OCENA BEZPIECZEŃSTWA // CHIMERASCOPE
Oceniamy zewnętrzną powierzchnię ataku Twojej organizacji i dostarczamy zaszyfrowany, zgodny z wymogami raport — jedyna ocena na tym poziomie, która mapuje każde znalezisko do konkretnych artykułów regulacyjnych CRA, NIS2, ISO 27001, GDPR, DORA i MiCA.
Oceniamy publicznie widoczną infrastrukturę Twojej organizacji — domeny, subdomeny, certyfikaty, bezpieczeństwo poczty elektronicznej, udostępnione usługi, konfiguracje chmury oraz zależności od podmiotów trzecich — wykorzystując własną metodologię oceny opracowaną w ciągu lat badań bezpieczeństwa.
Każde znalezisko jest automatycznie powiązane z artykułami ram regulacyjnych mającymi zastosowanie do Twojej organizacji. Wynikiem jest ustrukturyzowany, zaszyfrowany raport wywiadowczy, który przemawia zarówno do Twojego zespołu technicznego, jak i do pracowników ds. zgodności.
To nie jest test penetracyjny. Nie wchodzimy w interakcję z Twoimi systemami poza tym, co może zobaczyć każdy zewnętrzny obserwator. Nie wymagana jest żadna autoryzacja w ramach standardowego zakresu oceny — choć zalecamy formalną umowę o współpracy przy wszystkich płatnych ocenach.
Kompleksowa ocena dostarczana jako zaszyfrowany szyfrem AES-128 plik PDF z pełnym spisem treści, oceną wykonawczą (A–F) oraz łańcuchem dowodowym w postaci forensycznej. Zazwyczaj 30–50 stron, w zależności od złożoności infrastruktury.
Każde znalezisko jest powiązane z konkretnymi artykułami: CRA Art. 10, 11, 14 — NIS2 Art. 21 measures — ISO 27001 Annex A controls — GDPR Art. 32 technical requirements — DORA Art. 5–12, 17, 24, 28 dla podmiotów finansowych — MiCA Art. 62, 67, 68, 75, 79, 83 dla dostawców usług kryptowalutowych — z dedykowaną kartą oceny zgodności MiCA/DORA (ocena PASS/FAIL dla każdego artykułu). Adnotacje specyficzne dla sektora, gdzie ma to zastosowanie.
Podsumowanie gotowe do prezentacji w zarządzie, zawierające ogólną ocenę bezpieczeństwa, kartę gotowości CRA z wskaźnikami sygnalizacji świetlnej oraz matrycę priorytetów naprawczych uporządkowaną według wpływu i nakładu pracy.
Łańcuch dowodowy forensyczny z haszem SHA-256 oraz kodem QR weryfikacyjnym. Eksport JSON w formacie czytelnym maszynowo, kompatybilny z platformami SIEM, Jira i ServiceNow, umożliwiający bezpośrednią integrację z procesem naprawczym.
Zgłaszanie podatności staje się obowiązkowe od 11 września 2026 r. Pełna zgodność wymagana do grudnia 2027 r. Mapujemy wyniki do Artykułów 10 (wymagania dotyczące cyberbezpieczeństwa), 11 (obsługa podatności) i 14 (obowiązki raportowania). Kary: do 15 M€ lub 2,5 % globalnego rocznego obrotu.
Ocena środków bezpieczeństwa zgodnie z Artykułem 21 we wszystkich obowiązujących domenach. Dostępne mapowanie sektorowe dla podmiotów opieki zdrowotnej, energetyki, transportu, wody oraz infrastruktury cyfrowej. Obowiązuje w Danii, Finlandii i Szwecji od stycznia 2026 r.
Mapowanie kontroli z Załącznika A z identyfikacją luk względem wymagań zarządzania bezpieczeństwem informacji. Szczególnie istotne dla organizacji dążących do uzyskania lub utrzymania certyfikacji — nasze wyniki integrują się bezpośrednio z Twoim Oświadczeniem o Stosowalności.
