizacji, jeśli zależy Ci na pilnym terminie.

Orientacyjnie: czego się spodziewać

W Octopus Lab ceny testów penetracyjnych startują od 2000 zł i rosną wraz z zakresem badania. Rozbudowane projekty dla większych organizacji to wydatek odpowiednio wyższy. Ostateczną kwotę zawsze ustalamy po krótkiej rozmowie o zakresie.

Co dostajesz w cenie?

  • Podsumowanie dla zarządu z oceną ryzyka, bez żargonu.
  • Szczegółowy wykaz podatności z dowodem możliwości ich wykorzystania.
  • Ocenę krytyczności i priorytety napraw.
  • Konkretne rekomendacje, co i jak naprawić.
  • Retest potwierdzający skuteczność poprawek.

Czy testy penetracyjne się opłacają?

Koszt pentestu jest niewspółmiernie niższy niż koszt realnego incydentu: wycieku danych, przestoju usługi czy utraty zaufania klientów. Aktualny raport z testów to także argument w rozmowach z kontrahentami i wsparcie zgodności z wymogami NIS2, RODO oraz ISO 27001.

Jak wygląda wycena w Octopus Lab?

Przygotowujemy indywidualną wycenę po krótkiej, niezobowiązującej rozmowie o zakresie. Nasz certyfikowany zespół (OSCP, ISC2 CC, Cyberbezpieczeństwo Uniwersytet Jagielloński, ITIL) z 15-letnim doświadczeniem w międzynarodowych środowiskach pomoże dobrać zakres optymalny dla Twojego budżetu i ryzyka.

Orientacyjny cennik testów penetracyjnych

Każdy projekt wyceniamy indywidualnie po ustaleniu zakresu, ale dla orientacji, testy penetracyjne zaczynają się od 2000 zł netto. Poniżej typowe widełki zależnie od przedmiotu testu:

Rodzaj testuOrientacyjny koszt (netto)Typowy czas
Aplikacja webowa (mała/średnia)od 2 000 zł2–5 dni
Aplikacja webowa rozbudowana / z integracjamiod 6 000 zł5–10 dni
API (REST/GraphQL)od 2 500 zł2–5 dni
Aplikacja mobilna (iOS/Android)od 4 000 zł4–8 dni
Infrastruktura / sieć (zewnętrzna)od 3 000 zł3–7 dni

Kwoty mają charakter poglądowy, ostateczna wycena zależy od zakresu, liczby celów i wymaganej głębokości testów. Skontaktuj się po bezpłatną, niezobowiązującą wycenę.

Przykład z praktyki

Dla średniej aplikacji SaaS (panel B2B, ok. 40 widoków, 3 role) wykonaliśmy test w modelu grey box. Wśród ustaleń znalazła się podatność klasy IDOR (Insecure Direct Object Reference) umożliwiająca dostęp do danych innych najemców, oceniona na CVSS 8.1 (High). Rekomendacja: egzekwowanie kontroli dostępu po stronie serwera dla każdego zasobu. Koszt projektu mieścił się w dolnej części widełek dla aplikacji webowej.

Źródła i standardy

Pracujemy w oparciu o uznane metodyki branżowe:

Dowiedz się więcej o naszej usłudze: testy penetracyjne dla firm, lub zamów wycenę.

Przeczytaj także

Tagi: testy penetracyjne pentesty cennik cena
DR

Autor

Dominik Rulkiewicz

IT Security Manager · Octopus Lab

Ekspert cyberbezpieczeństwa z ponad 10-letnim doświadczeniem w sektorach regulowanych (ubezpieczenia, farmacja, logistyka). Process Owner ds. zarządzania podatnościami i hardeningu w Grupie ERGO, Audit Lead ISO 27001. Specjalizuje się w testach penetracyjnych, audytach bezpieczeństwa oraz zgodności z NIS2, DORA, ISO 27001 i RODO.

Certyfikaty: ISC2 CC · Cybersecurity Blue Team (Uniwersytet Jagielloński) · ITIL v4 · Microsoft Azure (AZ-900)

Udostępnij:

Potrzebujesz profesjonalnego wsparcia?

Nasi eksperci pomogą Ci zabezpieczyć Twoją firmę przed cyberzagrożeniami.