Raptoric Journal/Ofenzivna sigurnost
Ofenzivna sigurnost6. lipnja 2026. · 10 min čitanja

Što je penetracijsko testiranje i kada vam treba

Penetracijski test je osoba koja namjerno pokušava provaliti u vaše sustave, po pravilima koja vi postavite. Evo što obuhvaća, kako teče i kada ga trebate.
Autor
R
Raptoric, ofenzivna sigurnost
Podijelite
LinkedInX / TwitterCopy link

Penetracijsko testiranje je kontrolirani simulirani napad na vaše sustave. Iskusni inženjeri pokušavaju iskoristiti slabosti u aplikacijama, mrežama, oblačnim okruženjima i ljudima, na isti način na koji bi to napravio stvarni napadač. Cilj nije dokazati da ste ranjivi nego točno pokazati kako bi napad tekao, dokle bi napadač stigao i što biste izgubili. Otkrivamo sigurnosne propuste prije napadača, a vi dobivate jasan popis onoga što treba popraviti i kojim redoslijedom.

Pitanje kada vam treba penetracijsko testiranje ima jednostavan odgovor. Treba vam prije nego što ga zatraži regulator, klijent ili napadač. Regulirane tvrtke u financijama, zdravstvu, tehnologiji, infrastrukturi i javnom sektoru sve češće moraju dokazati da redovito testiraju otpornost svojih sustava. Ovaj tekst objašnjava što penetracijsko testiranje stvarno jest, koje vrste postoje, kako teče proces, što dobivate na kraju i kako se sve to povezuje s okvirima poput NIS2, DORA i ISO/IEC 27001.

Što je penetracijsko testiranje, a što nije

Penetracijsko testiranje je dubinska, ručna procjena sigurnosti u kojoj testeri aktivno iskorištavaju ranjivosti kako bi dokazali stvarni utjecaj. Tester ne staje na popisu pronađenih slabosti. On ide korak dalje, povezuje nekoliko manjih propusta u jedan lanac napada i pokazuje kako bi napadač od pristupa javnoj web stranici stigao do baze s osobnim podacima. To je ključna razlika u odnosu na automatizirano skeniranje.

Mnogi pomiješaju penetracijsko testiranje s procjenom ranjivosti. Procjena ranjivosti je šira i plića. Ona koristi alate koji prepoznaju poznate slabosti i daju vam dugačak popis nalaza, ali rijetko dokazuje stvarnu iskoristivost. Penetracijsko testiranje je uže i dublje. Razliku detaljnije razlažemo u tekstu o tome koja je razlika između procjene ranjivosti i pentesta, a u praksi se ta dva pristupa nadopunjuju, ne isključuju.

Penetracijsko testiranje nije ni revizija usklađenosti ni sigurnosni pregled na papiru. Revizor provjerava postoje li politike i kontrole. Tester provjerava drže li te kontrole pod stvarnim pritiskom. Tvrtka može imati uredan sustav upravljanja informacijskom sigurnošću i svejedno pasti na jednostavnom napadu jer kontrola nije pravilno postavljena.

Vrste penetracijskog testiranja

Penetracijsko testiranje nije jedna stvar. Odabir vrste ovisi o tome što štitite i čega se najviše bojite. Različite mete traže različite vještine i alate, pa je važno opseg odrediti prije početka, a ne usput.

  • Testiranje web i mobilnih aplikacija provjerava poslovnu logiku, autentikaciju, autorizaciju i ranjivosti poput onih s OWASP popisa, jer su aplikacije najčešća ulazna točka napadača.
  • Testiranje vanjske mrežne infrastrukture gleda na sve što je dostupno s interneta, od izloženih servisa i portala do pogrešno postavljenih vatrozida i zaboravljenih poslužitelja.
  • Testiranje unutarnje mreže simulira napadača koji je već unutra, primjerice zaposlenika ili nekoga tko je probio prvu liniju obrane, i mjeri koliko se daleko može proširiti.
  • Testiranje oblačnih okruženja provjerava konfiguraciju identiteta i pristupa, prava nad resursima i izolaciju, jer se najveći broj propusta u cloud okruženjima svodi na pogrešnu konfiguraciju, ne na ranjivost dobavljača.
  • Testiranje sigurnosti AI sustava cilja nove vrste napada poput ubrizgavanja uputa i curenja podataka iz modela, što smo razložili u tekstu o sigurnosti AI sustava i prompt injectionu.
  • Socijalni inženjering i phishing testiraju ljude i procese, jer su zaposlenici i dalje najčešća meta stvarnih napada.

