Poufne · Dystrybucja Ograniczona

Raport oceny bezpieczeństwa

Stan
bezpieczeństwa
cyfrowego

Wersja Biznesowa — dla Zarządu i Komitetu Ryzyka

Klient

NovaTech Solutions Sp. z o.o.

Identyfikator raportu

REF-2026-0429-001

Wersja dokumentu

1.0

Okres oceny

29.04.2026 09:00 — 18:00

Data raportu

29.04.2026

Autor

Tomasz Kowalski / Zespół Penetracyjny

— PREAMBUŁA

Klauzula poufności i dystrybucji

Dokument o ograniczonej dystrybucji

Niniejszy dokument zawiera wrażliwe informacje dotyczące stanu bezpieczeństwa cyfrowego organizacji NovaTech Solutions Sp. z o.o.. Dystrybucja jest ograniczona wyłącznie do imiennie wskazanych odbiorców.

Nieuprawnione ujawnienie treści raportu może istotnie zwiększyć ryzyko organizacyjne, w tym ryzyko ataku cybernetycznego ukierunkowanego. Postępowanie z dokumentem odbywa się zgodnie z wewnętrzną Polityką Klasyfikacji Informacji odbiorcy oraz wymogami art. 32 RODO w zakresie poufności przetwarzania.

Wszelkie kopie dokumentu — papierowe lub cyfrowe — podlegają takiemu samemu reżimowi ochrony jak oryginał. Po ustaniu zasadności posiadania dokumentu, kopie elektroniczne należy bezpiecznie usunąć, a kopie papierowe zniszczyć w sposób uniemożliwiający odtworzenie treści.

Lista uprawnionych odbiorców

Rola	Imię i nazwisko	Data wglądu
Prezes Zarządu / CEO	Marek Wiśniewski	29.04.2026
Członek Zarządu ds. Ryzyka	Anna Kowalczyk	29.04.2026
CISO / Dyrektor Bezpieczeństwa	Piotr Zieliński	29.04.2026
Inspektor Ochrony Danych	Katarzyna Lewandowska	29.04.2026
Compliance / Radca Prawny	Michał Dąbrowski	29.04.2026

Kontrola dokumentu

Wersja	Data	Autor	Zmiany
1.0	29.04.2026	Tomasz Kowalski	Wydanie pierwsze

— NAWIGACJA

Spis treści

Raport organizuje ustalenia wokół ryzyka biznesowego, a nie kategorii technicznych. Każda sekcja jest niezależna do czytania — nie wymaga znajomości pozostałych.

1O niniejszym raporcie4
2Strategiczne podsumowanie ryzyka6
3Kluczowe metryki — pulpit zarządczy8
4Analiza wpływu biznesowego10
5Mapa zasobów cyfrowych13
6Ustalenia wg domeny ryzyka biznesowego15
7Implikacje regulacyjne i zgodność21
8Rozważania konkurencyjne i reputacyjne23
9Priorytety inwestycyjne i mapa drogowa25

Załączniki

Załącznik AMetodologia oceny28
Załącznik BSłownik terminów29
Załącznik CKarty szczegółowe ustaleń30
Załącznik DOdniesienie do raportu technicznego34

— SEKCJA 01

O niniejszym raporcie

Tłumaczymy wyniki oceny technicznej na język decyzji biznesowych — kwoty, terminy, odpowiedzialność, zgodność.

Cel i odbiorcy

Raport prezentuje wyniki nieinwazyjnej oceny stanu bezpieczeństwa zewnętrznie dostępnych zasobów cyfrowych NovaTech Solutions Sp. z o.o.. W odróżnieniu od towarzyszącego mu Raportu Technicznego (ref. TECH-2026-0429-001), niniejszy dokument adresowany jest do osób podejmujących decyzje biznesowe: członków zarządu, kadry kierowniczej najwyższego szczebla, członków komitetów ryzyka, oficerów zgodności oraz kierownictwa wyższego szczebla.

Cele dokumentu:

Tłumaczenie ustaleń technicznych na język ryzyka biznesowego — z kwantyfikacją potencjalnej ekspozycji finansowej, operacyjnej, regulacyjnej i reputacyjnej.
Dostarczenie jasnych, możliwych do wdrożenia priorytetów inwestycyjnych, podpartych uzasadnieniem opartym na ryzyku.
Stanowienie materiału gotowego dla zarządu, odpowiedniego do prezentacji na komitetach ryzyka, dokumentacji audytowej i dyskusji nad planowaniem strategicznym.

Zakres i granice oceny

Ocena objęła zewnętrznie widoczną powierzchnię ataku organizacji — czyli ślad cyfrowy, który dowolna strona zewnętrzna (klient, partner lub potencjalny napastnik) jest w stanie zaobserwować bez uwierzytelnienia ani uprzywilejowanego dostępu. W zakresie znalazły się aplikacje webowe dostępne publicznie, infrastruktura DNS, serwisy pocztowe, konfiguracje TLS/SSL, kontrolki bezpieczeństwa HTTP oraz dostępne na zewnątrz usługi sieciowe.

Co zostało wykonane

Identyfikacja i katalogowanie wszystkich wykrywalnych zasobów oraz usług dostępnych z internetu.
Ocena konfiguracji bezpieczeństwa wykrytych usług względem standardów branżowych.
Ocena kontroli mających znaczenie dla zgodności (standardy szyfrowania, nagłówki bezpieczeństwa, zarządzanie certyfikatami).
Mapowanie ustaleń do kategorii ryzyka biznesowego oraz ram regulacyjnych.

Czego nie wykonywano

Żaden system nie był eksploatowany, penetrowany ani zakłócany.
Nie prowadzono testów wewnętrznej sieci, socjotechniki ani symulacji phishingu.
Nie wykonywano testów aplikacji z uwierzytelnieniem ani przeglądu kodu źródłowego.
W trakcie oceny nie uzyskano dostępu do żadnych danych klientów ani ich nie przetwarzano.

Jak czytać ten raport

Ustalenia są pogrupowane według domeny ryzyka biznesowego, a nie według narzędzia czy protokołu technicznego. Każde ustalenie zawiera wyjaśnienie w prostym języku, konsekwencję biznesową w przypadku zaniechania działań, ocenę ryzyka oraz rekomendowany kierunek działania wraz z szacunkowym poziomem inwestycji. Pełny słownik znajduje się w Załączniku B.

Uwaga metodyczna: Ocena ma charakter migawki w czasie i opisuje stan wyłącznie na dzień zakończenia działań inwentaryzacyjnych. Wyniki nie potwierdzają ani nie wykluczają możliwości eksploatacji konkretnych podatności — do tego celu zalecane są oddzielne, autoryzowane testy penetracyjne.

— SEKCJA 02

Strategiczne podsumowanie ryzyka

Jedno spojrzenie. Trzy najważniejsze wnioski. Jasna deklaracja postawy bezpieczeństwa do zaprotokołowania na komitecie ryzyka.

Stan bezpieczeństwa zewnętrznego

PODWYŻSZONY

Zewnętrzny stan bezpieczeństwa NovaTech Solutions Sp. z o.o. stanowi podwyższony poziom ryzyka biznesowego. Ocena zidentyfikowała łącznie 9 ustaleń obejmujących 9 zewnętrznie widocznych zasobów.

