Tkamy Twoją sieć
bezpieczeństwa.
Łączymy techniczną głębię z warstwą regulacyjną — dla SMB w sektorach regulowanych, NGO ochrony ludności i samorządu.
Co robimy
Głębia techniczna spotyka warstwę regulacyjną — specjalizacja zamiast skali, dla sektorów regulowanych i odporności społecznej.
Testy penetracyjne
Etyczne hakowanie zanim zrobi to ktoś inny. Web, mobile, API, AI/LLM, OT/ICS — ze specjalizacją w sektorach regulowanych.
PENTESTPre-audit ISO 27001
Przygotowanie do certyfikacji ISO/IEC 27001 przez akredytowaną jednostkę. Gap analysis, dokumentacja, audyt wewnętrzny, wsparcie w Stage 1 i Stage 2.
ISO 27001NIS2 / DORA / KSC
Pakiety sektorowe compliance — JST, ochrona zdrowia, ochrona ludności, fintech niebankowy. Plus KSC Audit Express.
COMPLIANCEOSINT
Wywiad ze źródeł otwartych — due diligence inwestycyjne, CTI, investigative, przeciwdziałanie dezinformacji.
OSINTvCISO
Fractional CISO — formalna funkcja Dyrektora ds. Bezpieczeństwa w modelu kontraktowym. Standard i Premium tier.
vCISOThreat Intelligence
Subskrypcyjny threat intel sektorowy — dla pro-obronnych, civil protection, sektora finansowego.
CTIOdporność społeczna
Cyber consulting odporności społecznej i OLiOC. Wsparcie wniosków grantowych UE i krajowych. Partnerstwa branżowe i akademickie.
SOCIAL RESILIENCECyberawareness
Dwa nurty — sektorowo dopasowane szkolenia dla organizacji oraz programy dla społeczności lokalnych, JST, młodzieży i seniorów.
AWARENESSJak pracujemy
Transparentny, ustrukturyzowany proces — od briefu do raportu końcowego z planem remediacji.
Zakres i cele
Ustalamy zakres, metodykę i cele projektu. Podpisujemy NDA i Rules of Engagement. Definiujemy okna czasowe i punkty kontaktowe.
Rekonesans i analiza
Zbieramy informacje o środowisku: OSINT, fingerprinting, mapowanie powierzchni ataku. Wyniki dokumentujemy na bieżąco.
Wykonanie projektu
Pentest, audyt zgodności, gap analysis — zgodnie z metodyką uzgodnioną w briefie. Krytyczne podatności i findings raportujemy na bieżąco.
Raport i remediacja
Raport techniczny + executive summary. Omawiamy wyniki, priorytetyzujemy działania i wspieramy w remediacji. Retest podatności krytycznych wliczony w pentest.
Dla kogo pracujemy
Wybierz typ swojej organizacji, aby zobaczyć sektory i usługi dopasowane do Twojej sytuacji.
Wybierz typ swojej organizacji u góry, aby zobaczyć sektory i usługi dopasowane do Twojej sytuacji.
Wybrane realizacje
Szczegóły projektów objęte NDA. Klienci i nazwy systemów zanonimizowane.
32 podatności w systemie bankowości elektronicznej
Pełny pentest aplikacji webowej banku. Krytyczne odkrycia obejmowały exploit na TLS 1.0 z aktywnym CVE na przestarzałe biblioteki szyfrujące, brak HSTS umożliwiający downgrade do HTTP, wadliwy mechanizm odświeżania sesji ASP.NET oraz brak mechanizmów anti-CSRF w operacjach finansowych.
Ekspozycja stacktrace i podatność na Slowloris DoS
Pentest platformy fintech. Serwer ujawniał pełny stacktrace przy błędach 500, co ekspozycja szczegółów architektury backendowej. Wykryto podatność na Slowloris (CVE-2007-6750), niespójną architekturę uwierzytelniania oraz brak kluczowych nagłówków bezpieczeństwa HTTP w odpowiedziach serwera.
IBAN klienta w URL i podatność na SQL Injection
Pentest platformy płatniczej. Numer IBAN klienta był przekazywany jako parametr URL — dostępny w logach serwera i historii przeglądarki. Wykryto brak sanityzacji pól pod względem SQL, podatność na Path Traversal, ryzyko SSRF/RFI przy odnośnikach do zewnętrznych plików oraz podmianę danych beneficjenta w operacjach koszyka.
Session leakage i JSON Injection po stronie klienta
Pentest aplikacji React z backendem REST API. Identyfikatory sesji ujawniane w URL (dostępne w logach), brak Session Binding z kontekstem użytkownika, podatność na JSON Injection po stronie klienta, osłabiona CSP i brak nagłówka Strict-Transport-Security. AngularJS 1.x w modelu Extended Support — technologia legacy z nieusuniętymi CVE.
Brak separacji IT/OT i niezabezpieczone protokoły przemysłowe
Audyt sieci OT zakładu stalowego według IEC 62443. Sieć IT i OT działały na wspólnym segmencie — przełamanie jednej warstwy dawało dostęp do sterowników PLC. Brak zarządzania dostępem, niezaszyfrowane protokoły komunikacji z maszynami, brak procedur backupu konfiguracji urządzeń.
Przygotowanie do certyfikacji ISO 27001 dla organizacji 200+
Pre-audit ISO 27001 i przygotowanie do certyfikacji dla organizacji 200+. Gap analysis, dokumentacja, audyt wewnętrzny, wsparcie w Stage 1 i Stage 2 z akredytowaną jednostką.
Kompetencje specjalistów
Nasz zespół łączy głębię poziomu pentest team z rozumieniem warstwy regulacyjnej. Obszary, w których pracujemy na co dzień:
Pentest sektora finansowego
Aplikacje bankowe i fintech, instytucje płatnicze, AML systems. Doświadczenie projektowe w środowiskach obsługujących transakcje i wrażliwe dane klientów.
Pentest AI / LLM
Prompt injection, jailbreak, data exfiltration via LLM. Adversarial testing pipeline'ów ML i aplikacji AI-native.
Compliance NIS2 / DORA / KSC
Pakiety sektorowe — JST, ochrona zdrowia, fintech niebankowy, ochrona ludności. Plus KSC Audit Express dla podmiotów już zarejestrowanych.
Pre-audit ISO 27001
Przygotowanie do certyfikacji przez akredytowaną jednostkę. Gap analysis, dokumentacja, audyt wewnętrzny, wsparcie w Stage 1 i Stage 2.
OSINT investigative i CTI
Due diligence inwestycyjne, cyber threat intelligence, investigative OSINT, przeciwdziałanie dezinformacji. Dwa wymiary kompetencyjne — cyber i finansowo-compliance.
Civil protection i odporność społeczna
Cyber consulting dla NGO ochrony ludności, sektora pro-obronnego, zarządzania kryzysowego. Wsparcie wniosków grantowych — Horizon Europe, EDF, EUDIS.
Najczęstsze pytania
Gotowy na rozmowę?
Skontaktuj się — pierwsza konsultacja jest bezpłatna.
Napisz do nasDane przesłane formularzem są przetwarzane zgodnie z naszą polityką prywatności. Nie używamy zewnętrznych trackerów ani cookies reklamowych.