OCENA BEZPIECZEŃSTWA // CHIMERASCOPE
Oceniamy zewnętrzny obszar ataku Twojej organizacji i dostarczamy szyfrowany raport z mapowaniem zgodności — jedyną ocenę na tym poziomie, która mapuje każdy znaleziony element na konkretne artykuły prawne CRA, NIS2, ISO 27001, GDPR, DORA i MiCA.
Oceniamy infrastrukturę publicznie widoczną Twojej organizacji — domeny, poddomeny, certyfikaty, bezpieczeństwo e-maili, narażone usługi, konfiguracje chmurowe oraz zależności od podmiotów trzecich — przy użyciu własnej metody oceny rozwiniętej w wyniku lat badań nad bezpieczeństwem.
Każde stwierdzenie jest automatycznie mapowane na artykuły ramy prawnej obowiązujące Twoją organizację. Wynikiem jest strukturalny, zaszyfrowany raport inteligencji, który mówi językiem zarówno Twojego zespołu technicznego, jak i oficerów ds. zgodności.
To nie jest test penetracyjny. Nie interagujemy z Twoimi systemami poza tym, co może zaobserwować każdy zewnętrzny obserwator. Nie wymaga się autoryzacji do standardowego zakresu oceny — choć zalecamy oficjalne umowy o współpracy dla wszystkich płatnych ocen.
Kompleksowa ocena dostarczona w formie PDF zaszyfrowanego algorytmem AES-128 z pełnym spisem treści, oceną kierowniczą (A–F) i łańcuchem przechodzenia posiadania dowodów. Zazwyczaj 30–50 stron w zależności od złożoności infrastruktury.
Każda stwierdzona niezgodność przyporządkowana konkretnym artykułom: CRA Art. 10, 11, 14 — NIS2 Art. 21 — ISO 27001 Annex A — GDPR Art. 32 — DORA Art. 5–12, 17, 24, 28 dla podmiotów finansowych — MiCA Art. 62, 67, 68, 75, 79, 83 dla dostawców usług w zakresie aktywów kryptowalutowych — z dedykowanym MiCA/DORA Compliance Scorecard (ocena zgodności na poziomie artykułów: ZGODNY/NIEZGODNY). W odpowiednich przypadkach uwzględnione są uwagi specyficzne dla sektora.
Podsumowanie gotowe do prezentacji na posiedzeniu zarządu z ogólnym stopniem bezpieczeństwa, karcem gotowości CRA z wskazówkami światełkowymi oraz macierzą priorytetów korygowania uporządkowaną według wpływu i wysiłku.
Łańcuch dowodów forensycznych z hashowaniem SHA-256 i kodem QR do weryfikacji. Eksport danych w formacie JSON kompatybilny z platformami SIEM, Jira i ServiceNow do bezpośredniego wdrożenia do Twojego procesu korygowania.
Raportowanie luk staje się obowiązkowe 11 września 2026 roku. Pełna zgodność wymagana do grudnia 2027 roku. Mapujemy wyniki na Artykuły 10 (wymagania bezpieczeństwa cyberowego), 11 (zarządzanie lukami) i 14 (obowiązki raportowania). Kary: do 15 mln EUR lub 2,5% globalnego rocznego obrotu.
Ocena środków bezpieczeństwa zgodnie z Artykułem 21 we wszystkich stosowanych dziedzinach. Dostępne mapowanie specyficzne dla sektora dla instytucji medycznych, energetycznych, transportowych, wodnych i infrastruktury cyfrowej. Aktywne w Danii, Finlandii i Szwecji od stycznia 2026 roku.
Mapowanie kontroli załącznika A z identyfikacją luk w odniesieniu do wymagań zarządzania bezpieczeństwem informacji. Szczególnie istotne dla organizacji dążej do uzyskania lub utrzymania certyfikatu — nasze wyniki bezpośrednio integrują się z Twoim Oświadczeniem o Zastosowaniu.