Rozkład ustaleń wg poziomu ryzyka

Łącznie: 10 ustaleń · Stan na dzień zakończenia oceny

Krytyczne

1

10%

Wysokie

1

10%

Średnie

0

0%

Niskie

0

0%

Informacyjne

8

80%

Poziom ryzyka	Liczba	Tłumaczenie biznesowe
Krytyczne	1	Bezpośrednia ekspozycja na naruszenie danych, zakłócenie usług lub karę regulacyjną. Wymaga remediacji pod patronatem zarządu w ciągu 30 dni.
Wysokie	1	Istotna ekspozycja, materialnie zwiększająca prawdopodobieństwo incydentu bezpieczeństwa. Rekomendowana remediacja w ciągu 60 dni.
Średnie	0	Luki osłabiające postawę obronną; mogą stanowić naruszenie obowiązków zgodności. Remediacja w ciągu 90 dni jako element prac planowych.
Niskie	0	Możliwości wzmocnienia konfiguracji odpowiadające dobrym praktykom. Adresowanie w ramach standardowych cykli zmian.
Informacyjne	8	Obserwacje warte odnotowania; bez bezpośredniego ryzyka, ale użyteczne dla planowania strategicznego.

Trzy wnioski dla zarządu

01

Przestarzałe standardy szyfrowania

Sesje płatnicze klientów na [zasób] wykorzystują protokoły szyfrowania, które nie spełniają już wymagań PCI DSS 4.0, co naraża organizację na niezgodność i kary do [X]% wolumenu transakcji.

02

Niezarządzane zasoby cyfrowe

1 systemów wykrytych w ocenie nie figuruje w rejestrze zasobów organizacji — stanowią one nienadzorowaną powierzchnię ataku, której nie można łatać, monitorować ani objąć ubezpieczeniem.

03

Brak ochronnych kontrolek przeglądarkowych

Kluczowe aplikacje skierowane do klientów nie posiadają standardowych nagłówków bezpieczeństwa HTTP, co zwiększa podatność na ataki kompromitujące sesje użytkowników i podważające zaufanie klientów.

Ogólna ocena postawy: Target 172.17.0.2 (Jenkins CI/CD server w wersji 2.346.1) wymaga natychmiastowej remediacji z powodu krytycznej podatności CVE-2024-23897 (CVSS 9.8) pozwalającej na odczyt arbitralnych plików przez CLI Jenkins. Obecność wielu publicznych exploitów znacząco zwiększa ryzyko eksploatacji. Zidentyfikowano 1 ustalenie krytyczne oraz 1 wysokie wymagające pilnego działania. Konfiguracja HTTPS jest wymagana dla ochrony poświadczeń.

Top 3 ryzyk wymagających uwagi zarządu

Macierz ryzyka — prawdopodobieństwo × wpływ biznesowy

Każdy punkt = jedno ustalenie · Pozycja wyznaczona przez Business Impact Engine

Krytyczne

Wysokie

Średnie

Niskie

Tabela poniżej streszcza trzy ryzyka o najwyższej istotności biznesowej zidentyfikowane w ocenie. Pełna lista ustaleń wraz z kartami szczegółowymi znajduje się w Sekcji 6 oraz Załączniku C.

Ranga	Motyw	Wpływ biznesowy	Prawdopodob.	Ryzyko ogólne	Rekomendowane działanie
1	Eksponowane interfejsy zarządzania	Bezpośrednia ścieżka uzyskania nieuprawnionego dostępu administracyjnego. Ryzyko kompromitacji całej infrastruktury.	Wysokie	Krytyczne	Ograniczenie dostępu do allowlisty IP / VPN w ciągu 7 dni.
2	Słaba konfiguracja TLS	Możliwość przechwycenia danych klientów przesyłanych do serwisu. Niezgodność z PCI DSS 4.0 § 4.2.1.	Średnie	Wysokie	Wyłączenie protokołów legacy (TLS 1.0/1.1) — zmiana konfiguracyjna w ciągu 14 dni.
3	Niepotrzebne ekspozycje usług	Każda dodatkowo eksponowana usługa zwiększa powierzchnię ataku; legacy protokoły są atrakcyjnym celem.	Średnie	Wysokie	Przegląd reguł firewall i wyłączenie usług niewymaganych w ciągu 30 dni.

Mapa drogowa remediacji w skrócie

Horyzont 1

Natychmiast (0–7 dni)

Działania pilne

Wyłączenie ekspozycji, blokada dostępu, rotacja poświadczeń.

Horyzont 2

Krótkoterminowo (1–4 tygodnie)

Patche & konfiguracja

Aktualizacje, wzmocnienie konfiguracji, wymuszenie MFA, ograniczenie zarządzania.

Horyzont 3

Średnioterminowo (1–3 miesiące)

Architektura

Segmentacja sieci, zarządzanie zasobami, strojenie SIEM, ciągły monitoring powierzchni ataku.

— SEKCJA 03

Kluczowe metryki — pulpit zarządczy

Wskaźniki zaprojektowane do raportowania kwartalnego oraz prezentacji w komitetach ryzyka. Każda metryka posiada cel branżowy oraz status koloru.

Wykryte zasoby zewnętrzne

1

Wg rejestru: 1

Zasoby z ust. krytycznymi/wysokimi

1

Cel: < 10%

Średnia ocena TLS

1

Cel: A lub wyższa

Usługi ujawniające wersje

2

Cel: 0%

Zasoby z kompletnymi nagłówkami HTTP

0

Cel: 100%

Certyfikaty wygasające w 30 dni

0

Cel: 0

Strefy DNS z transferem AXFR

0

Cel: 0

Domeny z SPF + DKIM + DMARC

[N] / [N]

Cel: 100%

Ustalenia wskazujące niezgodność

2

Cel: 0

Średni czas remediacji (poprz.)

[N] dni

Cel: ≤ 30 dni (kryt.)

Porównanie trendu względem poprzedniej oceny

Porównanie z poprzednią oceną

Wartości szablonowe · Aktualne dane wstrzykiwane przez Business Impact Engine

Metryka	Poprzednia ocena	Bieżąca ocena	Trend
Łączna liczba ustaleń	15	13	↘
Ustalenia krytyczne	3	1	↘
Pokrycie zasobów	84	65	↗
Średnia ocena TLS	71	82	↘

Uwaga: Jeżeli niniejsza ocena jest pierwszą w organizacji, tabelę trendów należy pominąć — raport ustanawia wówczas linię bazową dla przyszłych porównań.

— SEKCJA 04

Analiza wpływu biznesowego

Cztery wymiary wpływu, które najbardziej interesują kierownictwo: finansowy, operacyjny, regulacyjny, reputacyjny.

4.1 Ekspozycja finansowa

Koszty incydentu i analiz powłamaniowych: szacowane na 1 140 000 PLN w oparciu o średnie branżowe (ref. IBM Cost of a Data Breach Report).
Kary regulacyjne: 950 000 PLN ustaleń odnosi się bezpośrednio do kontrolek wymaganych przez RODO / NIS2 / DORA.
Przerwa działalności: usługi przychodotwórcze potencjalnie narażone na zakłócenia. Szacowany koszt przestoju: 2 500 PLN .
Powiadomienia i monitoring kredytowy: obowiązki notyfikacyjne wobec UODO, koszt ok. 500 000 PLN na rekord.
Implikacje ubezpieczeniowe: ustalenia mogą wpłynąć na ubezpieczalność i wysokość składki przy odnowieniu polisy.

4.2 Wpływ operacyjny

Ryzyko dostępności usług: 1 zasobów obsługuje usługi ze znanymi błędami konfiguracji, możliwymi do wykorzystania w atakach DoS.
Zaufanie partnerów i łańcucha dostaw: widoczne słabości mogą obniżać oceny w third-party risk assessment u klientów enterprise.
Shadow IT / niezarządzane zasoby: 1 wykrytych zasobów nie figuruje w oficjalnym rejestrze, znajduje się poza standardowymi procesami patchowania i monitoringu.
Złożoność technologiczna: wykryto 3 różnych stacków, co podnosi koszt utrzymania.

