**_Кібербезпека і пентести в тендерах_**

І останній пост на сьогодні. Дякуючи підказці від [@zzggddgt](https://t.me/zzggddgt), у держ замовленнях кібербезпека закидана в категорію "аудитів". Що в цілому має сенс.

Так ось, тендерів пов'язаних з кібербезпекою я побачив мало ( +-10). Деякі пов'язані з СУІБ (системою управління інф безпекою), але бачив і пентести. Хочу зосередити увагу на пентестах. 

Для тих хто не знає, пентест - це тест на проникнення, тобто коли компанія наймає спеціалістів, щоб вони виявили вразливості і спробували отримати доступ до ресурсів компанії.

[Послуги щодо проведення випробувань інформаційних ресурсів та ІТС на вразливості](https://prozorro.gov.ua/tender/UA-2023-11-01-009097-a). Він вийшов на 1.9 млн грн. Рекомендую людям, які цікавляться КБ ознайомитися з цим тендером, оскільки, це реально показує [вимоги](https://public-api.prozorro.gov.ua/api/2.5/tenders/83721ad306dd4c59b0899737a59f8617/contracts/f7035c63cdcc42deb1f6e459654790f8/documents/d40ea63427944dc1b7673bf16645af98?download=de6b080e602b41cd8d67e506d9b8d7fa) від замовника. І кумедно те, що мені здається договір на пентест є десь у форматі шаблону, бо я побачив ще [один тендер](https://prozorro.gov.ua/tender/UA-2023-12-07-015919-a) на пентест вартістю 1 млн грн, який був 1 в 1 скопійований.  Тим не менш, вимоги там дуже розмиті і фактично компанія може подати все, що хоче і воно буде попадати під вимоги замовлення.

[Був ще один тендер у якого вимоги були написані більш доречно.](https://prozorro.gov.ua/tender/UA-2023-08-10-007825-a) Його [договір](https://public-api.prozorro.gov.ua/api/2.5/tenders/274974e9ef20474fadbefcc4890ab452/contracts/00896033dbac4e13b681fd14188bc6ac/documents/e36d630bf0de474ca85be94ae73189d5?download=81ef30f1e2de4d5fabc9d1660e352dfd) я також рекомендую вам оглянути. Але мені не сподобався той факт, що вони у договорі описали технічний стек, тобто вони там написали, яким фаерволом і яким SIEM користуються. Як на мене, це така інформація, яка не повинна розголошуватися, оскільки, це може допомогти нашим ворогам.

Остання думка після того як глянув на ці тендери. Конкуренція в цих тендерах майже нульова і якщо хтось хоче почати свій бізнес по кб і має вже досвід пентестів - спокійно можете починати. Люди, які виграють тендери не мають навіть сертифікату OSCP. Я впевнений, що у мене тут в підписниках є люди, які більш кваліфіковані на ці тендери, ніж переможці.