Ocena środków technicznych i organizacyjnych zgodnie z Artykułem 32. Ocena narażenia danych, ocena ryzyka naruszeń oraz identyfikacja działań przetwarzania widocznych z zewnętrznej powierzchni ataku.
Obowiązkowe dla podmiotów finansowych UE. Mapujemy wyniki do Art. 5‑6 (zarządzanie ryzykiem ICT), Art. 7 (zarządzanie poprawkami), Art. 9 (kontrola dostępu, szyfrowanie), Art. 10‑11 (wykrywanie i reagowanie), Art. 17 (raportowanie incydentów), Art. 24 (testowanie odporności) oraz Art. 28 (ryzyko podmiotów trzecich). Mapowanie zgodności z DORA jest uwzględnione we wszystkich płatnych ocenach.
Ogólnoeuropejskie ramy regulacyjne dla dostawców usług związanych z kryptowalutami (CASP), obowiązujące od czerwca 2024 r. z pełnym zastosowaniem od grudnia 2024 r. Mapujemy wyniki do Art. 62 (zarządzanie ryzykiem ICT), Art. 67 (odporność operacyjna), Art. 68 (wymagania zabezpieczające), Art. 75 (przechowywanie i administrowanie), Art. 79 (usługi wymiany) oraz Art. 83 (obsługa skarg). Podmioty kryptowalutowe otrzymują dedykowaną kartę wyników zgodności MiCA/DORA z oceną PASS/FAIL/WARN dla każdego artykułu w dostarczonym raporcie. Niezbędne dla giełd, dostawców portfeli custodial oraz wszelkich podmiotów świadczących usługi kryptowalutowe w UE.
Ochrona danych z prób klinicznych, narażenie systemów produkcyjnych, weryfikacja zgodności z GxP. Ocena obejmuje podłączony sprzęt laboratoryjny, portale badawcze oraz interfejsy API do organizacji partnerskich.
Ocena środowiska danych wielu klientów, ocena gotowości do audytu FDA/EMA. Szczególny nacisk na narażenie łańcucha dostaw, ryzyka współdzielonej infrastruktury oraz weryfikację izolacji danych pomiędzy klientami.
Ocena ekosystemu podłączonych urządzeń, ocena zgodności produktów z CRA. Obejmuje analizę narażenia oprogramowania układowego, bezpieczeństwo mechanizmów aktualizacji, uwierzytelnianie API oraz postawę platformy zarządzania w chmurze.
Ocena ryzyka konwergencji OT/IT dla podłączonych produktów objętych CRA. Narażenie sieci sensorów, wykrywanie interfejsów SCADA, platformy zarządzania w chmurze oraz ocena bezpieczeństwa przetwarzania brzegowego.
Narażenie systemu elektronicznej dokumentacji medycznej, ocena ryzyka danych pacjentów. Mapowanie wymagań sektora zdrowia w ramach NIS2, bezpieczeństwo platform telezdrowia oraz ocena punktów integracji.
Ocena gotowości do zgodności z DORA, ocena postawy bezpieczeństwa API. Analiza infrastruktury płatności, narażenie mobilnego bankowości oraz mapowanie ryzyka dostawców usług zewnętrznych.
Gotowość do zgodności z MiCA dla dostawców usług związanych z kryptowalutami, giełd i operatorów portfeli powierniczych. Inteligencja adresów blockchain z weryfikacją sankcji OFAC, analiza narażenia portfeli, ocena ryzyka tokenów oraz weryfikacja Proof of Reserves. Obejmuje ekosystemy BTC, ETH, XRP, SOL i tokenów ERC-20 oraz zweryfikowaną analizę podatności smart kontraktów dla organizacji z ekspozycją on-chain.