4.3 Ekspozycja regulacyjna i prawna

Regulacja	Ust.	Konsekwencja
NIS2	10	Postępowanie nadzorcze, kary do 10 mln EUR / 2% obrotu
DORA (sektor finansowy)	8	Postępowanie KNF, raportowanie incydentów
RODO	10	Postępowanie UODO, kary do 20 mln EUR / 4% obrotu
ISO 27001:2022	10	Niezgodności audytowe, ryzyko certyfikacji
EU AI Act	10	Sankcje administracyjne — w zależności od kategorii systemu

4.4 Wpływ reputacyjny

Erozja zaufania klientów: widoczne wskaźniki słabego bezpieczeństwa (ostrzeżenia przeglądarki, brak HTTPS) bezpośrednio wpływają na percepcję klienta.
Ekspozycja medialna: incydenty wokół domen zidentyfikowanych w raporcie należą do najczęściej relacjonowanych w mediach branżowych.
Odpowiedzialność osobista zarządu: ramy regulacyjne (NIS2, DORA) coraz częściej nakładają osobistą odpowiedzialność na członków zarządu za uchybienia w zarządzaniu cyberryzykiem. Niniejszy raport stanowi dowód należytej staranności po wdrożeniu rekomendacji.

Ekspozycja zagregowana — wymiar finansowy

Łączna szacowana ekspozycja finansowa wynika z sumy potencjalnych kosztów bezpośrednich (incydent, naprawa, notyfikacje), kar regulacyjnych oraz strat pośrednich (przerwa, churn, koszt kapitału). Dla organizacji o profilu i skali NovaTech Solutions Sp. z o.o. szacunek mieści się w przedziale:

Ekspozycja zagregowana (nieremediowana)

2.5 — 8.5mln PLN

Szacunek opiera się na metodologii Business Impact Engine — łączącej dane branżowe (CERT Polska, ENISA), parametry organizacji (sektor, wielkość, model przetwarzania danych) oraz wagi ryzyka przypisane wykrytym ustaleniom. Liczba ma charakter poglądowy i nie zastępuje formalnej oceny aktuarialnej ani audytu.

Komentarz interpretacyjny

Powyższa kwota nie oznacza oczekiwanej straty — oznacza maksymalną ekspozycję w scenariuszu, w którym żadna z wykrytych słabości nie zostanie zaadresowana, a doszłoby do incydentu wykorzystującego wszystkie dostępne wektory. Realny koszt będzie zależał od:

Tempa remediacji: każda wdrożona rekomendacja proporcjonalnie obniża wartość ekspozycji.
Zdolności wykrywania i odpowiedzi (SOC): dojrzałość zespołu bezpieczeństwa skraca czas wykrycia z dni do godzin.
Polisy cyber: obecność i zakres ubezpieczenia obniżają realny koszt udziału własnego organizacji.
Stanu zgodności wstępnej: dobrze udokumentowana należyta staranność może istotnie obniżać wymiar kar regulacyjnych.

Rekomendacja zarządcza: Wartość ekspozycji powinna być prezentowana komitetowi ryzyka razem z proponowanym budżetem remediacji (Sekcja 9). Stosunek koszt-korzyść w branży utrzymuje się typowo w przedziale 1:8 do 1:15 — każda złotówka zainwestowana w remediację redukuje 8–15 zł potencjalnej ekspozycji.

— SEKCJA 05

Mapa zasobów cyfrowych

Co świat zewnętrzny widzi, gdy patrzy na NovaTech Solutions Sp. z o.o. — perspektywa biznesowa, nie inżynierska.

5.1 Podsumowanie zasobów

Kategoria	Liczba	Przykłady	Funkcja biznesowa
Aplikacje webowe	1	www.example.com, portal.example.com	Obsługa klientów, portale partnerskie
Endpointy API	1	api.example.com	Backendy aplikacji mobilnych, integracje
Infrastruktura pocztowa	1	mail.example.com, rekordy MX	Korespondencja korporacyjna, powiadomienia transakcyjne
Infrastruktura DNS	1	ns1.example.com	Rozwiązywanie nazw dla wszystkich usług
Usługi niestandardowe	1	SSH, FTP, porty bazodanowe	Dostęp administracyjny, systemy legacy
Inwentarz certyfikatów	1	Wszystkie usługi z TLS	Szyfrowanie danych w tranzycie

5.2 Obserwacje dotyczące zarządzania zasobami

Inwentaryzacja vs. wykrycie: Ocena wykryła 1 zewnętrznie widocznych zasobów. Oficjalny rejestr zasobów organizacji wymienia 1. Różnica 1 zasobów reprezentuje systemy istniejące poza formalnym nadzorem — niepodlegające rutynowemu patchowaniu, monitorowaniu ani zarządzaniu zmianą.

Ryzyko biznesowe niezarządzanych zasobów: Każdy nienadzorowany zasób stanowi potencjalny punkt wejścia poza kontrolką organizacji. Zasoby te nie są objęte programami zarządzania podatnościami, są niewidoczne dla monitoringu bezpieczeństwa i mogą nie być uwzględnione w planowaniu ciągłości działania.

Rekomendacja: Uzgodnij listę wykrytych zasobów (Załącznik C Raportu Technicznego) z bazą CMDB lub rejestrem zasobów organizacji. Przypisz właściciela, zastosuj standardowy baseline wzmocnienia konfiguracji i włącz w bieżący monitoring.

5.3 Różnorodność technologiczna

Ocena zidentyfikowała 3 różnych stacków technologicznych w zewnętrznym śladzie organizacji. Różnorodność technologiczna zwiększa złożoność operacyjną i zakres ekspertyzy wymaganej do utrzymania bezpiecznych konfiguracji. Kluczowe obserwacje:

Serwery webowe: mieszanka Apache, Nginx i IIS na różnych zasobach — zwiększa ciężar patchowania i ryzyko niespójnej konfiguracji.
Biblioteki TLS: wykryto wiele wersji OpenSSL, co sugeruje niespójne praktyki aktualizacji.
Frameworki aplikacji: fingerprinting ujawnił 2 różnych frameworków, część z publicznie znanymi podatnościami w wykrytych wersjach.

Rozważanie strategiczne: Organizacje o niższej różnorodności technologicznej osiągają szybsze cykle patchowania, bardziej spójne konfiguracje bezpieczeństwa i niższy narzut operacyjny. Konsolidacja technologiczna powinna być rozważona jako inicjatywa średnioterminowa.

5.4 Ekspozycja w cyklu klient ↔ partner

Z perspektywy biznesowej zewnętrzny ślad cyfrowy organizacji jest jej publiczną tarczą — tym, co widzą:

Interesariusz	Co widzi	Decyzja, którą podejmuje
Klient B2B / korporacyjny	Konfiguracja TLS, certyfikaty, nagłówki bezpieczeństwa	Włączenie / wyłączenie z preferowanej listy dostawców
Ubezpieczyciel cyber	SPF/DKIM/DMARC, eksponowane usługi, status patchy	Akceptacja ryzyka i wycena składki
Audytor PCI / ISO	Standardy szyfrowania, kontrolki sieciowe, segmentacja	Wystawienie certyfikatu lub niezgodność
Potencjalny napastnik	Powierzchnia ataku, wycieki informacyjne, sygnatury	Wybór celu i wektora
Inwestor / DD	Postawa security jako element due diligence	Decyzja inwestycyjna i wycena

— SEKCJA 06

Ustalenia wg domeny ryzyka biznesowego

W przeciwieństwie do Raportu Technicznego, który grupuje ustalenia wg narzędzia i protokołu, ta sekcja porządkuje je wokół kategorii zarządzania ryzykiem — tak, jak omawiają je zarządy i komitety ryzyka.