Ocena technicznych i organizacyjnych środków zgodnie z Artykułem 32. Ocena ekspozycji danych, ocena ryzyka naruszeń i identyfikacja działań przetwarzania widocznych z zewnętrznej powierzchni ataku.
Obowiązkowe dla instytucji finansowych UE. Mapujemy wyniki na Artykuły 5–6 (zarządzanie ryzykiem ICT), Artykuł 7 (zarządzanie poprawkami), Artykuł 9 (kontrola dostępu, szyfrowanie), Artykuły 10–11 (wykrywanie i reagowanie), Artykuł 17 (raportowanie incydentów), Artykuł 24 (testowanie odporności) oraz Artykuł 28 (ryzyko podmiotów trzecich). Mapowanie zgodności z DORA jest uwzględniane we wszystkich płatnych ocenach.
Ram prawna UE dla dostawców usług kryptowalutowych (CASPs), obowiązująca od czerwca 2024 roku z pełnym zastosowaniem od grudnia 2024 roku. Mapujemy wyniki na Artykuł 62 (zarządzanie ryzykiem ICT), Artykuł 67 (odporność operacyjna), Artykuł 68 (wymagania dotyczące ochrony), Artykuł 75 (zarządzanie i przechowywanie), Artykuł 79 (usługi giełdowe) oraz Artykuł 83 (obsługa skarg). Obiekty kryptowalutowe otrzymują specjalny karta zgodności MiCA/DORA z oceną PASS/FAIL/WARN na poziomie artykułu w dostarczonym raporcie. Kluczowe dla giełd, dostawców portfeli kryptowalutowych i każdej instytucji oferującej usługi kryptowalutowe w UE.
Ochrona danych z badań klinicznych, ekspozycja systemów produkcyjnych, weryfikacja zgodności z GxP. Ocena obejmuje połączone sprzęty laboratoryjne, portale badawcze oraz interfejsy API do organizacji partnerów.
Ocena środowiska danych wielu klientów, gotowość do audytu FDA/EMA. Szczególny nacisk na ekspozycję łańcucha dostaw, ryzyko udostępnionej infrastruktury oraz weryfikację izolacji danych między klientami.
Ocena ekosystemu urządzeń połączonych, ocena zgodności produktów CRA. Obejmuje analizę ekspozycji oprogramowania systemowego, bezpieczeństwo mechanizmów aktualizacji, uwierzytelnianie API oraz postawę platform zarządzania chmurowego.
Ocena ryzyka zbieżności OT/IT dla produktów CRA. Ekspozycja sieci czujników, wykrywanie interfejsów SCADA, platformy zarządzania chmurowego oraz ocena bezpieczeństwa obliczeń krawędziowych.
Ekspozycja systemów elektronicznych rekordów medycznych, ocena ryzyka danych pacjentów. Mapowanie wymagań sektora zdrowia NIS2, bezpieczeństwo platform telemedycznych oraz ocena punktów końcowych integracji.
Ocena gotowości do zgodności z DORA, ocena postawy bezpieczeństwa API. Analiza infrastruktury płatności, ekspozycja bankowości mobilnej oraz mapowanie ryzyka dostawców usług trzecich.
Gotowość do zgodności MiCA dla dostawców usług kryptowalutowych, giełd i operatorów portfeli zabezpieczonych. Inteligencja adresów blockchain z ekranem sankcji OFAC, analiza ekspozycji portfeli, ocena ryzyka tokenów oraz weryfikacja dowodu rezerw. Obejmuje ekozystemy BTC, ETH, XRP, SOL oraz tokenów ERC-20.
Standardowa ocena obejmuje podstawową zewnętrzną powierzchnię ataków opisaną powyżej. Dla organizacji z konkretnymi wymaganiami regulacyjnymi, operacyjnymi lub sektorowymi zakres analizy można rozszerzyć o dodatkowe aktywności rekonweseru i weryfikacji — wybrane zgodnie z profilem ryzyka organizacji i obowiązkami związanymi z zgodnością.
