Кібербезпека і пентести в тендерах

І останній пост на сьогодні. Дякуючи підказці від @zzggddgt, у держ замовленнях кібербезпека закидана в категорію "аудитів". Що в цілому має сенс.

Так ось, тендерів пов'язаних з кібербезпекою я побачив мало ( +-10). Деякі пов'язані з СУІБ (системою управління інф безпекою), але бачив і пентести. Хочу зосередити увагу на пентестах.

Для тих хто не знає, пентест - це тест на проникнення, тобто коли компанія наймає спеціалістів, щоб вони виявили вразливості і спробували отримати доступ до ресурсів компанії.

Послуги щодо проведення випробувань інформаційних ресурсів та ІТС на вразливості. Він вийшов на 1.9 млн грн. Рекомендую людям, які цікавляться КБ ознайомитися з цим тендером, оскільки, це реально показує вимоги від замовника. І кумедно те, що мені здається договір на пентест є десь у форматі шаблону, бо я побачив ще один тендер на пентест вартістю 1 млн грн, який був 1 в 1 скопійований. Тим не менш, вимоги там дуже розмиті і фактично компанія може подати все, що хоче і воно буде попадати під вимоги замовлення.

Був ще один тендер у якого вимоги були написані більш доречно. Його договір я також рекомендую вам оглянути. Але мені не сподобався той факт, що вони у договорі описали технічний стек, тобто вони там написали, яким фаерволом і яким SIEM користуються. Як на мене, це така інформація, яка не повинна розголошуватися, оскільки, це може допомогти нашим ворогам.

Остання думка після того як глянув на ці тендери. Конкуренція в цих тендерах майже нульова і якщо хтось хоче почати свій бізнес по кб і має вже досвід пентестів - спокійно можете починати. Люди, які виграють тендери не мають навіть сертифікату OSCP. Я впевнений, що у мене тут в підписниках є люди, які більш кваліфіковані на ці тендери, ніж переможці.