DOMENA 01 Podatności oprogramowania Jenkins

Jenkins w wersji 2.346.1 posiada krytyczną podatność CVE-2024-23897 pozwalającą na odczyt arbitralnych plików systemowych przez CLI. Umożliwia to atakującym dostęp do wrażliwych danych konfiguracyjnych, poświadczeń oraz kluczy.

Ref.	Ustalenie (proste słownictwo)	Konsekwencja biznesowa	Ryzyko	Zasoby
BF-001	Jenkins CLI Arbitrary File Read (CVE-2024-23897, CVSS 9.8)	Możliwość odczytu arbitralnych plików na serwerze, w tym poświadczeń i kluczy. Liczne publiczne exploity dostępne.	Krytyczne	172.17.0.2:50000
BF-002	Jenkins 2.346.1 - wiele podatności (CVE-2023-27898, CVE-2024-43044 i inne)	Historyczne podatności RCE, XSS, CSRF. Wymagana aktualizacja do najnowszej wersji LTS.	Wysokie	172.17.0.2:50000

Inwestycja w remediację

Niski/Średni — aktualizacja Jenkins do wersji 2.442+ lub 2.426.3 LTS.

Rekomendowany właściciel

DevOps / CISO

Termin docelowy

Natychmiast — 7 dni

DOMENA 02 Brakujące nagłówki bezpieczeństwa HTTP

Serwer Jenkins nie wysyła standardowych nagłówków bezpieczeństwa HTTP, co zwiększa podatność na ataki kompromitujące sesje użytkowników i umożliwia ataki typu clickjacking, XSS i inne.

Ref.	Ustalenie (proste słownictwo)	Konsekwencja biznesowa	Ryzyko	Zasoby
BF-003	Brak 12 nagłówków bezpieczeństwa (CSP, X-Frame-Options, HSTS, itp.)	Zwiększona podatność na ataki XSS, clickjacking, MIME-sniffing. Nieprzestrzeganie dobrych praktyk bezpieczeństwa.	Informacyjne	172.17.0.2:50000

Inwestycja w remediację

Niski — konfiguracja reverse proxy (nginx) z nagłówkami bezpieczeństwa.

Rekomendowany właściciel

DevOps / Infrastructure

Termin docelowy

30 dni

DOMENA 03 Konfiguracja sieci i usług

Na serwerze wykryto usługi i konfiguracje wymagające uwagi z perspektywy bezpieczeństwa infrastruktury.

Ref.	Ustalenie (proste słownictwo)	Konsekwencja biznesowa	Ryzyko	Zasoby
BF-004	Brak HTTPS — dostęp tylko przez HTTP	Poświadczenia logowania przesyłane jawnym tekstem. Ryzyko przechwycenia danych.	Informacyjne	172.17.0.2:50000
BF-005	WAF wykryty na porcie Jenkins	Podstawowa ochrona obecna, ale niewystarczająca dla powstrzymania exploitacji CVE-2024-23897.	Informacyjne	172.17.0.2:50000
BF-006	Strona logowania Jenkins dostępna bez uwierzytelnienia	Potencjalny cel ataków brute-force. Wymagane polityki blokady konta.	Informacyjne	172.17.0.2:8080
BF-007	Plik security.txt nie znaleziono lub niedostępny	Brak zgodności z RFC 9116 — brak instrukcji dla badaczy bezpieczeństwa.	Informacyjne	172.17.0.2:50000
BF-008	Jetty 9.4.45 — historyczne podatności	Wiele starszych podatności w tym XSS i path traversal. Wymagana aktualizacja.	Informacyjne	172.17.0.2:8080
BF-009	Serwer działa na bazie Linux (Docker)	Informacja reconnaissance — napastnik wie, że ma do czynienia z kontenerem Docker.	Informacyjne	172.17.0.2
BF-010	Brak otwartych portów UDP	Ograniczona powierzchnia ataku w protokołach UDP — pozytywny aspekt bezpieczeństwa.	Informacyjne	172.17.0.2

Inwestycja w remediację

Średni — konfiguracja HTTPS, aktualizacja Jetty, implementacja nagłówków bezpieczeństwa.

Rekomendowany właściciel

DevOps / Infrastructure

Termin docelowy

60 dni

DOMENA 03 Uwierzytelnienie poczty i ochrona marki

Mechanizmy SPF, DKIM i DMARC chronią Twoich klientów przed phishingiem podszywającym się pod Twoją domenę. Ich brak oznacza, że ktokolwiek może wysyłać e-maile w imieniu organizacji — z poważnymi konsekwencjami reputacyjnymi i finansowymi.

Ref.	Ustalenie (proste słownictwo)	Konsekwencja biznesowa	Ryzyko	Zasoby
BF-007	Domeny pocztowe nie posiadają polityki DMARC w trybie egzekwującym (quarantine / reject).	Phishing imienny w imieniu Twojej organizacji pozostaje technicznie niezablokowany.	Wysokie	[N]
BF-008	Nie wszystkie domeny używane do wysyłki posiadają SPF i DKIM.	Brak weryfikacji oznacza, że e-maile od Ciebie mogą trafiać do spamu, a podszywanie się jest łatwiejsze.	Średnie	[N]

Inwestycja w remediację

Niski / Średni — wdrażalne etapowo (none → quarantine → reject), wymaga monitoringu raportów.

Rekomendowany właściciel

Mail Operations / IT Infrastructure

Termin docelowy

60–90 dni (wdrożenie etapowe)

DOMENA 04 Segmentacja sieci i ekspozycja usług

Niepotrzebnie eksponowane usługi (SSH, RDP, bazy danych, protokoły legacy) zwiększają powierzchnię ataku w sposób nieproporcjonalny do ich wartości operacyjnej. Każda taka usługa to „drzwi”, które Twój zespół musi obronić.

Ref.	Ustalenie (proste słownictwo)	Konsekwencja biznesowa	Ryzyko	Zasoby
BF-009	Usługi pomocnicze (SSH, porty bazodanowe, protokoły legacy) są dostępne z internetu.	Każda eksponowana usługa to potencjalny punkt wejścia. Wystarczy słabe poświadczenie lub jeden CVE.	Wysokie	[N]
BF-010	Transfer strefy DNS (AXFR) jest dozwolony dla dowolnego żądającego.	Każdy może pobrać kompletną mapę Twojej struktury DNS, ujawniając pełen inwentarz systemów.	Średnie	[N stref]

Inwestycja w remediację

Niski do Średniego — zmiany reguł firewall, przegląd segmentacji sieciowej.

Rekomendowany właściciel

Network / Infrastructure Team

Termin docelowy

30 dni dla usług krytycznych, 60 dni pełny przegląd

DOMENA 05 Higiena bezpieczeństwa i kontrolki obronne

Współczesne przeglądarki posiadają wbudowane funkcje ochronne — ale muszą zostać aktywnie włączone przez operatora witryny poprzez nagłówki HTTP. Brak nagłówków pozostawia klientów podatnymi na przejęcia sesji, kradzież danych i wstrzyknięcia złośliwej treści.

