Raptoric Journal/Ofenzivna sigurnost
Ofenzivna sigurnost28. svibnja 2026. · 11 min čitanja

Kako odabrati partnera za penetracijsko testiranje

Ponuda zvuči svugdje isto. Rad iza nje nije. Evo kako razlikovati pravi ofenzivni tim od skeniranja s računom, i koja pitanja postaviti prije potpisa.
Autor
R
Raptoric, ofenzivna sigurnost
Podijelite
LinkedInX / TwitterCopy link

Odabir partnera za penetracijsko testiranje odlučuje koliko vam ono stvarno vrijedi. Dobar partner vam pokaže kako bi pravi napadač ušao u vaš sustav i što biste izgubili kad bi uspio. Loš partner vam pošalje izvještaj iz automatskog skenera s tisuću stavki koje nitko neće pročitati. Razlika između to dvoje mjeri se u tome hoće li vas netko stvarno probiti sljedeće godine ili neće.

Ovaj vodič je za tehničke voditelje i poslovne donositelje odluka u reguliranim tvrtkama. Objašnjava što penetracijsko testiranje zapravo jest, po čemu se razlikuje od procjene ranjivosti, kako prepoznati ozbiljnog izvođača i koje crvene zastavice znače da trebate tražiti dalje. Ako tek krećete, prvo pročitajte što je penetracijsko testiranje, pa se vratite ovamo kad budete birali tvrtku. Mi u Raptoricu radimo ofenzivno sigurnosno testiranje i ovdje opisujemo isti posao koji svakodnevno radimo, bez uljepšavanja.

Što penetracijsko testiranje stvarno znači

Penetracijsko testiranje je kontrolirani napad na vaš sustav. Iskusni inženjeri pokušavaju ući u vašu aplikaciju, mrežu ili infrastrukturu na iste načine na koje bi to pokušao stvarni napadač. Cilj nije nabrojati svaku teorijsku ranjivost. Cilj je dokazati što se konkretno može iskoristiti i dokle napadač može dogurati kad jednom uđe. Otkrivamo sigurnosne propuste prije napadača i pokazujemo vam put kojim bi prošli.

Ključna riječ je dokaz. Skener vam kaže da postoji potencijalna ranjivost. Penetracijski test vam pokaže da je inženjer kroz tu ranjivost došao do baze s podacima klijenata. To dvoje nije isto i ne smije se naplaćivati kao isto. Test koji ne ide dalje od popisa nalaza nije penetracijski test, nego skup snimaka zaslona iz alata.

Penetracijski test nije procjena ranjivosti

Mnoge tvrtke prodaju procjenu ranjivosti pod imenom penetracijskog testa. Razlika je velika i morate je razumjeti prije nego potpišete ugovor. Procjena ranjivosti je širok, uglavnom automatiziran pregled koji nabraja poznate slabosti. Penetracijski test je dublji, ručni rad u kojem inženjer aktivno iskorištava slabosti i lančano ih povezuje. Detaljnu usporedbu razradili smo u tekstu procjena ranjivosti vs pentest.

  • Procjena ranjivosti odgovara na pitanje što bi moglo biti ranjivo, a penetracijski test odgovara na pitanje što se stvarno može iskoristiti i do čega vodi.
  • Procjena se oslanja na alate koji uspoređuju verzije i potpise, dok penetracijski test traži logičke pogreške koje nijedan skener ne vidi.
  • Procjena obično traje sat do dan po sustavu, a ozbiljan penetracijski test traje od nekoliko dana do nekoliko tjedana, ovisno o opsegu.
  • Procjena vam daje popis stavki s ocjenama ozbiljnosti, dok penetracijski test daje priču o napadu s koracima, dokazima i poslovnim posljedicama.
  • Mnoge tvrtke prodaju procjenu pod cijenom penetracijskog testa, pa tražite primjer izvještaja prije nego potpišete bilo što.

