Kada kompanija treba da uradi penetration testing: 7 signala koje IT direktor ne sme da propusti

Penetration testing (testiranje penetracije) je simulirani sajber napad u kojem etički hakeri pokušavaju da probiju vašu mrežu, aplikacije i sisteme pre nego što to urade pravi napadači. Cilj nije lista ranjivosti, već dokaz kako bi se konkretna slabost iskoristila u realnom napadu i koliki bi bio uticaj na poslovanje.

Većina kompanija ne zna kada da pokrene pentest. Neke ga rade jednom pa zaborave, druge ga zovu pen testom a u stvari naručuju skeniranje ranjivosti (vulnerability scanning), treće ga rade tek kad je već kasno. Ovaj post ukazuje na sedam konkretnih signala kada je vreme za novi test, sa fokusom na okolnosti koje važe za kompanije u Srbiji. Kada prepoznate signal, sledeći razgovor sa stručnim timom je o opsegu testa, a u tom delu Orion telekom cybersecurity tim pruža punu podršku, od procene do izveštaja sa preporukama.

Penetration testing nije isto što i skeniranje ranjivosti

Najčešća zabuna na našem tržištu: kompanija naruči „pentest“, a dobije izveštaj iz automatizovanog skenera. Razlika je suštinska.

Skeniranje ranjivosti (vulnerability scanning) je automatizovano. Alat poredi vašu konfiguraciju sa bazom poznatih ranjivosti (CVE) i izbacuje listu potencijalnih problema. Brzo, jeftino, radi se mesečno ili kvartalno

Penetration testing je manuelni posao. Etički haker uzima listu ranjivosti i pita: koju mogu zaista da iskoristim, kako da spojim više slabosti u jedan napad, šta bih mogao da ukradem ili srušim? Rezultat nije lista, nego dokaz uticaja. Praktično pravilo: skeniranje radite stalno, pentest periodično i posle ključnih promena.

7 razloga za penetration testing

1. Regulatorni rok ili eksterni audit

Ako vaša industrija ima propisan rok za bezbednosnu proveru, pentest nije opcija već obaveza. Najvažniji okviri za B2B kontekst u Srbiji:

• PCI DSS v4.0 (zahtev 11.4): godišnji eksterni i interni pentest kao i posle svake značajne promene. Provajderi servisa imaju i obavezu testiranja segmentacije svakih šest meseci. Obavezno od 31. marta 2025.Detalje .
• Zakon o informacionoj bezbednosti (Sl. glasnik RS, br. 91/2025): stupio na snagu 31. oktobra 2025, usklađen sa NIS2 direktivom. Uvodi 24-časovni rok za prijavu incidenata i zahteva redovne provere bezbednosti za prioritetne i važne operatere, što u praksi znači godišnji pentest minimum.
• ISO 27001 i SOC 2: ne propisuju eksplicitnu učestalost testiranja, ali auditori praktično očekuju godišnji pentest kao deo dokaznog materijala.

Ako vaš ugovor sa klijentom ili regulatorom pominje bilo koji od ovih okvira, kalendar pentesta već postoji. Treba ga samo poštovati.

2. Velika promena u infrastrukturi

Ako ste napravili izmenu, može se desiti da pentest od pre godinu dana opisuje sistem koji više ne postoji. Svaka veća promena pomera površinu napada (attack surface), i ono što je nekad bilo segmentirano sada može biti izloženo.

Tipični okidači:

• Migracija ili proširenje cloud okruženja (AWS, Azure, hibridna postavka)
• Reorganizacija mreže, novi firewall, izmena segmentacije
• Novi VPN, novo rešenje za udaljeni pristup, promena identity provajdera
• Veliki update operativnih sistema na produkcijskim serverima

Praktičan test: ako vaš arhitektonski dijagram izgleda značajno drugačije nego pre šest meseci, vreme je za vanredan (out-of-cycle) pentest.