Black box, grey box i white box pristup

Količina informacija koju dajete testeru oblikuje cijeli angažman. Tri uobičajena pristupa daju različite rezultate i traže različit budžet. Nema univerzalno najboljeg izbora, postoji samo izbor koji odgovara vašem cilju.

  • Kod black box pristupa tester ne dobiva gotovo nikakve informacije i kreće kao vanjski napadač bez prethodnog znanja, što dobro oslikava stvarnu prijetnju ali troši vrijeme na izviđanje.
  • Kod grey box pristupa tester dobiva ograničen pristup, primjerice korisnički račun ili dokumentaciju, što ubrzava posao i daje dublju pokrivenost u istom vremenskom okviru.
  • Kod white box pristupa tester ima puni uvid u arhitekturu i izvorni kod, što omogućuje najtemeljitiju analizu i otkrivanje propusta koje vanjski napad teško dosegne.
  • Za većinu reguliranih tvrtki grey box pristup daje najbolji omjer dubine i troška, jer testeri ne gube dane na ono što ionako mogu otkriti, nego vrijeme troše na stvarno iskorištavanje.

Kako teče angažman, korak po korak

Ozbiljno penetracijsko testiranje slijedi jasan, ponovljiv proces. Taj proces štiti i vas i tim koji testira, jer unaprijed definira što je dopušteno, što nije i kako se postupa ako nešto pođe po zlu.

  • Definiranje opsega je prvi korak u kojem zajedno odlučujemo što se testira, što je izvan granica i koji su poslovni ciljevi testa.
  • Izviđanje i prikupljanje informacija slijedi nakon dogovora, kada tim mapira metu i pronalazi ulazne točke prije nego što išta pokuša iskoristiti.
  • Pronalaženje i iskorištavanje ranjivosti je srž angažmana, u kojoj testeri aktivno dokazuju koje slabosti vode do stvarnog pristupa.
  • Širenje i eskalacija prava pokazuje dokle bi napadač stigao nakon prvog proboja i koje bi podatke ili sustave mogao dosegnuti.
  • Izrada izvješća pretvara tehničke nalaze u jasan dokument s rangiranim rizicima, dokazima i konkretnim preporukama za popravak.
  • Ponovno testiranje nakon popravaka potvrđuje da su ranjivosti stvarno otklonjene, a ne samo prijavljene kao riješene.

Cijeli ovaj pristup gradimo oko ofenzivne sigurnosti kao temelja. Tek kada vidite kako napad stvarno izgleda, vaše odluke o ulaganju u obranu postaju utemeljene na činjenicama, a ne na pretpostavkama.

Izvješće koje samo nabraja ranjivosti nije pentest. Pentest je dokaz dokle bi napadač stigao i što biste izgubili.

Što dobivate na kraju

Vrijednost penetracijskog testiranja leži u onome što ostaje nakon završetka. Dobar isporučeni materijal služi i tehničkom timu i upravi, jer svaka od tih skupina treba drugačiju razinu detalja.

  • Sažetak za upravu objašnjava poslovni rizik jednostavnim jezikom, bez tehničkog žargona, tako da donositelji odluka razumiju što je ugroženo.
  • Tehničko izvješće opisuje svaku ranjivost s koracima za reprodukciju, dokazima i procjenom ozbiljnosti prema priznatoj ljestvici.
  • Rangiranje nalaza po riziku pomaže vašem timu da prvo riješi ono što stvarno boli, umjesto da troši vrijeme na nalaze niskog utjecaja.
  • Konkretne preporuke za popravak daju jasan smjer, a ne samo opis problema, što ubrzava rad razvojnog i sistemskog tima.
  • Potvrda o ponovnom testiranju dokazuje da su kritične ranjivosti otklonjene, što često traže i revizori i klijenti.

Kada govorimo o aplikacijama, nalazi se često vraćaju razvojnom timu, pa ih povezujemo s radom na sigurnosti aplikacija kako popravci ne bi ostali na popisu nego ušli u stvarni razvojni proces.

Penetracijsko testiranje i Red Team, koja je razlika

Penetracijsko testiranje i Red Team angažman često se pomiješaju, ali rješavaju različite probleme. Penetracijsko testiranje traži što više iskoristivih ranjivosti u definiranom opsegu u zadanom vremenu. Cilj je pokrivenost i dubina nad poznatom metom.

