Add more content here...

Testy bezpieczeństwa pięciu systemów należących do instytucji publicznej

kwi 21, 2025

Ośrodek Przetwarzania Informacji Państwowy Instytut Badawczy to instytucja gromadząca i udostępniająca aktualne, kompleksowe informacje o polskiej nauce oraz tworząca systemy informatyczne wspierające rozwój nauki i szkolnictwa wyższego.

3 tys.przetestowanych podstron, 5 mln linii kodu źródłowego
150 tys. zł wartość projektu

Wyzwanie:

Instytucje publiczne, do których zalicza się Ośrodek Przetwarzania Informacji Państwowy Instytut Badawczy, nie mogą pozwolić sobie na wycieki danych. Z tego powodu Ośrodek powierzył nam przeprowadzenie audytu cyberbezpieczeństwa pięciu swoich systemów, m.in. bazy obronionych prac dyplomowych, katalogu polskich pracowników naukowych i platformy bezpłatnych kursów online. Systemy te współgrają ze sobą, przechowując istotne dane polskiej nauki oraz dane osobowe – organizacja musiała mieć pewność, że są one właściwie zabezpieczone.

Proces:

Dla każdego z systemów wykonaliśmy osobne testy penetracyjne wraz z symulacją włamań do systemów oraz sieci metodą black box (bez znajomości kodów źródłowych ani konfiguracji aplikacji) i zidentyfikowali słabe punkty systemu zabezpieczeń. Wykorzystaliśmy automatyczne i manualne metody prowadzenia audytu aby zbadać systemy pod kątem różnych klas podatności, takich jak SQL Injection, XML Injection, XSS (Cross Site Scripting), CSRF (Cross Site Request Forgery), Code Execution, Insecure Communications, Source Disclosure, Path Traversal, DoS (Denial of Service), File Inclusion, bezpieczeństwo mechanizmu SSL serwera web, Broken Authentication and Session Management, Authorization Bypass, Information Leakage, Deserialization of untrusted data. Oprócz tego przeprowadziliśmy analizę metod uwierzytelniania i analizę urządzeń zewnętrznych. Do określenia typów ataków posłużyliśmy się najnowszą listą podatności OWASP.

Rozwiązanie:

W wyniku audytu odkryliśmy podatności audytowanych systemów teleinformatycznych, sieci i środowiska informatycznego, w którym funkcjonują. Dokonaliśmy oceny bezpieczeństwa zasobów systemów teleinformatycznych. Dostarczyliśmy klientowi obszerny raport podsumowujący audyt i sugerujący rozwiązania pozwalające podnieść poziom bezpieczeństwa systemów, na którego podstawie wciąż rozwijana jest kultura bezpieczeństwa w organizacji.

 

Wypowiedź eksperta:

Projekt publiczny o wartości 150 000 złotych to niewątpliwie duża odpowiedzialność. Na szczęście dobrze rozumiemy specyfikę instytucji publicznych, a nasi pentesterzy szczycą się posiadanymi poświadczeniami bezpieczeństwa – dokumentami wydawanymi przez ABW lub SKW umożliwiającymi wgląd do informacji objętych klauzulą tajności. To wszystko sprawia, że instytucje publiczne,takie jak Ośrodek Przetwarzania Informacji, chętnie nawiązują z nami współpracę, a po jej zakończeniu nie kryją zadowolenia z efektów

Sebastian Gilon
Head of Security

Case studies:

Kompleksowy audyt Śląskiej Cyfrowej Platformy Medycznej eCareMed

Kompleksowy audyt Śląskiej Cyfrowej Platformy Medycznej eCareMed

Wstęp W 2024 roku przeprowadziliśmy kompleksowy audyt i testy penetracyjne platformy eCareMed - strategicznego systemu zdrowotnego obejmującego 15 kluczowych placówek medycznych województwa śląskiego. System integruje jednostki o różnej specjalizacji i randze, od...

Ocena bezpieczeństwa i analiza zgodności dla Fels Group GmbH

Ocena bezpieczeństwa i analiza zgodności dla Fels Group GmbH

Klient Fels Group GmbH zarządza platformą inwestycyjną FollowMyMoney.de, która oferuje zarządzanie aktywami oraz profesjonalne doradztwo finansowe w zakresie prywatnych inwestycji kapitałowych. Platforma obsługuje szerokie grono użytkowników poszukujących bezpiecznych...

Platforma e-Zamówienia – testy bezpieczeństwa i wydajności

Platforma e-Zamówienia – testy bezpieczeństwa i wydajności

O Projekcie: Przedmiotem projektu było przeprowadzenie, jako niezależny audytor zewnętrzny, specjalistycznych testów bezpieczeństwa i  wydajności Platformy e-Zamówienia, której powstanie kosztowało 41 594 304,00 PLN. Wykonawcą platformy był Pentacomp Systemy...