Standardowa ocena obejmuje podstawową zewnętrzną powierzchnię ataku opisaną powyżej. Dla organizacji z konkretnymi wymaganiami regulacyjnymi, operacyjnymi lub sektorowymi zakres zaangażowania może zostać rozszerzony o dodatkowe działania rozpoznawcze i weryfikacyjne — dobrane tak, aby odpowiadały postawie ryzyka organizacji oraz obowiązkom zgodności.
Wykrywanie samodzielnie hostowanych platform rozumowania, frameworków agentów, serwerów Model Context Protocol oraz publicznych interfejsów inferencji, które coraz częściej stanowią część zewnętrznej powierzchni ataku nowoczesnych organizacji. Obejmuje wykrywanie ekspozycji, postawę uwierzytelniania interfejsów zarządzania oraz krzyżowe odniesienie do znanych klas podatności dla silników inferencji i platform orkiestracji.
Analiza ryzyka zależności JavaScript z uzupełnieniem o CVE, weryfikacja Subresource Integrity w zasobach stron trzecich, przypisanie wygasłych domen CDN (udokumentowana ścieżka przejęcia długotrwałych zasobów marki) oraz ocena postawy bezpieczeństwa platform SaaS stron trzecich w ekosystemie dostawców widoczna z Twojej zewnętrznej powierzchni.
Analiza osi czasu infrastruktury na podstawie wzorców zmian DNS i BGP, ewolucja zarchiwizowanych treści, odchylenia odcisków usług w czasie oraz korelacja pomiędzy bieżącymi i historycznymi certyfikatami TLS. Ujawnia wzorce operacyjne i decyzje infrastrukturalne, których nie wykryją skany w stanie bieżącym.
Identyfikacja nieautoryzowanych najemców SaaS działających w obrębie perymetru tożsamości organizacji, samodzielnie hostowanych silników funkcjonujących poza zarządzaniem korporacyjnym oraz osieroconej infrastruktury utrzymywanej po zakończeniu jej okresu eksploatacji — klasy zasobów, które generują incydenty, ponieważ nikt ich obecnie nie posiada.
Zweryfikowane testy podatności na wstrzyknięcia (SQL, server‑side request forgery, szablony, polecenia) wobec punktów końcowych objętych zakresem, przeprowadzane wyłącznie na podstawie formalnej pisemnej autoryzacji. Działanie to przenosi zaangażowanie z pasywnego rozpoznania do aktywnego obszaru oceny i wymaga uprzednio podpisanego Zakresu prac.
Wykrywanie portfeli wielołańcuchowych (BTC, ETH, XRP, SOL, ERC‑20), automatyczne przeglądanie sankcji OFAC SDN wobec list Departamentu Skarbu USA, dogłębna analiza osi czasu portfela, przypisanie giełdy, ocena ryzyka tokenów oraz wykrywanie punktów końcowych DeFi (udostępnione węzły RPC, wyciekłe klucze API dostawcy, wykrywanie portfela administratora). Dla organizacji z sektora aktywów kryptograficznych lub potrzebujących zweryfikować ekspozycję blockchain kontrahentów w ramach due diligence lub obowiązków zgodności.
Statyczna i symboliczna analiza podatności zweryfikowanych smart kontraktów Solidity wdrożonych na Ethereum i łańcuchach kompatybilnych z EVM. Obejmuje wzorce reentrancji, słabości kontroli dostępu, niezweryfikowane zwroty wywołań zewnętrznych, warunki przepełnienia liczb całkowitych, wektory wstrzyknięcia delegatecall, luki w autoryzacji self‑destruct oraz podatność na front‑running — w pełnym zakresie udokumentowanych klasyfikacji słabości smart kontraktów. Analiza jest przeprowadzana wyłącznie na publicznie zweryfikowanym kodzie źródłowym kontraktów — nie wymaga ani nie żąda dostępu do prywatnych repozytoriów ani wewnętrznych baz kodu. Dostępna w ramach rozszerzonego zakresu zaangażowania dla organizacji operujących lub oceniających ekspozycję na infrastrukturę finansową on‑chain.
