Co jest tańsze - VA czy pentest?

VA. CyberAudyt CyberCerber jest podstawową formą zewnętrznej oceny podatności - wycena w cenniku. Pentest wymaga więcej godzin specjalisty i jest droższy.

Czy mogę zrobić tylko pentest, pomijając VA?

Technicznie można. Praktycznie to marnotrawstwo - pentest na nieprzygotowanej infrastrukturze daje długą listę słabości, których nie macie czasu naprawić. Lepsza ścieżka: VA, remediacja krytycznych ustaleń w 30 dni, dopiero potem pentest.

Czy ocena podatności sprawdza tylko zewnętrzne usługi?

Zewnętrzna VA (czyli usługa CyberCerber) sprawdza wszystko widoczne z internetu - serwery, strony WWW, poczta, VPN, RDP. Pełen pentest może obejmować również sieć wewnętrzną (po pisemnej zgodzie i opisanym zakresie).

Czy raport po VA wystarczy do RODO art. 32?

Tak - art. 32 RODO wymaga 'regularnego testowania skuteczności środków,' a raport VA jest tym dowodem. UODO akceptuje VA jako spełnienie tego wymogu dla większości MŚP. Pentest dodaje wartości głównie dla podmiotów regulowanych.

Jak często powtarzać każde z badań?

VA - co najmniej raz w roku (standard branżowy + większość ubezpieczeń cyber wymaga). Pentest - co 2-3 lata dla typowego MŚP, raz w roku dla podmiotów kluczowych NIS2.

Czy CyberCerber świadczy oba?

Tak. CyberAudyt to pełna ocena podatności z ręczną weryfikacją OWASP Top 10. Pentest to osobny produkt dla podmiotów regulowanych lub wymogu klienta korporacyjnego. Wycena w cenniku.

Czy pentest może coś popsuć w produkcji?

Ryzyko jest niskie. Doświadczony pentester planuje aktywne próby eksploatacji poza godzinami pracy, koordynuje z waszym zespołem, zatrzymuje próbę przy pierwszych oznakach destabilizacji. CyberCerber pracuje w trybie 'first do no harm' - dowód koncepcji bez wdrożenia szkodliwego payloadu.

Ocena podatności vs test penetracyjny - analogia z włamywaczem do domu

Kryterium	VA	Pentest
Co robi	Mapuje znane słabości w infrastrukturze, priorytetyzuje wg CVSS	Próbuje eksploatować słabości jak prawdziwy atakujący
Czas trwania	5 dni roboczych (CyberAudyt)	10-15 dni roboczych (Pentest)
Cena	Stałocenowo - wycena w cenniku CyberCerber (CyberAudyt)	Stałocenowo (Pentest CyberCerber) - wycena w cenniku; rynkowo 15-50 tys. zł
Wynik	Raport po polsku z listą podatności + planem naprawczym	Raport ze ścieżkami ataku + dowodem koncepcji eksploitacji + planem naprawczym
Wymagane wcześniej	Nic - punkt wyjścia	Powinna być za sobą VA + naprawa krytycznych ustaleń
Najlepsze dla	Pierwsze 12 miesięcy higieny cyber w MŚP	Dowód skuteczności środków po wdrożeniu (NIS2 art. 21(2)(d), wymóg klienta)
Częstotliwość	Co rok jako standard branżowy + przy zmianach architektury	Co 2 lata dla podmiotów regulowanych, rzadziej dla typowego MŚP
Ryzyko dla produkcji	Niemal zero (pasywne skany + ręczna weryfikacja)	Niskie, ale obejmuje aktywne próby eksploatacji - planowane w oknach off-peak

Analogia z włamywaczem do domu

Wyobraźcie sobie wasz dom. Ocena podatności to człowiek, którego wynajmujecie, żeby spacerował wokół domu i notował: tu okno dachowe jest zawsze otwarte, tu zamek w drzwiach jest stary, przez piwnicę można wejść bez większego wysiłku. Wraca z listą, którą wręcza wam razem z planem naprawczym - “zacznijcie od okna dachowego, potem zamek, piwnica może poczekać.”