Odkrywanie samodzielnie hostowanych platform wnioskowania, ram frameworków agentów, serwerów protokołu Model Context oraz publicznych interfejsów wnioskowania, które coraz częściej stanowią część zewnętrznej powierzchni ataków nowoczesnych organizacji. Obejmuje wykrywanie wystawienia, postawę uwierzytelniania interfejsów zarządzania oraz korelację z znanymi klasami luk w zabezpieczeniach dla silników wnioskowania i platform orkiestracji.
Analiza ryzyka zależności JavaScript z wzbogaceniem CVE, walidacja integralności podzestawów (Subresource Integrity) w zasobach trzecich, atrybucja wygasłych domen CDN (dokumentowana ścieżka przejęcia długowiecznych marek), oraz ocena postawy bezpieczeństwa platform SaaS trzecich dostępną z zewnętrznej powierzchni organizacji.
Analiza czasowa infrastruktury za pomocą wzorców zmian DNS i BGP, ewolucji archiwizowanych treści, przesunięcia odcisków palców usług z czasem oraz korelacja aktualnych i historycznych certyfikatów TLS. Ujawnia wzorce operacyjne i decyzje infrastrukturalne, których nie można zaobserwować w standardowych skanach stanu obecnego.
Identyfikacja nieautoryzowanych dzierżawców SaaS działających pod tożsamością organizacji, samodzielnie hostowanych silników poza ramami zarządzania korporacyjnego oraz infrastruktury orfana utrzymywanej poza okresem operacyjnym — klasy zasobów generujących incydenty, ponieważ nie ma obecnie właściciela.
Testowanie zweryfikowane dla luk w zabezpieczeniach typu iniekcji (SQL, SSRF, szablonu, polecenia) na punktach końcowych w zakresie, wykonywane wyłącznie z formalnym pisemnym upoważnieniem. Ta aktywność przenosi analizę z rejonu pasywnego rekonweseru na aktywną ocenę i wymaga wcześniejszego podpisania Zakresu Pracy.
Odkrywanie portfeli wielowymianowych (BTC, ETH, XRP, SOL, ERC-20), automatyczne ekranowanie sankcji OFAC SDN z list US Treasury, głęboka analiza czasowa portfeli, atrybucja giełd, ocena ryzyka tokenów, oraz odkrywanie punktów końcowych DeFi (wystawione węzły RPC, wyciekające klucze API dostawców, wykrywanie portfeli administratora). Dla organizacji działających w sektorze aktywów kryptowalutowych lub potrzebujących zweryfikować wystawienie blockchain kontrahentów w ramach due diligence lub obowiązków zgodności.
Każdy zidentyfikowany wynik korelowany z konkretną techniką i podtechniką MITRE ATT&CK, z identyfikacją luk w zakresie pokrycia i rekomendacjami priorytetów inżynierii wykrywania. Integruje się bezpośrednio z mapą inżynierii wykrywania organizacji operujących ośrodkiem operacji zabezpieczeń (SOC) lub równoważną zdolnością.
Organizacje często żądające rozszerzonego zakresu: kontrahenci technologii obrony i dwukrotnego użytku, Organizacje Rozwoju i Produkcji Kontraktowej (CDMO), operatorzy krytycznej infrastruktury narodowej, infrastruktura rynku finansowego, środowiska zbieżności OT i IT przemysłowego, instytucje badawcze przetwarzające dane regulowane.
Prześlij domenę swojej organizacji, aby uzyskać darmowe Podsumowanie Ekspozycji Zewnętrznej — dostarczone w ciągu 48 godzin.
Wybierz typ oceny i podaj główną domenę swojej organizacji. Wszystkie przesłane dane są traktowane poufnie.