Koje vrste penetracijskog testiranja postoje

Penetracijsko testiranje nije jedna stvar. Postoji nekoliko vrsta, a svaka odgovara na drugačiji rizik. Dobar partner će vas pitati što vas brine, a ne ponuditi jedan paket za sve. Loš partner ima jedan paket i pokušava ga prodati svima.

  • Testiranje web i mobilnih aplikacija cilja kod i logiku koju ste sami napisali, a tu se nalazi većina ozbiljnih propusta u modernim tvrtkama.
  • Testiranje vanjske mrežne infrastrukture gleda na vaš sustav onako kako ga vidi netko s interneta, bez ikakvog pristupa iznutra.
  • Testiranje unutarnje mreže pretpostavlja da je napadač već ušao, kroz phishing ili ukradenu lozinku, i mjeri koliko se daleko može proširiti.
  • Red Team vježbe simuliraju cjelovit napad kroz duže razdoblje i testiraju i tehnologiju i ljude i procese, uključujući vaš tim za otkrivanje i odgovor.
  • Testiranje sigurnosti AI sustava cilja modele, agente i RAG sustave koje danas gradite, gdje napadi poput injekcije uputa otvaraju potpuno novu površinu rizika.
  • Testiranje cloud okruženja i konfiguracije gleda na pogrešno postavljene dozvole i resurse u okruženjima poput AWS-a, Azurea i Google Clouda.

Ako gradite ozbiljnu aplikaciju, vjerojatno trebate kombinaciju testiranja koda i sigurnosti aplikacija. Ako koristite jezične modele i agente, dodajte i testiranje sigurnosti AI sustava, jer klasični penetracijski test ne pokriva injekciju uputa i curenje podataka kroz model. O tome smo pisali u tekstu o sigurnosti AI sustava i injekciji uputa.

Kako izgleda ozbiljan proces, korak po korak

Kvalitetan penetracijski test slijedi jasan proces. Kad birate partnera, pitajte ga da vam ga opiše. Ako ne može objasniti kako radi, vjerojatno ne radi dobro. Evo kako mi vodimo posao i kako bi ga svaki ozbiljan izvođač trebao voditi.

  • Definiranje opsega znači da zajedno dogovaramo što se testira, što je izvan granica i koji su ciljevi, jer test bez jasnog opsega nije ni koristan ni siguran.
  • Prikupljanje informacija znači da mapiramo vašu površinu napada, pronalazimo izložene usluge i razumijemo kako sustav radi prije nego ga napadnemo.
  • Iskorištavanje znači da aktivno pokušavamo probiti pronađene slabosti i potvrditi koje su stvarno opasne, a ne samo teorijski prisutne.
  • Širenje i eskalacija znači da nakon prvog ulaza gledamo dokle možemo doći, do kojih podataka i do kojih sustava, jer tu se mjeri stvarna šteta.
  • Izvještavanje znači da pišemo jasan dokument s koracima napada, dokazima, ocjenom rizika i konkretnim preporukama koje vaš tim može odmah primijeniti.
  • Ponovno testiranje znači da nakon što popravite propuste provjeravamo jesu li stvarno zatvoreni, jer popravak koji nije provjeren nije popravak.
Izvještaj koji vaš tim ne razumije i ne može primijeniti nije rezultat, nego trošak.

Što zapravo dobivate, izvještaj i razgovor

Krajnji proizvod penetracijskog testa je izvještaj, ali ne svaki izvještaj vrijedi isto. Slab izvještaj je izvoz iz alata s tisuću redaka i ocjenama koje je netko prepisao iz baze ranjivosti. Dobar izvještaj je dokument koji čita i tehnička osoba i član uprave, svaki na svojoj razini. Tražite primjer izvještaja prije potpisa, jer on vam najviše govori o kvaliteti tvrtke.

