+380996133328 [email protected]
ua
ua

Аудит безпеки банківських веб-, мобільних і API-систем

Клієнт:
Консалтингова компанія, що надає повний цикл послуг для виходу фармацевтичної та медичної продукції на ринки країн Євразії
Галузь:
Медицина
Фокус:
Захист конфіденційних даних та відповідність вимогам регуляторів і партнерів
Основний виклик:
Забезпечення відповідності вимогам інформаційної безпеки потенційного бізнес-партнера
Ринок:
країни Євразії
Надані послуги:
Black-box пентест вебресурсів та елементів інфраструктури
Ключові висновки
  • Забезпечено готовність до відповідності PCI DSS та ISO 27001
  • Запобігли DoS-атаці та пом’якшили критичні вразливості
  • Виконано Black-box пентест двох вебресурсів і елементів інфраструктури
    • 2
    тижні на виконання тестування
    19
    вразливостей виявлено
    100%
    цілей проєкту досягнуто
    Аудит безпеки банківських веб-, мобільних і API-систем
    Черв. 6, 2025
    14 хв
    Чи можливо підготувати цифрові активи міжнародної компанії до партнерських вимог всього за 2 тижні? Можливо! Консалтингова компанія замовила у Datami black-box пентест вебресурсів і інфраструктури. Наша команда виявила 19 вразливостей і надала ефективні рекомендації для підвищення рівня кіберзахисту.

    Клієнт — міжнародна компанія, що надає консалтингові послуги у сфері фармацевтики та медичних виробів. Вона супроводжує бренди на всіх етапах виходу на ринки Євразії — від регуляторної стратегії до сертифікації, маркетингу та локалізації.

    Оскільки діяльність відбувається у регульованій галузі та частково пов’язана з медичними даними, інформаційна безпека та відповідність вимогам партнерів і міжнародним стандартам є пріоритетом.

    Завдання та виклики
    Компанія звернулася до Datami для тестування безпеки у межах підготовки до стратегічного партнерства. Потенційний партнер висунув конкретні вимоги до інформаційної безпеки — це стало ключовою умовою співпраці.

    Проєкт мав на меті оцінити рівень захищеності публічних цифрових активів: вебресурсів з британським і українським доменами та пов’язаних елементів інфраструктури.
    • Провести Black-box penetration testing без доступу до вихідного коду чи внутрішніх систем
    • Ідентифікувати вразливості, визначити рівні критичності та можливі вектори атак
    • Підготувати структурований звіт із висновками та рекомендаціями щодо підвищення рівня безпеки
    icon
    Penetration testing
    Зовнішнє Black-box тестування вебресурсів і інфраструктури
    icon
    Ідентифікація загроз
    Аналіз ризиків на публічних доменах і цифрових сервісах
    icon
    Звіт і рекомендації
    Опис результатів та кроки для відповідності вимогам партнера
    Методологія Datami: Перевірка безпеки цифрової інфраструктури
    Наш підхід

    Ми застосували Black-box пентест — команда не мала попереднього доступу до коду чи систем, що дозволило змоделювати дії реального зловмисника.

    Перевірка охопила два вебресурси з українським і британським доменами та пов’язані елементи інфраструктури. 

    Ми поєднали ручні та автоматизовані методи, використали сучасні сканери та методи симуляції атак.

    Тестування проводилося в умовах обмеженої видимості, однак це не завадило виявити вразливості різного рівня — від конфігураційних помилок до технічних недоліків.

    Black-box
    Black-box
    Тестування виконано без доступу до внутрішньої інформації — лише з позиції зовнішнього користувача, максимально наближеної до реальних кіберзагроз.
    Основні етапи роботи та рішення

    Під час тестування команда Datami дотримувалася структурованого підходу, зосередженого на зовнішній перевірці без доступу до внутрішньої інформації. 

    Це забезпечило максимальну реалістичність і дало можливість перевірити стійкість системи до атак, забезпечивши відповідність вимогам партнера.

    • Підготовка
      Аналіз публічних ресурсів, уточнення зони охоплення, визначення пріоритетних напрямів тестування.
    • Проведення пентесту
      Зовнішнє Black-box тестування двох вебресурсів і пов’язаних компонентів інфраструктури. Поєднання автоматизованих сканерів і ручної перевірки.
    • Аналіз і звіт
      Формування звіту з описом знайдених вразливостей (1 High, 8 Medium, 7 Low, 3 Info) та рекомендаціями щодо їх усунення і посилення захисту.
    Кібербезпека починається з дії
    Як ми можемо вам допомогти?

    Кожне прикладне дослідження кібербезпеки, яке ми розв’язуємо, передбачає глибокий аналіз, індивідуальні рішення та результати, які можна вимірювати.
    Datami вже допомогла понад 600 компаніям посилити їхній цифровий захист — і ми можемо зробити те саме для вашого бізнесу.
    Готові діяти?

    Почнемо з безкоштовної консультації!
    Результати та рекомендації
    Менше критичних ризиків — більше впевненості
    Результати та рекомендації

    На початку проєкту цифрові ресурси клієнта мали підвищені ризики: знайдено застарілі компоненти CMS, які могли створювати потенційні вектори для атак. Публічна інфраструктура не мала достатнього захисту та контролю доступу.