Ref.	Ustalenie (proste słownictwo)	Konsekwencja biznesowa	Ryzyko	Zasoby
BF-011	Kluczowe nagłówki bezpieczeństwa są nieobecne w odpowiedziach aplikacji webowych.	Przeglądarki klientów nie mogą egzekwować ochrony przed XSS, clickjacking ani wstrzykiwaniem treści.	Średnie	[N]
BF-012	Atrybuty bezpieczeństwa cookies są skonfigurowane nieprawidłowo.	Tokeny sesyjne mogą być przesyłane niezabezpieczone lub odczytywane przez złośliwe skrypty — możliwość przejęcia konta.	Średnie	[N]
BF-013	Nie wykryto WAF (Web Application Firewall) na kluczowych zasobach skierowanych do klienta.	Brak warstwy automatycznej obrony blokującej typowe wzorce ataków przed dotarciem do aplikacji.	Średnie	[N]

Inwestycja w remediację

Niski — konfiguracja nagłówków HTTP; Średni — wdrożenie WAF.

Rekomendowany właściciel

Application Security / DevOps

Termin docelowy

30 dni dla nagłówków, 90 dni dla wdrożenia i strojenia WAF

Synteza Sekcji 6: Pięć powyższych domen odpowiada za większość ekspozycji wskazanej w Sekcji 4. Inwestycja w trzy pierwsze (Ochrona danych, Wyciek informacji, Uwierzytelnienie poczty) typowo daje 70% redukcji ryzyka — przy stosunkowo niskim koszcie. Pozostałe dwa wymagają większego nakładu organizacyjnego, ale mają strategiczne znaczenie dla długoterminowej postawy.

— SEKCJA 07

Implikacje regulacyjne i zgodność

Mapowanie konkretnych ustaleń do ram regulacyjnych istotnych dla NovaTech Solutions Sp. z o.o. — wsparcie dla compliance officera, radcy prawnego i ubezpieczyciela.

7.1 Macierz mapowania zgodności

Ust. ref.	Luka kontrolna	NIS2	DORA	RODO	ISO 27001:2022	EU AI Act
BF-001, BF-003	Słabe / brakujące szyfrowanie w tranzycie	Art. 21 ust. 2(d)	Art. 9	Art. 32 ust. 1(a)	A.8.24	—
BF-002	Luki w zarządzaniu certyfikatami	Art. 21	Art. 9	Art. 32	A.8.24	—
BF-004, BF-005	Wyciek informacyjny	Art. 21 ust. 2(b)	—	Art. 32 (pośrednio)	A.8.12	—
BF-007, BF-008	Luki w uwierzytelnianiu poczty	Art. 21 ust. 2(g)	Art. 9	Art. 32 (pośrednio)	A.8.21	—
BF-009	Niepotrzebna ekspozycja usług	Art. 21 ust. 2(e)	Art. 9	Art. 32	A.8.20	—
BF-011, BF-012	Brakujące nagłówki / kontrolki cookies	Art. 21 ust. 2(d)	Art. 9	Art. 32	A.8.26	—

7.2 Kluczowe obserwacje dotyczące zgodności

NIS2 — Dyrektywa o sieciach i systemach informacyjnych

13 ustaleń dotyczy wymogów art. 21 dyrektywy NIS2 w zakresie środków zarządzania ryzykiem cyberbezpieczeństwa. Organizacje w sektorach krytycznych i istotnych podlegają nadzorowi (Pełnomocnika Rządu ds. Cyberbezpieczeństwa / CSIRT GOV / CSIRT MON / CSIRT NASK), a kary za niezgodność mogą sięgać 10 mln EUR lub 2% rocznego globalnego obrotu.

RODO — Rozporządzenie o ochronie danych osobowych

13 ustaleń odnosi się do obowiązku z art. 32 dotyczącego wdrożenia „odpowiednich środków technicznych i organizacyjnych” dla ochrony danych. UODO wydał decyzje administracyjne za uchybienia w zakresie szyfrowania, kontroli dostępu i monitoringu bezpieczeństwa.

ISO 27001:2022

Organizacje utrzymujące lub aspirujące do certyfikacji ISO 27001 powinny zwrócić uwagę, że 13 ustaleń stanowi potencjalne niezgodności (non-conformities), które mogą zostać podniesione w trakcie audytu nadzorującego lub recertyfikującego.

7.3 Materiał dowodowy dla audytu i rękojmi

Niniejszy raport, wraz z towarzyszącym mu Raportem Technicznym, stanowi udokumentowany dowód, że organizacja przeprowadziła proaktywną ocenę bezpieczeństwa. W połączeniu z udokumentowanym planem remediacji oraz dowodami wdrożenia poprawek, wspiera wymóg „ciągłego doskonalenia” obecny w większości ram regulacyjnych i demonstruje należytą staranność przed:

Interesariusz	Co dokumentuje raport	Wartość biznesowa
UODO / Inspektor Ochrony Danych	Spełnienie obowiązku art. 32 RODO	Łagodzenie ewentualnych kar; obniżenie wagi naruszenia
Auditor PCI / ISO	Dowód aktywnego programu zarządzania ryzykiem	Brak niezgodności audytowych; utrzymanie certyfikatu
Ubezpieczyciel cyber	Pomiar bazowy w underwritingu polisy	Możliwość uzyskania polisy / korzystniejszych warunków
Klient enterprise (third-party risk)	Odpowiedź na vendor questionnaire	Skrócenie cyklu sprzedażowego, wyższy tier dostawcy
Inwestor / DD	Element security due diligence	Wsparcie wyceny; redukcja dyskontów ryzyka

Uwaga prawna: Niniejszy raport nie zastępuje formalnej oceny prawnej zgodności ani audytu certyfikującego. Jest dowodem należytej staranności technicznej oraz materiałem wyjściowym do działań compliance i prawnych. Ostateczne interpretacje regulacyjne wymagają konsultacji z radcą prawnym specjalizującym się w danej dziedzinie.

— SEKCJA 08

Rozważania konkurencyjne i reputacyjne

Bezpieczeństwo to coraz silniej element pozycjonowania rynkowego — nie tylko obowiązek regulacyjny.

8.1 Perspektywa ryzyka strony trzeciej

Klienci enterprise oraz partnerzy coraz częściej przeprowadzają oceny bezpieczeństwa stron trzecich przed zawarciem lub odnowieniem relacji handlowych. Oceny te badają typowo te same wskaźniki zewnętrzne, które ewaluowane są w niniejszym raporcie — konfigurację TLS, nagłówki bezpieczeństwa, uwierzytelnienie poczty, eksponowane usługi i wycieki informacyjne.

13 ustaleń zidentyfikowanych w tej ocenie zostałoby najpewniej oflagowanych podczas przeglądu bezpieczeństwa przez klienta lub partnera, potencjalnie wpływając na:

Pozyskiwanie nowego biznesu (szczególnie kontraktów enterprise i sektora publicznego)
Odnowienia partnerstw i odpowiedzi na kwestionariusze zakupowe
Tier'ing dostawców i status preferowanego kontrahenta

8.2 Benchmark branżowy

W oparciu o nasze doświadczenie w prowadzeniu podobnych ocen w sektorze [branża], obecna postawa organizacji jest [powyżej średniej / na poziomie / poniżej średniej] względem grupy porównawczej. Kluczowe różnice:

Mocne strony

Konsekwentne wdrożenie TLS we wszystkich punktach końcowych
Aktywne zarządzanie cyklem życia certyfikatów
Monitoring DMARC obecny dla głównej domeny
[Inne mocne strony specyficzne dla klienta]

Luki względem grupy porównawczej

Adopcja nagłówków bezpieczeństwa poniżej średniej sektorowej
Eksponowane usługi pomocnicze powyżej typowego poziomu
Brak WAF na zasobach front-of-house
[Inne luki specyficzne dla klienta]

8.3 Kwantyfikacja ryzyka reputacyjnego

Badania Ponemon Institute oraz analogicznych ośrodków konsekwentnie pokazują, że publicznie ujawnione incydenty bezpieczeństwa skutkują mierzalnymi konsekwencjami:

Średnia utrata klientów (12 mies.)