  • Sažetak za upravu objašnjava poslovni rizik jednostavnim jezikom, bez žargona, tako da ljudi koji odlučuju o proračunu razumiju što je ugroženo.
  • Tehnički dio opisuje svaki nalaz s točnim koracima za reprodukciju, dokazima i jasnim uputama kako ga popraviti.
  • Ocjena ozbiljnosti uzima u obzir i vjerojatnost i poslovni utjecaj u vašem kontekstu, a ne samo generičku ocjenu iz baze.
  • Prioritetni redoslijed govori vašem timu što popraviti prvo, jer ne možete sve odjednom, a neki propusti čekaju, a neki ne.
  • Završni razgovor s inženjerima koji su radili test vrijedi koliko i sam dokument, jer tu postavljate pitanja i razumijete kontekst.

Tražite i da test rade ljudi, a ne samo alati. Mi koristimo moderne alate i automatizaciju jer to rade i pravi napadači, ali ključne propuste pronalazi iskusan inženjer koji razmišlja o vašoj logici. Alat ne vidi da dva odvojena, naizgled bezopasna nedostatka zajedno daju potpuni proboj. Čovjek to vidi.

Crvene zastavice koje znače da tražite dalje

Tržište je puno tvrtki koje prodaju penetracijsko testiranje, a rade procjenu ranjivosti. Postoji nekoliko jasnih znakova da imate posla s izvođačem koji vam neće dati pravu vrijednost. Ako primijetite više njih, tražite drugu tvrtku.

  • Ponuda dolazi s fiksnom cijenom prije nego je itko pitao za opseg, broj aplikacija ili veličinu mreže, što znači da prodaju paket, a ne posao.
  • Tvrtka ne želi pokazati primjer izvještaja, čak ni očišćen od podataka klijenta, što obično znači da izvještaj nije vrijedan pokazivanja.
  • Test traje samo jedan ili dva dana za složen sustav, što je dovoljno za skeniranje, ali ne i za stvarno iskorištavanje i eskalaciju.
  • Izvođač ne nudi ponovno testiranje nakon popravaka, pa nikad ne saznate jeste li propuste stvarno zatvorili.
  • Nitko ne spominje pravila angažmana, dozvole i sigurnosne mjere, što znači da ne razmišljaju o riziku za vaše produkcijske sustave.
  • Cijena je drastično niža od svih ostalih ponuda, jer ozbiljan ručni rad iskusnih ljudi ne može biti jeftin.

Što pitati izvođača prije potpisa

Prije nego odaberete partnera, postavite mu konkretna pitanja. Način na koji odgovara reći će vam koliko je ozbiljan. Tražite jasne odgovore, a ne marketinške fraze. Evo pitanja koja stvarno razdvajaju dobre izvođače od loših.

  • Tko će konkretno raditi na testu i koliko iskustva ima, jer prodavač i izvođač često nisu ista osoba i razlika se vidi u rezultatu.
  • Koliki dio posla je ručni rad, a koliko se oslanja na automatske alate, jer omjer puno govori o dubini testiranja.
  • Možete li vidjeti primjer izvještaja, jer to je najbolji pokazatelj kvalitete koji možete dobiti unaprijed.
  • Kako postupate s pronađenim ranjivostima i osjetljivim podacima tijekom testa, jer izvođač ima pristup vašim najvažnijim sustavima.
  • Je li ponovno testiranje uključeno u cijenu i koliko traje rok za njega, jer popravak bez provjere ne vrijedi mnogo.
  • Kako se test uklapa u zahtjeve okvira koje moramo zadovoljiti, poput NIS2, DORA ili ISO 27001, ako za vas to igra ulogu.

Kada testirati i koliko često

Penetracijsko testiranje nije jednokratni događaj. Vaš sustav se mijenja svaki tjedan, a svaka promjena može otvoriti novu slabost. Test od prošle godine ne govori ništa o kodu koji ste pustili prošli mjesec. Učestalost ovisi o tome koliko se brzo mijenjate i koliko ste regulirani.