Red Team angažman testira sposobnost vaše organizacije da prepozna i zaustavi stvarni napad. Tim radi tiho, bez znanja obrambenog tima, i mjeri koliko brzo netko primijeti napad i koliko dobro reagira. Red Team ima smisla tek kada već imate zrele obrambene procese koje vrijedi testirati pod realnim uvjetima. Za većinu tvrtki koje kreću s temom kibernetičke sigurnosti penetracijsko testiranje je pravo polazište, a smjernice o tome odakle krenuti u kibernetičkoj sigurnosti pomažu posložiti redoslijed.

Kada vam stvarno treba i koliko često

Najgori trenutak za prvi pentest je dan nakon proboja. Postoji nekoliko jasnih okidača koji govore da je vrijeme za testiranje, a nakon prvog testa ono postaje redovita aktivnost, ne jednokratni događaj.

  • Prije izlaska nove aplikacije ili veće promjene arhitekture, jer je puno jeftinije popraviti propust prije nego što sustav krene u produkciju.
  • Najmanje jednom godišnje za sustave koji obrađuju osjetljive podatke, što je uobičajeno očekivanje regulatora i revizora.
  • Nakon svake značajne promjene infrastrukture, migracije u cloud ili integracije novog sustava treće strane.
  • Kada to traži klijent ili partner kao uvjet suradnje, što je sve češći zahtjev u nabavi reguliranih tvrtki.
  • Kada vas obvezuje propis poput NIS2 ili DORA, koji zahtijevaju redovito testiranje otpornosti i upravljanje rizikom.

Za tvrtke s aktivnim razvojem ima smisla kombinirati godišnji dubinski pentest s češćim ciljanim testiranjem pri svakoj većoj promjeni. Time se rizik mjeri kontinuirano, a ne jednom godišnje kada je već kasno za jeftine popravke.

Kako se penetracijsko testiranje uklapa u usklađenost

Penetracijsko testiranje nije samo tehnička higijena. Ono je sve češće izričit ili neizravan zahtjev regulatornih okvira koji se primjenjuju na hrvatske i europske tvrtke. Razumijevanje te veze pomaže opravdati ulaganje pred upravom.

  • Direktiva NIS2, odnosno Direktiva (EU) 2022/2555, koju u Hrvatskoj prati Zakon o kibernetičkoj sigurnosti, traži upravljanje rizikom i mjere koje uključuju testiranje sigurnosti, što smo razložili u tekstu o NIS2 i Zakonu o kibernetičkoj sigurnosti.
  • Uredba DORA, odnosno Uredba (EU) 2022/2554 na snazi od siječnja 2025., izričito traži testiranje digitalne operativne otpornosti od financijskih institucija pod nadzorom HNB i Hanfe, o čemu pišemo u tekstu za financijske institucije i DORA.
  • Norma ISO/IEC 27001:2022 sa svojih 93 kontrole u 4 teme očekuje redovitu provjeru tehničkih ranjivosti kao dio sustava upravljanja informacijskom sigurnošću, što obrađujemo u tekstu o ISO 27001 u Hrvatskoj.
  • Trust Services kriteriji za SOC 2 i očekivanja klijenata često traže dokaz redovitog penetracijskog testiranja kao dio procjene dobavljača.
  • EU akt o umjetnoj inteligenciji uvodi nove zahtjeve za sigurnost AI sustava visokog rizika, što testiranje AI okruženja čini sve relevantnijim.

Naš rad na usklađenosti s NIS2 i usklađenosti s DORA povezujemo s rezultatima testiranja, jer dokaz da ste testirali otpornost vrijedi puno više kada ulazi izravno u vaš sustav upravljanja i dokumentaciju usklađenosti.

Česte pogreške i upozoravajući znakovi

Tržište penetracijskog testiranja vrlo je neujednačeno. Neki ponuđači prodaju automatizirano skeniranje pod imenom pentesta. Prepoznavanje upozoravajućih znakova štedi vam novac i lažni osjećaj sigurnosti.

  • Ponuda bez jasno definiranog opsega vodi u test koji ne pokriva ono što vas stvarno brine, pa opseg uvijek mora biti pisan i konkretan.
  • Izvješće koje je samo izvoz iz alata za skeniranje, bez ručne provjere i dokaza iskoristivosti, nije pentest nego procjena ranjivosti s pogrešnim imenom.
  • Sumnjivo niska cijena gotovo uvijek znači plitak rad, jer ozbiljno testiranje traži vrijeme iskusnih inženjera koje se ne može stisnuti u nekoliko sati.
  • Nedostatak ponovnog testiranja nakon popravaka ostavlja vas bez dokaza da su ranjivosti stvarno otklonjene.
  • Tester koji ne traži pisanu suglasnost i pravila angažmana izlaže i sebe i vas pravnom riziku, što je znak neozbiljnog pristupa.