Pentest to ten sam człowiek, ale teraz próbuje wejść do środka. Z waszą pisemną zgodą. Nie tylko notuje “okno dachowe było otwarte” - faktycznie się przez nie przeczołguje, idzie do salonu, otwiera szufladę i kładzie tam wizytówkę. Potem wraca i mówi: “wszedłem oknem dachowym, w 12 minut byłem w waszym sejfie. Naprawcie najpierw to.”

Pierwszy daje wam mapę. Drugi daje wam dowód. Oba są wartościowe, ale w innym momencie waszej drogi.

Kiedy wybrać ocenę podatności (VA)

VA jest właściwym wyborem, gdy:

Macie zerowy lub minimalny budżet cyber i potrzebujecie wiedzieć, co jest najgorsze
Wdrażacie pierwszą politykę bezpieczeństwa i potrzebujecie punktu odniesienia
Pojawia się obowiązek z art. 32 RODO (regularne testowanie skuteczności) i potrzebujecie taniego, powtarzalnego dowodu
Ubezpieczyciel cyber wymaga audytu przed wystawieniem polisy (najczęstszy wymóg w branży)
Klient korporacyjny prosi o “wyniki ostatniego audytu cyber” w przetargu

W praktyce: VA powinno być pierwszym audytem w cyklu życia waszej firmy. Wszystko inne jest pochodną tej informacji.

Kiedy wybrać test penetracyjny (Pentest)

Pentest ma sens dopiero, gdy:

VA jest za wami, krytyczne i wysokie ustalenia są naprawione
Klient korporacyjny wprost wymaga “pentestu,” nie zwykłego “audytu” (banki, telekomy, instytucje publiczne tak robią)
Podlegacie NIS2 i potrzebujecie dowodu skuteczności art. 21(2)(d) - ten artykuł explicite mówi o “ocenie skuteczności środków”
Ubezpieczyciel cyber wymaga pentestu przy odnowieniu polisy z wyższym limitem
Wdrożyliście nową architekturę (migracja do chmury, nowa aplikacja webowa) i chcecie sprawdzić odporność

Pentest na nieprzygotowanej infrastrukturze to marnotrawstwo - dostaniecie długą listę słabości, których i tak nie zdążycie naprawić przed kolejnym audytem.

Decyzja w 3 pytaniach

Czy macie za sobą jakikolwiek zewnętrzny audyt cyber w ostatnich 12 miesiącach? Nie → VA. Tak → przejdźcie do pytania 2.
Czy naprawiliście wszystkie krytyczne i wysokie ustalenia z poprzedniego audytu? Nie → VA powtórna. Tak → przejdźcie do pytania 3.
Czy regulator (NIS2), klient korporacyjny lub ubezpieczyciel wprost wymagają pentestu? Nie → kolejne VA wystarczy. Tak → pentest.

Przykład: 5-osobowe biuro rachunkowe

Biuro w Warszawie z 25 klientami z sektora MŚP. Wcześniej nigdy nie miało audytu zewnętrznego. Wybrało CyberAudyt CyberCerber w czerwcu 2025 r. (poza sezonem podatkowym). Raport pokazał: brak DMARC, nieaktualną wersję Comarch Optima z 2 znanymi CVE, otwarty RDP do biura z domyślnym hasłem do “TestAdmin.” Naprawa zajęła 14 dni roboczych.

W styczniu 2026 r. klient korporacyjny (sieć szpitali prywatnych, podmiot kluczowy NIS2) zażądał “dowodu pentestu” w odnowieniu umowy. Biuro zamówiło Pentest CyberCerber w marcu 2026 r. Pentester wszedł przez wcześniej nieznaną podatność w pluginie WordPress strony biura, doszedł do skrzynki pocztowej księgowej. Raport wskazał trzy ścieżki ataku. Po remediacji biuro przeszło audyt szpitala bez uwag.

Kolejność: VA → remediacja → klient zażądał dowodu → pentest. Standardowa ścieżka dla biura, które rośnie do klienta regulowanego.