Ile kosztuje test penetracyjny? Z czego składa się cena i na co uważać

Test penetracyjny (pentest) potrafi kosztować kilka tysięcy złotych albo kilkaset. Ta rozpiętość nie bierze się z widzimisię wykonawcy, tylko z tego, co realnie wchodzi w zakres i kto siedzi po drugiej stronie. Poniżej rozkładamy cenę pentestu na czynniki: co na nią wpływa, dlaczego najtańsza oferta zwykle wychodzi najdrożej i jak rozpoznać wykonawcę, który da Ci realną wartość, a nie wydruk z automatu.
Pentest to nie automatyczny skan
Skaner podatności to narzędzie: przechodzi po systemie i zwraca listę znanych błędów z bazy CVE. Pentest zaczyna się tam, gdzie skaner się kończy. Człowiek analizuje architekturę, łączy pojedyncze słabości w łańcuch i sprawdza logikę biznesową, czyli to, czego automat nie rozumie: jak obejść proces płatności, jak z konta zwykłego użytkownika dostać się do cudzych danych, jak jedno drobne niedopatrzenie prowadzi do przejęcia serwera.
Dlatego dobry raport z pentestu nie jest stosem alarmów do przejrzenia. To opis realnego ryzyka i konkretne, wykonalne kroki naprawcze, uporządkowane według tego, co grozi najbardziej. Jeśli ktoś proponuje „pentest” za cenę, która ledwie starcza na jeden dzień pracy specjalisty, niemal na pewno dostaniesz eksport ze skanera, nie ocenę bezpieczeństwa.
Black box, grey box, white box: różny dostęp, różny koszt
Poziom dostępu, jaki dajesz testerowi, wpływa na czas pracy, a więc i na cenę.
- Black box: tester zaczyna bez wiedzy o systemie, jak napastnik z zewnątrz. Najbliżej realnego ataku, ale rozpoznanie zajmuje najwięcej czasu.
- Grey box: tester dostaje ograniczony dostęp, na przykład konto zwykłego użytkownika. Symuluje kogoś, kto już przełamał pierwszą linię obrony albo działa od środka. Zwykle najlepszy stosunek kosztu do pokrycia.
- White box: tester ma pełną wiedzę, łącznie z kodem źródłowym i schematami. Pozwala przejść aplikację najgłębiej, punkt po punkcie.
Z czego składa się cena
Cena pentestu to przede wszystkim czas pracy doświadczonych ludzi i utrzymanie zaplecza, które pozwala im pracować. Składają się na nią:
- Zespół. Dobry pentester to lata praktyki, certyfikaty i ciągłe uczenie się nowych technik. Do wynagrodzenia dochodzą szkolenia, konferencje i sprzęt. Za każdym testem stoi też weryfikacja jakości raportu, a nie jedna osoba na wszystko.
- Narzędzia. Profesjonalne skanery i platformy do symulacji ataków to komercyjne licencje odnawiane co roku. Najlepsze zespoły dokładają do tego własne, autorskie narzędzia.
- Zakres. Mała strona-wizytówka to inny nakład niż platforma e-commerce z integracjami, API i wieloma aplikacjami. Każdy dodatkowy system to kolejne dni pracy.
- Złożoność. Typowa strona na popularnym systemie CMS jest przewidywalna. Nietypowe, mocno zintegrowane środowisko wymaga więcej czasu i wąskiej specjalizacji.
- Głębokość. Pobieżne sprawdzenie kosztuje mniej, ale dopiero wejście w logikę biznesową i nietypowe wektory pokazuje realny obraz bezpieczeństwa.
- Raport i formalności. Zrozumiały raport z priorytetami i instrukcją naprawy to osobna praca analityczna. Do tego umowy, NDA, ubezpieczenie i koordynacja projektu.
W praktyce wycenia się to w dniach pracy (tak zwany osobodzień). Prosty test to kilka dni, złożona platforma czy symulacja Red Team to kilkadziesiąt i więcej. Dlatego zamiast pytać o „cenę pentestu”, warto zacząć od ustalenia zakresu, bo to on decyduje o kwocie.
Dlaczego najtańsza oferta zwykle wychodzi najdrożej
Niska cena bierze się z krótszego czasu, a krótszy czas oznacza płytszą analizę. Skutki poznasz zwykle za późno:
- Fałszywe poczucie bezpieczeństwa. Raport mówi „czysto”, bo test w ogóle nie dotarł do miejsc, w których siedzi problem.
- Pominięte podatności. Błędy wymagające czasu i pomysłowości zostają nietknięte.
- Raport bez wartości. Generyczny eksport z narzędzia, pełen fałszywych alarmów, bez wskazówek, co i jak naprawić.
- Brak wsparcia po teście. Zostajesz z listą problemów sam, bez omówienia i bez retestu po poprawkach.
Koszt porządnego pentestu jest ułamkiem kosztów realnego incydentu: przestoju, odtwarzania systemów, kar i utraconego zaufania. Oszczędność na teście to najczęściej przesunięcie wydatku w czasie, na gorszy moment.
Jak wybrać wykonawcę
Zanim porównasz kwoty, porównaj to, co za nimi stoi. Warto zapytać o:
- Doświadczenie w Twojej branży i w Twoim typie systemów.
- Referencje i realizacje, najlepiej z kontaktem do klientów.
- Zespół: kto konkretnie testuje, jakie ma certyfikaty (na przykład OSCP, OSWE, CISSP) i praktykę.
- Przykładowy, zanonimizowany raport, żeby ocenić, czy jest zrozumiały i wykonalny dla Twojego zespołu IT.
- Metodykę zgodną z uznanymi standardami (OWASP, PTES, NIST) i jasno spisany zakres.
- Poufność: solidne NDA i ubezpieczenie odpowiedzialności.
- To, co dzieje się po teście: omówienie wyników i retest po wdrożeniu poprawek.
Najniższa kwota rzadko jest najlepszą decyzją. Porównuj oferty całościowo: co realnie dostajesz za tę cenę.
Ile to kosztuje w praktyce
Uczciwa odpowiedź brzmi: to zależy od zakresu, a rozpiętość jest duża. Prosta strona to kilka dni pracy i najniższy przedział cen. Średnia aplikacja webowa albo mobilna to zwykle kilkanaście dni, bo dochodzi logika biznesowa i zaplecze API. Testy infrastruktury skalują się z liczbą serwerów, urządzeń i segmentów sieci. Najszerszy zakres, czyli pełny audyt bezpieczeństwa albo Red Teaming dla dojrzałych organizacji, to kilkadziesiąt dni i więcej.
Cenę podnoszą też czynniki poza samym zakresem: tryb pilny, praca w nietypowych godzinach, testy na miejscu czy niestandardowe wymagania raportowe. Dlatego rzetelną kwotę poznasz dopiero po ustaleniu zakresu prac (Statement of Work). Zamiast gotowego cennika poproś o wycenę dopasowaną do Twojego środowiska i ryzyka.
Podsumowanie
Cena pentestu odzwierciedla czas, wiedzę, narzędzia i odpowiedzialność, jakie trzeba w niego włożyć. Najtańsza oferta zwykle oznacza płytszy test i raport, z którego niewiele wynika. Zamiast kierować się samą kwotą, ustal zakres, sprawdź wykonawcę i porównaj realną wartość. Dobrze zaplanowany test kosztuje znacznie mniej niż incydent, któremu zapobiega.
Umów bezpłatną konsultację, a wspólnie z konsultantem ustalimy zakres i wycenę testu penetracyjnego dopasowaną do realnego ryzyka Twojej firmy.