Kompleksowa ocena odporności infrastruktury kryptograficznej na zagrożenia związane z komputerami kwantowymi. Ocena konfiguracji wymiany kluczy TLS w oparciu o standardowe hybrydowe i czyste algorytmy post‑kwantowe, gotowość migracji algorytmów certyfikatów, status modernizacji wymiany kluczy SSH, bezpieczeństwo szyfrowania transportu e‑mail pod kątem kwantowym oraz ekspozycja na podatności związane z obniżaniem wersji protokołów. Zawiera analizę uwzględniającą CDN, rozróżniającą ochronę post‑kwantową dostarczaną na krawędzi od natywnej ochrony pochodzącej z origin — kluczowe rozróżnienie dla organizacji polegających na infrastrukturze dostarczania treści. Ocena mapuje wyniki do wymagań kryptograficznych CRA art. 10, obowiązków state‑of‑the‑art NIS2 art. 21 oraz zaleceń algorytmicznych BSI TR‑02102‑1. Dostarczana z ilościową oceną gotowości odzwierciedlającą rzeczywisty stan wdrożenia we wszystkich zewnętrznie obserwowalnych punktach końcowych kryptografii.
Każde zidentyfikowane znalezisko powiązane jest z konkretną techniką i podtechniką MITRE ATT&CK, wraz z identyfikacją luk w pokryciu oraz rekomendacjami priorytetów inżynierii wykrywania. Integruje się bezpośrednio z roadmapą inżynierii wykrywania organizacji prowadzących Security Operations Centre lub równoważną zdolność.
Sektorowe identyfikowanie grup zaawansowanych trwałych zagrożeń (APT) z udokumentowaną działalnością skierowaną przeciwko branży organizacji. Krzyżowe odniesienia baz danych aktorów zagrożeń przypisanych przez rządy z listami monitorowanymi przez krajowe organy cyberbezpieczeństwa w celu wyłonienia grup sponsorowanych przez państwo, najbardziej istotnych dla sektora, geograficznego położenia i profilu operacyjnego organizacji. Każda zidentyfikowana grupa jest przedstawiona z przypisaniem kraju, znanymi aliasami, udokumentowanymi sektorami docelowymi, klasyfikacją typu incydentu oraz bezpośrednimi odwołaniami do odpowiednich profili grup MITRE ATT&CK. Dostarczane z odznakami statusu śledzonymi przez BSI dla grup aktywnie monitorowanych przez krajowe organy cyberbezpieczeństwa. Dostępne dla wszystkich sektorów przemysłu objętych zakresem oceny.
Sector-specific identification of advanced persistent threat groups with documented targeting activity against the organization’s industry vertical. Cross-references government-attributed threat actor databases with national cybersecurity authority tracking lists to surface the state-sponsored groups most relevant to the organization’s sector, geography, and operational profile. Each identified group is presented with country attribution, known aliases, documented target sectors, incident type classification, and direct references to corresponding MITRE ATT&CK group profiles. Delivered with BSI-tracked status badges for groups actively monitored by national cybersecurity authorities. Available for all industry sectors covered by the assessment scope.
Organizacje najczęściej żądające rozszerzonego zakresu: kontrahenci technologii obronnych i podwójnego zastosowania, Contract Development & Manufacturing Organizations (CDMOs), operatorzy krytycznej infrastruktury narodowej, infrastruktura rynków finansowych, środowiska konwergencji technologii operacyjnych i przemysłowego IT, instytucje badawcze przetwarzające dane regulowane.
Prześlij domenę swojej organizacji, aby otrzymać bezpłatne Podsumowanie Ekspozycji Zewnętrznej — dostarczone w ciągu 48 godzin.
Wybierz typ oceny i podaj główną domenę swojej organizacji. Wszystkie zgłoszenia są traktowane jako poufne.