  • Testirajte barem jednom godišnje za stabilne sustave, jer to je minimum koji traži većina okvira i klijenata.
  • Testirajte nakon svake veće promjene arhitekture ili nakon dodavanja važne nove funkcionalnosti, jer tada nastaju novi propusti.
  • Testirajte prije velikog lansiranja proizvoda ili ulaska na novo tržište, jer tada imate najviše izloženosti i najmanje vremena za popravak.
  • Testirajte kad ulazite u ugovor s velikim klijentom koji to traži kao uvjet, jer mnoge tvrtke danas zahtijevaju dokaz o testiranju.
  • Ugradite kontinuirano testiranje u razvojni proces ako brzo isporučujete kod, jer godišnji test ne prati brzinu modernih timova.

Ako tek gradite svoj sigurnosni program i ne znate odakle krenuti, pročitajte naš tekst o tome odakle krenuti s kibernetičkom sigurnošću. Penetracijsko testiranje ima smisla tek kad imate osnovnu higijenu na mjestu. Nema svrhe testirati sustav za koji već znate da je pun rupa.

Koliko to košta i o čemu cijena ovisi

Cijena penetracijskog testa ovisi o opsegu, a ne o paketu. Ozbiljan izvođač procjenjuje koliko mu dana treba na temelju veličine i složenosti onoga što testira. Ako dobijete fiksnu cijenu prije razgovora o opsegu, to je znak da vam prodaju procjenu ranjivosti, a ne penetracijski test. Glavni faktori koji određuju cijenu su jasni.

  • Veličina i složenost sustava određuje koliko dana inženjeri trebaju, jer veća površina napada znači više posla.
  • Vrsta testa mijenja cijenu, jer Red Team vježba kroz nekoliko tjedana košta znatno više od testa jedne aplikacije.
  • Dubina testiranja utječe na trošak, jer dublje iskorištavanje i eskalacija traže više vremena iskusnih ljudi.
  • Iskustvo tima koji radi mijenja cijenu, jer rad vrhunskih inženjera ne može stajati isto koliko izvoz iz skenera.
  • Ponovno testiranje i podrška nakon isporuke izvještaja također ulaze u ukupan trošak, pa pitajte je li to uključeno.

Najgori način štednje je odabir najjeftinije ponude. Jeftin test koji propusti pravi proboj košta vas mnogo više kad se taj proboj dogodi. Gledajte na test kao na ulaganje koje smanjuje stvarni rizik, a ne kao na stavku koju treba minimizirati.

Kako se test veže uz regulativu

Za regulirane tvrtke penetracijsko testiranje nije samo dobra praksa, nego često i obveza. Više europskih i hrvatskih okvira traži redovito testiranje sigurnosti, izravno ili neizravno. Dobar partner razumije te okvire i piše izvještaj tako da ga možete pokazati revizoru ili regulatoru.

  • NIS2 direktiva, odnosno Direktiva (EU) 2022/2555, traži mjere upravljanja rizicima koje u praksi uključuju redovito testiranje sigurnosti, a u Hrvatskoj je provodi Zakon o kibernetičkoj sigurnosti.
  • DORA, odnosno Uredba (EU) 2022/2554 na snazi od siječnja 2025., izričito traži testiranje digitalne operativne otpornosti za financijske institucije pod nadzorom HNB-a i Hanfe.
  • ISO/IEC 27001:2022 sa svojih 93 kontrole u 4 teme očekuje provjeru tehničke ranjivosti kao dio sustava upravljanja informacijskom sigurnošću.
  • SOC 2 prema Trust Services kriterijima traži dokaz da redovito procjenjujete i otklanjate sigurnosne rizike, a izvještaj o penetracijskom testu je čest dio tog dokaza.
  • OWASP smjernice daju zajednički jezik za testiranje web aplikacija, pa provjerite slijedi li vaš izvođač priznatu metodologiju.