3. Pred lansiranje novog proizvoda ili major release

Pentest pre lansiranja je deset puta jeftiniji od onog posle prvog incidenta. Pravilo se odnosi na svaku tehnologiju koja izlazi van internog perimetra: nova javna web ili mobilna aplikacija, novi javni API, refaktor koji menja autentifikaciju ili autorizaciju, migracija sa monolita na mikro servise.

Razlog nije perfekcionizam. Bag u autentifikaciji koji izađe u produkciju često čeka mesecima dok ga neko ne nađe, a posledice su nesrazmerne veličini sistema. Pentest pred lansiranje pretvara nepoznat rizik u poznatu listu zadataka.

4. Posle bezbednosnog incidenta ili near-missa

Posle uspešnog napada, pentest je mapa puta za oporavak. Posle near-missa, pentest je test da li ste zakrpu uradili kako treba.

Konkretne okolnosti koje opravdavaju vanredan test:

• Phishing kampanja koja je uspela, čak i ako je samo jedan zaposleni kliknuo
• Pokušaj proboja koji ste detektovali, čak i ako je blokiran
• Ransomware napad u vašoj industriji ili kod direktnog konkurenta
• Curenje kredencijala zaposlenih kroz spoljni breach

Verizon DBIR 2025 izveštaj pokazuje da je iskorišćavanje ranjivosti (vulnerability exploitation) sada prisutno u 20 odsto svih probijanja, što je rast od 34 odsto u odnosu na prethodnu godinu, a 22 odsto tih napada cilja edge uređaje (firewall, VPN, remote access gateway). Posle incidenta u industriji, prozor između otkrića ranjivosti i masovne eksploatacije je sve češće nula dana.

Za ransomware scenario, pentest pomaže da identifikujete bočne pravce kretanja (lateral movement) unutar mreže pre nego što ih napadač iskoristi. To se uklapa u širi sloj zaštite zajedno sa rešenjima kao što je ransomware zaštita, koji adresira detekciju i izolaciju u trenutku kada napad počne.

5. M&A, integracija novog partnera ili spajanje sistema

Akvizicija je tehnički isto što i otvaranje vrata kompaniji čije slabosti niste videli iznutra. Slično važi za svakog novog B2B partnera koji se povezuje na vašu mrežu kroz VPN, API ili zajednički sistem identiteta.

Tipične situacije:

• Akvizicija ili spajanje (nasleđujete tuđi attack surface u celosti)
• Integracija sa partnerom preko VPN-a ili site-to-site veze
• Outsourcing kritične IT funkcije (helpdesk, monitoring) novom dobavljaču
• Prelazak na novog SaaS provajdera za osetljive podatke (HR, finansije, CRM)

Verizon DBIR 2025 pokazuje da je udeo probijanja kroz treću stranu udvostručen u poslednjih godinu dana, sa 15 na 30 odsto. Lanac snabdevanja (supply chain) je sada legitimna napadna površina, ne periferna briga.

6. Audit ili upit od strane klijenta

Niste se spremali za pentest, ali klijent ili procurement odeljenje partnera pošalje upitnik koji traži dokaz bezbednosti. Tipični okidači: klijent traži SOC 2 izveštaj pre potpisivanja ugovora, tender koji zahteva dokaz redovnog testiranja, audit koji proverava kontrolu pristupa.

Razlika u odnosu na triger 1: ovde ne pokušavate da zadovoljite svoju regulativu, već tuđu. To je prodajno-pravni triger sa kraćim rokom. Pravi pristup nije naručivanje maksimalnog paketa pod pritiskom, već razgovor sa partnerom o tome šta tačno treba dokazati.

7. Više od godinu dana od poslednjeg testa

Godišnje testiranje je minimum koji se pominje u skoro svakom okviru. U 2026. godini, taj ritam nije dovoljan za visokorizične sisteme. Verizon DBIR izveštaj pokazuje da je prosečno vremena do potpunog oporavka (median time to remediate) 32 dana, dok je vreme od objave ranjivosti do masovne eksploatacije često nula. Fiksni godišnji raspored daje napadaču predvidljive prozore.