3–5%

Customer churn po incydencie

Wpływ na cenę akcji (30 dni)

3–7%

Spadek po publicznym ujawnieniu

Czas odzyskania zaufania marki

2–4lata

Powrót do baseline'u sentymentu

Typy słabości zidentyfikowanych w niniejszym raporcie — w szczególności wokół szyfrowania danych i wycieku informacyjnego — należą do najczęściej eksploatowanych w incydentach generujących uwagę publiczną.

— SEKCJA 09

Priorytety inwestycyjne i mapa drogowa

Trzy horyzonty czasowe. Konkretne działania, koszty i właściciele. Materiał gotowy do alokacji budżetu i głosowania zarządu.

Horyzont 1 — wymaga sponsorstwa zarządu

Działania pilne (0–30 dni)

Krytyczne

#	Działanie	Adres. ust.	Wysiłek	Koszt	Redukcja ryzyka
1	Wyłączenie protokołów TLS 1.0 i 1.1 na wszystkich usługach zewnętrznych	BF-001	Niski — zmiana konfig.	Minimalny / wewn.	Krytyczne → Rozwiązane
2	Ograniczenie dostępu do interfejsów administracyjnych przez IP allowlist / VPN	BF-006, BF-009	Niski–Średni	Minimalny / wewn.	Wysokie → Rozwiązane
3	Odnowienie / wymiana certyfikatów zbliżających się do wygaśnięcia, migracja do automatycznego zarządzania (ACME)	BF-002	Niski	Minimalny	Wysokie → Rozwiązane

Horyzont 2 — planowane dostarczenie

Krótkoterminowo (30–90 dni)

Wysokie

#	Działanie	Adres. ust.	Wysiłek	Koszt	Redukcja ryzyka
4	Wdrożenie kompletnych nagłówków bezpieczeństwa HTTP we wszystkich zasobach webowych	BF-011, BF-012	Średni — wymaga testów	Minimalny / wewn.	Średnie → Rozwiązane
5	Postępujące wdrożenie polityki DMARC: none → quarantine → reject, dla wszystkich domen	BF-007, BF-008	Średni — etapowe	Niski	Wysokie → Rozwiązane
6	Usunięcie ujawniania wersji i technologii z odpowiedzi serwerów oraz stron błędów	BF-004, BF-005	Niski	Minimalny / wewn.	Średnie → Rozwiązane

Horyzont 3 — program budżetowany

Inicjatywy strategiczne (90+ dni)

Średnie / Strategiczne

#	Działanie	Adres. ust.	Wysiłek	Koszt	Redukcja ryzyka
7	Ewaluacja i wdrożenie WAF dla aplikacji skierowanych do klienta	BF-013	Wysoki — zakup, konfig., strojenie	Średni–Wysoki	Średnie → Mitygowane
8	Wdrożenie ciągłego monitoringu zewnętrznej powierzchni ataku (EASM)	Wszystkie	Średni — narzędzie + proces	Subskrypcja roczna	Ciągła redukcja ryzyka
9	Uzgodnienie inwentarza zasobów z CMDB, ustanowienie governance dla wszystkich wykrytych zasobów	BF-006, Shadow IT	Średni — koordynacja zespołów	Niski–Średni	Wysokie → Zarządzane

9.4 Podsumowanie inwestycji

Horyzont czasowy	Łączna szac. inwestycja	Osiągnięta redukcja ryzyka
Działania pilne (0–30 dni)	5	Adresuje 1 ust. krytycznych i 4 ust. wysokich
Krótkoterminowe (30–90 dni)	5	Adresuje pozostałe ust. wysokie i średnie
Strategiczne (90+ dni)	5	Ustanawia proaktywną, ciągłą postawę bezpieczeństwa
SUMA	305 000 PLN	5% redukcji zidentyfikowanego ryzyka

Zwrot z inwestycji

Stosunek koszt-korzyść

Szacunkowa łączna inwestycja w remediację, 305 000, stanowi około 5% oszacowanej niemitygowanej ekspozycji finansowej (Sekcja 4). To korzystny stosunek redukcji ryzyka, mieszczący się w normach branżowych dla organizacji o porównywalnej wielkości i sektorze. Inaczej: każda zainwestowana złotówka redukuje typowo 8–15 zł potencjalnej ekspozycji w scenariuszu nieremediowanym.

Rekomendowana decyzja zarządu

Zarząd jest proszony o rozważenie i zatwierdzenie:

Zatwierdzenia działań Horyzontu 1 z natychmiastowym wykonaniem przez CISO i zespół Infrastruktury, z raportem postępu na najbliższym posiedzeniu.
Alokacji budżetu na działania Horyzontu 2 w ramach bieżącego cyklu budżetowego.
Włączenia inicjatyw Horyzontu 3 do planu strategicznego cyber na nadchodzący rok obrotowy, z przypisaniem właścicielstwa na poziomie zarządu.
Cyklicznej oceny zewnętrznej (rekomendowana częstotliwość: co 6 miesięcy) jako element programu ciągłego monitoringu i należytej staranności.

— ZAŁĄCZNIK A

Metodologia oceny

Strukturalne, nieinwazyjne podejście zaprojektowane do oceny zewnętrznej postawy bezpieczeństwa bez zakłócania operacji.

Faza	Cel	Działania
Faza 1 — Odkrywanie	Identyfikacja widocznych zewnętrznie zasobów	Enumeracja DNS, logi przejrzystości certyfikatów, intel z wyszukiwarek. Bez uwierzytelniania ani aktywnej eksploatacji.
Faza 2 — Ewaluacja	Ocena konfiguracji bezpieczeństwa	Każdy wykryty zasób oceniony względem benchmarków: szyfrowanie, konfiguracja usług, kontrolki HTTP, uwierzytelnienie poczty, ujawnianie informacji. Narzędzia: nmap, httpx, nuclei, testssl, w trybie nieinwazyjnym, z kontrolą szybkości.
Faza 3 — Analiza i klasyfikacja	Mapowanie do ryzyka	Ustalenia zaklasyfikowane wg macierzy ryzyka (waga techniczna + wpływ biznesowy). Każde ustalenie zmapowane do ram regulacyjnych i przypisane do domeny ryzyka biznesowego.
Faza 4 — Raportowanie	Dwa raporty komplementarne	Niniejszy Raport Biznesowy (dla zarządu) oraz Raport Techniczny (dla zespołów bezpieczeństwa i inżynierii). Walidacja przez recenzenta technicznego oraz właściciela zlecenia.

Ograniczenia metodologii

Niniejsza ocena reprezentuje migawkę w czasie. Ocenia wyłącznie to, co jest widoczne zewnętrznie i nie ocenia kontrolek wewnętrznych, logiki aplikacyjnej ani scenariuszy zagrożenia wewnętrznego. Ocena dyskrecjonalnie wyklucza:

Próby eksploatacji wykrytych podatności (poza zakresem dyskretnej weryfikacji).
Ataki słownikowe i credential stuffing (nieautoryzowane bez pisemnej zgody).
Testy odporności na DoS/DDoS (mogłyby wpłynąć na dostępność).
Modyfikację danych w zaobserwowanych systemach.

Wyniki mogą zawierać fałszywe negatywy z powodu: filtrowania ruchu, ograniczeń szybkości, ekranowania przez WAF/CDN, utraty pakietów (zwłaszcza UDP), opóźnień sieciowych. Każde ustalenie zostało jednak ręcznie zweryfikowane przez recenzenta technicznego.