Ako vas vodi konkretan okvir, povežite testiranje s njime od početka. Pogledajte naše stranice o NIS2 usklađenosti, DORA okviru i ISO 27001. Za financijske institucije razradili smo poseban tekst o tome što DORA znači u praksi, a za hrvatski kontekst ISO standarda pogledajte ISO 27001 u Hrvatskoj. Cjelovit pregled obveza po NIS2 nalazi se u tekstu o Zakonu o kibernetičkoj sigurnosti.

Česta pitanja

Po čemu se penetracijsko testiranje razlikuje od skeniranja ranjivosti?

Skeniranje ranjivosti je automatski pregled koji nabraja poznate slabosti. Penetracijsko testiranje je ručni rad u kojem iskusan inženjer aktivno iskorištava slabosti i pokazuje dokle napadač može doći. Skener kaže da nešto možda nije sigurno. Penetracijski test dokazuje da je inženjer kroz to ušao do vaših podataka.

Koliko traje penetracijski test?

To ovisi o opsegu. Test jedne web aplikacije obično traje od nekoliko dana do dva tjedna. Veći sustavi i Red Team vježbe traju dulje. Budite oprezni s izvođačem koji za složen sustav nudi test od jednog ili dva dana, jer to je dovoljno samo za skeniranje, a ne za stvarno iskorištavanje.

Hoće li test srušiti naše produkcijske sustave?

Uz ozbiljnog izvođača rizik je vrlo nizak. Prije početka dogovaramo pravila angažmana, granice opsega i postupak ako nešto pođe po zlu. Iskusni inženjeri znaju koje su tehnike sigurne za produkciju, a koje treba izvoditi u testnom okruženju. Ako izvođač uopće ne spominje ta pravila, to je crvena zastavica.

Trebamo li testirati ako koristimo cloud velikog pružatelja?

Da. Cloud pružatelj osigurava svoju infrastrukturu, ali vi ste odgovorni za svoju konfiguraciju, kod i pristup. Većina ozbiljnih proboja u cloud okruženjima događa se zbog pogrešno postavljenih dozvola i ranjivosti u vašoj aplikaciji, a ne zbog propusta pružatelja. To je vaša odgovornost i nju treba testirati.

Možemo li penetracijski test koristiti kao dokaz usklađenosti?

U pravilu da, ako je izvještaj napisan kako treba. Okviri poput ISO 27001, SOC 2, NIS2 i DORA očekuju dokaz da redovito testirate i otklanjate rizike. Dobro napisan izvještaj o penetracijskom testu, zajedno s dokazom da ste propuste popravili, služi upravo toj svrsi. Recite izvođaču unaprijed koji okvir vas vodi.

Kako započeti

Odabir partnera za penetracijsko testiranje svodi se na jednu stvar. Tražite ljude koji rade pravi posao, pokazuju kako rade i daju vam izvještaj koji vaš tim može primijeniti. Izbjegavajte paket-ponude bez opsega, izvođače koji kriju primjere izvještaja i cijene koje su predobre da budu istinite. Ako razumijete razliku između procjene ranjivosti i pravog testa, već ste ispred većine kupaca.

Mi u Raptoricu radimo penetracijsko testiranje i ofenzivnu sigurnost za regulirane tvrtke u financijama, zdravstvu, tehnologiji i infrastrukturi. Otkrivamo sigurnosne propuste prije napadača i dajemo vam jasan plan kako ih zatvoriti. Ako želite razgovarati o opsegu i o tome što vaš sustav stvarno treba, dogovorite poziv za definiranje opsega. Reći ćemo vam iskreno što vam treba, a što ne.

Želite li ovakvu provjeru na vlastitim sustavima?
Iskusni inženjer definirat će opseg posla s vama u 30-minutnom razgovoru.
Dogovorite razgovor
Nastavite čitati
Svi tekstovi →