    Під час Black-box пентесту команда Datami виявила 19 вразливостей: 1 високого рівня (ризик несанкціонованого доступу до адмінпанелі), 8 середніх і 7 низьких, а також 3 інформаційні.

    Клієнт отримав рекомендації для покращення безпеки:

    1. оновлення всіх CMS-компонентів до актуальних версій;
    2. впровадити додатковий контроль доступу до критичних зон;
    3. моніторинг налаштування журналювання подій;
    4. усунення вразливостей у плагінах та інфраструктурних конфігураціях.

    Після впровадження рекомендацій ризик атак суттєво знизився. Компанія уникнула потенційних репутаційних та фінансових втрат, пов’язаних із витоком конфіденційних даних.

    Проєкт було завершено за 2 тижні. Усі критичні вразливості клієнт усунув оперативно після отримання технічного звіту.

    Наші сертифікати
    Ключові висновки проєкту

    Цей кейс продемонстрував, як завдяки проєкту компанія отримала чітке розуміння стану кіберзахисту своїх цифрових ресурсів та конкретні кроки для усунення вразливостей і підвищення відповідності стандартам інформаційної безпеки.

    Тестування на проникнення дозволило підготуватися до відповідності партнерським вимогам без ризику витоку чутливих даних. Усі цілі проєкту були досягнуті в межах запланованого терміну.

    Напрям
    До проєкту
    Після впровадження
    Стан безпеки
    Високий ризик через застарілі CMS-компоненти та відсутність захисту
    Виявлено 19 вразливостей, надані рекомендації щодо усунення
    Критичні вразливості
    Ризик доступу до захищених зон вебресурсів
    Знайдено 1 критичну загрозу, яку клієнт оперативно виправив
    Компрометація акаунтів
    Потенційна через відкриті інтерфейси та слабкі налаштування
    Ризик знижено після обмеження доступів і оновлення систем
    Відповідність безпеці
    Часткова відповідність партнерським вимогам
    Посилено контроль доступу, розпочато реалізацію рекомендацій
    Більше історій успіху з Datami
    Перегляньте приклади інших проєктів
    Аутстаф-аудит безпеки мобільного додатку

    Аутстаф-аудит безпеки мобільного додатку

    • Знайдено небезпечні конфігурації та витоки даних
    • Підсилено безпеку перед запуском продукту
    Послуги:
    Лист. 20, 2025
    Аудит політик безпеки для фінтех-компанії

    Аудит політик безпеки для фінтех-компанії

    • Перевірено та оцінено 7 ключових політик кібербезпеки
    • Узгоджено регламенти з ISO 27001, DORA, GDPR та NBG
    Послуги:
    аудит політик безпеки та відповідності
    Лист. 20, 2025
    Перевірка безпеки медичної платформи DonorUA

    Перевірка безпеки медичної платформи DonorUA

    • Надано звіт з рекомендаціями для зміцнення захисту.
    • Підтверджено відсутність критичних загроз для безпеки.
    Послуги:
    Пентест вебдодатків (Black-box)
    Лист. 18, 2025
    Повернутися на головну сторінку
    Security image
    Готові оцінити безпеку вашого проєкту?
    Звертайтеся в Datami — ми допоможемо вам визначити ризики, посилити вашу кібербезпеку та впевнено пройти сертифікацію.
    Cтатті Datami
    Що таке розвинена тривала загроза (APT)? Олександр Філіпов – автор з кібербезпеки
    Олександр Філіпов – автор з кібербезпеки

    Що таке розвинена тривала загроза (APT)?

    Розвинені тривалі загрози (APT) – це складні кібератаки, під час яких зловмисник залишається в мережі непоміченим тривалий час. Що робити, щоб не стати жертвою APT-атаки?

    Груд. 2, 2025 15 хв.
    Сучасні фішингові кампанії використовують PDF-файли для атак Новини кібербезпеки від Datami
    Новини кібербезпеки від Datami

    Сучасні фішингові кампанії використовують PDF-файли для атак

    Фішингові кампанії нового покоління активно маскуються під відомі бренди, використовують легітимні функції Microsoft 365 і навіть вводять користувачів в оману за допомогою штучного інтелекту. У 2025 році компанії стикаються з хвилею витончених атак, які змінюють звичні правила гри в кібербезпеці.

    Лист. 24, 2025 3 хв.
    Програма-вимагач KillSec атакує охорону здоров'я Новини кібербезпеки від Datami
    Новини кібербезпеки від Datami

    Програма-вимагач KillSec атакує охорону здоров'я

    Хакерська група KillSec останнім часом активно атакує IT-системи галузі охорони здоров’я Латинської Америки та інших країн – зловмисники вже викрали десятки гігабайтів і майже 95 000 файлів.

    Лист. 18, 2025
    Показати всі статті
    Отримайте безкоштовну консультацію
    Надсилаючи цю форму, я підтверджую, що прочитав і погоджуюся з Політикою конфіденційності
    Ми цінуємо вашу конфіденційність
    Ми використовуємо файли cookie для забезпечення максимально зручного використання наших послуг, підготовки персональної реклами чи контенту, а також для аналізу нашого трафіку. Натискаючи "Прийняти все", ви погоджуєтесь на використання файлів cookie. Політика використання файлів cookie