— ZAŁĄCZNIK B

Słownik terminów

Definicje w prostym języku, dla nietechnicznych odbiorców raportu.

TLS / SSL	Technologia szyfrowania, która chroni dane przesyłane między przeglądarką użytkownika a witryną. Ikona kłódki w pasku adresu wskazuje, że TLS jest aktywne.
Certyfikat	Cyfrowy dokument tożsamości witryny, który potwierdza, że strona jest tym, za co się podaje, umożliwiając zaszyfrowane połączenia. Jak dowód osobisty witryny.
Nagłówki bezpieczeństwa	Instrukcje wysyłane przez Twoją witrynę do przeglądarki odwiedzającego, mówiące jej, by włączyła określone zabezpieczenia.
SPF / DKIM / DMARC	Trzy komplementarne standardy uwierzytelniania poczty, które razem zapobiegają wysyłaniu wiadomości w imieniu Twojej domeny przez nieuprawnione strony.
WAF (Web Application Firewall)	Warstwa ochronna ustawiona przed Twoją witryną, która filtruje złośliwy ruch zanim dotrze do aplikacji.
Powierzchnia ataku	Suma punktów, w których nieuprawniony użytkownik mógłby próbować wejść do systemów lub wyciągnąć z nich dane.
Podatność	Słabość w systemie, którą napastnik mógłby wykorzystać do uzyskania nieuprawnionego dostępu lub spowodowania szkody.
Szyfrowanie w tranzycie	Ochrona danych w trakcie ich przemieszczania się między dwoma punktami (np. przeglądarką klienta a serwerem), zapewniająca, że nie będą czytelne w przypadku przechwycenia.
Transfer strefy (AXFR)	Mechanizm DNS służący do kopiowania rekordów między serwerami. Jeżeli nieograniczony, każdy może pobrać kompletną mapę DNS.
Wyciek informacyjny	Sytuacja, w której system niezamierzenie ujawnia szczegóły wewnętrzne (wersje technologii, ścieżki plików, konfiguracje), pomagające napastnikowi zaplanować atak.
Remediacja	Proces naprawiania lub łagodzenia ustalenia bezpieczeństwa w celu redukcji ryzyka do poziomu akceptowalnego.
Ocena nieinwazyjna	Ewaluacja bezpieczeństwa, która obserwuje i analizuje, ale nie próbuje eksploatować, penetrować ani zakłócać systemów docelowych.
Postawa bezpieczeństwa	Ogólny stan ochrony cybernetycznej organizacji — wynik dojrzałości procesów, narzędzi, zespołu i kontrolek technicznych.
Third-party risk assessment	Proces oceny bezpieczeństwa dostawcy, partnera lub kontrahenta przed nawiązaniem lub odnowieniem relacji handlowej.
EASM (External Attack Surface Management)	Ciągłe monitorowanie zewnętrznie widocznej powierzchni ataku organizacji, łącznie z wykrywaniem nowych eksponowanych zasobów.

— ZAŁĄCZNIK C

Karty szczegółowe ustaleń

Każde ustalenie referowane w Sekcji 6 ma odrzielną kartę w standardowym formacie, gotową do śledzenia w platformach GRC i systemach zarządzania zgłoszeniami. Poniżej zaprezentowano 5 reprezentatywnych kart — pełna lista 13 kart zostanie dodana w wersji finalnej raportu po wypełnieniu danymi klienta.

Krytyczne BF-001

Status: Otwarte

Wsparcie protokołów TLS legacy (TLS 1.0 / 1.1)

Motyw: Ochrona danych i integralność szyfrowania

Opis: Wybrane usługi dopuszczają negocjację protokołów TLS w wersjach 1.0 i 1.1, które zostały oficjalnie wycofane przez IETF (RFC 8996, marzec 2021) ze względu na znane słabości kryptograficzne, w tym podatność na ataki BEAST i POODLE.
Wpływ biznesowy: Sesje klientów na tych usługach mogą być teoretycznie poddane atakom downgrade, prowadzącym do przechwycenia wrażliwych danych — w tym poświadczeń, tokenów sesji i danych płatniczych. Naruszenie wprost wymogu PCI DSS 4.0 § 4.2.1, który nakazuje TLS 1.2 lub wyższe na wszystkich punktach końcowych przetwarzających dane kart.
Zasoby objęte: [N] zasobów (lista w Załączniku C Raportu Technicznego)
Mapowanie regulacyjne: PCI DSS 4.0 § 4.2.1 / RODO art. 32 / ISO 27001:2022 A.8.24
Rekomendacja: Wyłączenie protokołów TLS 1.0 i 1.1 w konfiguracji wszystkich serwisów. Egzekwowanie minimum TLS 1.2 z preferowanym TLS 1.3.

Wysiłek

Niski — zmiana konfiguracyjna serwerów Apache/Nginx/IIS

Koszt

Minimalny / wewnętrzny

Termin

[DD.MM.RRRR]

Właściciel: Lider Infrastruktury / DevOps

Karta 1 z 5

Wysokie BF-002

Status: Otwarte

Certyfikaty zbliżające się do wygaśnięcia

Motyw: Ochrona danych i integralność szyfrowania

Opis: Część certyfikatów TLS używanych w infrastrukturze klienta wygasa w ciągu najbliższych 30 dni. Brak procesu automatycznej rotacji (ACME / Let's Encrypt) zwiększa ryzyko ekspiracji bez ostrzeżenia.
Wpływ biznesowy: Wygasły certyfikat skutkuje ostrzeżeniem przeglądarki blokującym ruch klientów. W przypadku usług płatniczych — natychmiastowa utrata przychodów. W przypadku API — utrata integracji partnerskich.
Zasoby objęte: [N] certyfikatów
Mapowanie regulacyjne: PCI DSS 4.0 § 4.2.1 / RODO art. 32 / ISO 27001:2022 A.8.24
Rekomendacja: Odnowienie wygasających certyfikatów. Wdrożenie automatycznego zarządzania cyklem życia certyfikatów (np. cert-manager + ACME) z monitoringiem 60/30/14 dni przed wygaśnięciem.

Wysiłek

Niski — pojedyncza konfiguracja

Koszt

Minimalny

Termin

[DD.MM.RRRR]

Właściciel: Lider Infrastruktury

Karta 2 z 5

Wysokie BF-006

Status: Otwarte

Eksponowane interfejsy administracyjne

Motyw: Wyciek informacyjny i ekspozycja powierzchni ataku

Opis: Wykryto publicznie dostępne panele administracyjne (np. /wp-admin, /admin, /phpmyadmin) bez ograniczeń sieciowych. Część paneli ujawnia stack technologiczny przez stronę logowania.
Wpływ biznesowy: Eksponowane interfejsy administracyjne to atrakcyjny cel ataków słownikowych, credential stuffing i wykorzystania znanych podatności. Pojedynczy słaby login może oznaczać kompromitację całej infrastruktury.
Zasoby objęte: [N] panelii / [N] zasobów
Mapowanie regulacyjne: PCI DSS 4.0 § 1.3, § 8.6 / RODO art. 32 / NIS2 art. 21 ust. 2(d) / ISO 27001:2022 A.8.20
Rekomendacja: Ograniczenie dostępu do paneli administracyjnych przez allowlist IP, VPN korporacyjny lub bramę typu Bastion. Wymuszenie MFA dla kont administracyjnych. Rozważenie zmiany domyślnych ścieżek paneli (defense-in-depth).