Treba imati u vidu i da pentest sam po sebi ne štiti od svake klase napada. Volumetrijski DDoS napadi, na primer, ne traže propust u kodu nego dovoljan kapacitet da preplave vašu vezu. Za tu klasu pretnji potreban je odvojen sloj odbrane, kao što je zaštita od DDoS napada koja radi na nivou mreže provajdera, pre nego što saobraćaj uopšte stigne do vašeg perimetra. Pentest i DDoS zaštita rešavaju različite probleme.

Realna frekvencija po profilu kompanije

Tabela sumira osnovnu frekvenciju po profilu rizika. Svaki pomenuti triger može da pomeri sledeći test napred.

Pentest je snapshot, ne neprekidna zaštita

Pentest pokazuje šta je bilo moguće iskoristiti u trenutku testa. Ne pokazuje da li ćete biti probijeni sutra, jer napadna površina je živa stvar. Treba ga kombinovati sa SOC-om (24/7 detekcija i reagovanje), EDR/XDR rešenjima na endpoint-ima, redovnim skeniranjem ranjivosti, security awareness obukama i testiranim backup-om.

Bez ovih slojeva, pentest postaje skupa potvrda onoga što već znate, da imate problema. Sa njima, pentest postaje alat za prioritizaciju, ne za otkrivanje.

Sledeći korak: tri pitanja u par minuta

IT direktor može da odgovori na tri pitanja:

• Kada je bio poslednji pentest? Ako odgovor sadrži „pre više od godinu dana“ ili „nikad“, rok je već prošao.
• Šta se u zadnjih 6 meseci promenilo u arhitekturi? Cloud migracija, nova aplikacija, novi partner. Ako spisak nije „ništa“, postoji triger.
• Šta je vaša regulatorna obaveza? PCI DSS, ISO 27001, Zakon o informacionoj bezbednosti, klijentski upitnik.

Ako odgovori ukazuju da je vreme za pentest, sledeći razgovor nije „dajte mi ponudu za maksimalni paket“. Pravi razgovor je o opsegu: šta tačno treba testirati, koji je nivo realnosti, da li je test eksterni, interni, aplikacijski ili kombinovan, i ko čini tim koji će reagovati na nalaze. Bez tog konteksta, pentest je trošak. Sa njim, pentest je investicija sa merljivim rezultatom.

Najčešća pitanja

Koliko često treba raditi penetration testing?

Minimum jednom godišnje za kompanije sa stabilnom infrastrukturom, ali kvartalno za visokorizične profile (finansije, e-commerce, kritična infrastruktura). Posle svake značajne promene infrastrukture, incidenta ili regulatornog audita potrebno je uraditi vanredan (out-of-cycle) test.

Koja je razlika između penetration testinga i skeniranja ranjivosti?

Skeniranje ranjivosti (vulnerability scanning) je automatizovan proces koji daje listu potencijalnih slabosti. Penetration testing simulira pravi napad i dokazuje kako bi se ta slabost zaista iskoristila i kakva je posledica. Skeniranje je higijena, pentest je dokaz uticaja.

Koliko traje jedan penetration test?

Tipičan eksterni pentest traje između 5 i 15 radnih dana, u zavisnosti od opsega. Veći projekti sa internim, eksternim i aplikacijskim obimom traju 3 do 6 nedelja, uključujući izveštaj i retestiranje popravljenih nalaza.

Da li je penetration testing zakonska obaveza u Srbiji?

Zakon o informacionoj bezbednosti (Sl. glasnik RS, br. 91/2025), usklađen sa NIS2 direktivom i na snazi od oktobra 2025, zahteva redovne provere bezbednosti za prioritetne i važne operatere, što praktično znači godišnji pentest minimum. Za rad sa platnim karticama dodatno važi PCI DSS sa godišnjim eksternim i internim pentestom.

Da li mala firma treba da radi penetration testing?

Mala firma sa stabilnom infrastrukturom može da krene od godišnjeg testa, ali samo ako ima i osnove: firewall sa održavanim pravilima, EDR na uređajima, testiran backup, security awareness obuke. Bez tih osnova, pentest će potvrditi da je sve slabo, što je informacija koju ste mogli da dobijete jeftinije.