Odabir pravog partnera je odluka koja oblikuje vrijednost cijelog ulaganja. Kriterije za tu odluku detaljno razlažemo u tekstu o tome kako odabrati partnera za pentest.

Koliko košta i koliko traje

Cijena penetracijskog testiranja ovisi o opsegu, dubini i složenosti mete. Mali angažman na jednoj web aplikaciji traje nekoliko dana. Opsežno testiranje cijele infrastrukture velike organizacije traje nekoliko tjedana. Trošak je gotovo uvijek funkcija vremena iskusnih inženjera, jer kvalitetan pentest nije proizvod nego stručni rad.

Umjesto da gledate samo cijenu, gledajte odnos cijene i dubine. Jeftin test koji ništa ne pronađe nije ušteda nego trošak, jer vam daje lažan osjećaj sigurnosti. Realan budžet planira se na temelju opsega koji odgovara stvarnom riziku, a ne na temelju najniže ponude. Dobro postavljen opseg uštedi novac jer usmjerava trud na ono što je važno, što je dio šireg rada na upravljanju rizikom i usklađenosti kroz GRC.

Što slijedi nakon testa

Pentest nije kraj nego početak ciklusa. Nakon izvješća slijedi popravak, pa ponovno testiranje, pa praćenje. Kontinuirano otkrivanje prijetnji i odgovor na njih, koje gradimo kroz otkrivanje prijetnji i odgovor, nadopunjuju povremeni pentest, jer između dva testa sustav nastavlja živjeti i mijenjati se.

Kod tvrtki koje uvode ili koriste AI sustave taj se ciklus širi i na nove vrste rizika, pa rad na sigurnosti AI sustava postaje sastavni dio sigurnosnog programa, a ne nešto odvojeno. Sigurnost je proces, a pentest je redovita kontrolna točka u tom procesu.

Česta pitanja

Koja je razlika između procjene ranjivosti i penetracijskog testiranja?

Procjena ranjivosti automatiziranim alatima pronalazi poznate slabosti i daje širok popis nalaza, ali rijetko dokazuje stvarnu iskoristivost. Penetracijsko testiranje ide dublje, ručno iskorištava ranjivosti i pokazuje stvarni utjecaj. Većina reguliranih tvrtki treba oboje, jer se nadopunjuju.

Koliko često trebamo provoditi penetracijsko testiranje?

Pravilo je najmanje jednom godišnje, te dodatno nakon svake veće promjene aplikacije ili infrastrukture. Tvrtke pod okvirima poput NIS2 i DORA testiranje provode redovito kao dio upravljanja rizikom, a ne kao jednokratni događaj.

Hoće li testiranje srušiti naše sustave u produkciji?

Ozbiljan angažman počinje pisanim pravilima koja definiraju što je dopušteno i kako se izbjegava utjecaj na rad. Testiranje se može voditi protiv testnog okruženja ili oprezno u produkciji uz dogovorene granice. Dobar tester štiti dostupnost vaših sustava jednako koliko traži njihove slabosti.

Zadovoljava li pentest zahtjeve usklađenosti sam za sebe?

Pentest je važan dokaz, ali nije cijela usklađenost. Okviri poput ISO/IEC 27001 i DORA traže i politike, procese, upravljanje rizikom i kontinuirano praćenje. Penetracijsko testiranje daje tehnički dokaz da kontrole drže, što je dio veće slike, a ne zamjena za nju.

Možete li testirati i naše AI sustave?

Da. AI sustavi donose nove vrste napada poput ubrizgavanja uputa i curenja podataka iz modela. Te napade testiramo posebnim metodama, a rezultate povezujemo s ostatkom vašeg sigurnosnog programa kako AI ne bi ostao slijepa točka.

Penetracijsko testiranje pokazuje vam istinu o vašoj sigurnosti prije nego što vam je pokaže napadač. Ako planirate prvi test ili želite postaviti redovit program, pogledajte našu uslugu ofenzivne sigurnosti i dogovorite razgovor o opsegu. Zajedno ćemo odrediti što testirati, kako i kojim redoslijedom, tako da svaki uloženi sat ide u smanjenje stvarnog rizika.

Želite li ovakvu provjeru na vlastitim sustavima?
Iskusni inženjer definirat će opseg posla s vama u 30-minutnom razgovoru.
Dogovorite razgovor
Nastavite čitati
Svi tekstovi →