Wysiłek

Niski–Średni — konfiguracja firewall + ewentualne wdrożenie VPN

Koszt

Minimalny–Niski

Termin

[DD.MM.RRRR]

Właściciel: CISO / Network Team

Karta 3 z 5

Wysokie BF-007

Status: Otwarte

Brak polityki DMARC w trybie egzekwującym

Motyw: Uwierzytelnienie poczty i ochrona marki

Opis: Domeny pocztowe organizacji posiadają rekord DMARC ustawiony w trybie p=none — wyłącznie obserwacyjnym, bez egzekwowania odrzucania wiadomości spoofowanych.
Wpływ biznesowy: Każdy może wysłać e-maila imienne wyglądającego, jakby pochodził z domeny organizacji. Dla klientów oznacza to ryzyko phishingu wykorzystującego markę. Dla organizacji — ryzyko reputacyjne i potencjalne kary regulacyjne.
Zasoby objęte: [N] domen
Mapowanie regulacyjne: NIS2 art. 21 ust. 2(g) / RODO art. 32 (pośrednio) / ISO 27001:2022 A.8.21
Rekomendacja: Etapowe przejście do trybu egzekwującego: p=none (monitoring 30 dni) → p=quarantine (monitoring 30 dni) → p=reject. Wdrożenie agregowanego raportowania (rua=) i analizy raportów.

Wysiłek

Średni — wymaga monitoringu raportów DMARC i koordynacji z dostawcami marketingowymi

Koszt

Niski (narzędzie analizy raportów)

Termin

[DD.MM.RRRR]

Właściciel: Mail Operations / Marketing

Karta 4 z 5

Średnie BF-011

Status: Otwarte

Brakujące nagłówki bezpieczeństwa HTTP

Motyw: Higiena bezpieczeństwa i kontrolki obronne

Opis: Aplikacje webowe nie zwracają kompletu nagłówków bezpieczeństwa: brak Content-Security-Policy, Strict-Transport-Security, X-Frame-Options, X-Content-Type-Options, Referrer-Policy.
Wpływ biznesowy: Brak nagłówków pozostawia użytkowników podatnymi na ataki typu XSS, clickjacking, MIME confusion i wycieki referrer'ów. Każdy z tych ataków może prowadzić do przejęcia sesji lub kradzieży danych.
Zasoby objęte: [N] aplikacji
Mapowanie regulacyjne: PCI DSS 4.0 § 6.5 / RODO art. 32 / ISO 27001:2022 A.8.26
Rekomendacja: Wdrożenie kompletu nagłówków bezpieczeństwa: HSTS (z preload), CSP (zaczynając od trybu Report-Only), X-Frame-Options: DENY, X-Content-Type-Options: nosniff, Referrer-Policy: strict-origin-when-cross-origin. Walidacja przez securityheaders.com.

Wysiłek

Średni — wymaga testów na środowisku stagingowym, szczególnie CSP

Koszt

Minimalny / wewnętrzny

Termin

[DD.MM.RRRR]

Właściciel: DevOps / Application Security

Karta 5 z 5

Uwaga dla odbiorcy: Format karty został zaprojektowany do bezpośredniego importu do większości platform GRC (np. ServiceNow GRC, Archer, OneTrust). Pola odpowiadają standardowym kolumnom rejestru ryzyk. W razie potrzeby Ragnar Shield dostarcza eksport CSV / JSON na żądanie.

— ZAŁĄCZNIK D

Odniesienie do raportu technicznego

Niniejszy Raport Biznesowy jest zaprojektowany do czytania niezależnie. Dla zespołów technicznych odpowiedzialnych za wdrożenie rekomendowanych działań dostępny jest komplementarny dokument.

Czym jest Raport Techniczny

Raport Techniczny (ref. [TECH-REF-2026-0429]) zawiera pełen materiał operacyjny niezbędny inżynierom do wdrożenia poprawek:

Pełny szczegół techniczny każdego ustalenia: hosty, porty, protokoły, konkretne błędy konfiguracji.
Surowy output narzędzi (nmap, httpx, nuclei, testssl) oraz zrzuty ekranu jako materiał dowodowy.
Krok po kroku rekomendacje remediacji wraz z przykładami konfiguracyjnymi.
Kompletny inwentarz zasobów z ustaleniami per host.
Szczegóły metodologii i konfiguracji narzędzi.

Komu dystrybuować

Raport Techniczny powinien być dystrybuowany do:

CISO — jako odpowiedzialny za remediację i orkiestracja działań.
Security Engineering / SOC — operacyjne wdrożenie poprawek bezpieczeństwa.
Infrastructure / DevOps — zmiany konfiguracji serwerów, sieci, certyfikatów.
Application Security — wdrożenie nagłówków, WAF, kontrolki aplikacyjne.

Raport Techniczny jest klasyfikowany na tym samym poziomie poufności co niniejszy dokument. Dystrybucja podlega tym samym zasadom (lista uprawnionych odbiorców, kontrola wersji, zabezpieczone kanały przekazywania).

Mapowanie sekcji

Sekcja Raportu Biznesowego	Odpowiednik w Raporcie Technicznym
Sekcja 5 — Mapa zasobów cyfrowych	Sekcja 5 — Asset inventory & exposure overview
Sekcja 6 — Ustalenia wg domeny ryzyka	Sekcja 6 — Detailed findings (ze szczegółem technicznym)
Załącznik C — Karty ustaleń	Sekcja 6 + Appendix C — Evidence index
Sekcja 9 — Mapa drogowa	Sekcja 8 — Recommendations & improvement plan
Załącznik A — Metodologia	Sekcja 3 — Methodology (rozszerzona, z parametrami narzędzi)

Koniec raportu

Ragnar Shield

AI CISO & Compliance Officer · ragnarshield.com · contact@ragnarshield.com

Stanbezpieczeństwacyfrowego

Klauzula poufności i dystrybucji

Dokument o ograniczonej dystrybucji

Lista uprawnionych odbiorców

Kontrola dokumentu

Spis treści

Załączniki

O niniejszym raporcie

Cel i odbiorcy

Zakres i granice oceny

Co zostało wykonane

Czego nie wykonywano

Jak czytać ten raport

Strategiczne podsumowanie ryzyka

Rozkład ustaleń wg poziomu ryzyka

Trzy wnioski dla zarządu

Top 3 ryzyk wymagających uwagi zarządu

Mapa drogowa remediacji w skrócie

Kluczowe metryki — pulpit zarządczy

Porównanie trendu względem poprzedniej oceny

Analiza wpływu biznesowego

Ekspozycja zagregowana — wymiar finansowy

Komentarz interpretacyjny

Mapa zasobów cyfrowych

5.1 Podsumowanie zasobów

5.2 Obserwacje dotyczące zarządzania zasobami

5.3 Różnorodność technologiczna

5.4 Ekspozycja w cyklu klient ↔ partner

Ustalenia wg domeny ryzyka biznesowego

Implikacje regulacyjne i zgodność

7.1 Macierz mapowania zgodności

7.2 Kluczowe obserwacje dotyczące zgodności

7.3 Materiał dowodowy dla audytu i rękojmi

Rozważania konkurencyjne i reputacyjne

8.1 Perspektywa ryzyka strony trzeciej

8.2 Benchmark branżowy

Mocne strony

Luki względem grupy porównawczej

8.3 Kwantyfikacja ryzyka reputacyjnego

Priorytety inwestycyjne i mapa drogowa

9.4 Podsumowanie inwestycji

Rekomendowana decyzja zarządu

Metodologia oceny

Ograniczenia metodologii

Słownik terminów

Karty szczegółowe ustaleń

Odniesienie do raportu technicznego

Czym jest Raport Techniczny

Komu dystrybuować

Mapowanie sekcji

Stan
bezpieczeństwa
cyfrowego