TestArmy - Cybersecurity and Software Testing Services

Case Study: Comprehensive Audit of eCareMed platform We conducted a comprehensive audit and penetration tests of the strategic healthcare platform eCareMed, which serves 15 key medical facilities in the Silesian region. The system integrates regional hospitals and nationally significant institutions, such as the University Clinical Center named after Prof. K. Gibiński. The primary objective of the audit was to identify potential security vulnerabilities in the eCareMed platform and assess the associated risks while developing remediation recommendations. A key aspect was providing a clear recommendation regarding the system's readiness for production deployment and availability to end users. The platform consists of multiple components critical to ensuring the continuity of medical operations, including the Communication Server and the advanced network layer. Scope of work included: - Vulnerability and compliance audits (whitebox/blackbox) covering KRI, KSC, and WCAG 2.1 standards - Penetration testing of the network and authentication layers - Risk analysis (BIA, DPIA) and DRP planning - Functional and documentation compliance testing - Final report with recommendations The result? Enhanced security of critical infrastructure and protection of medical data. Read more about the details. Want to secure your system? Contact us! #Cybersecurity #PenetrationTesting #ITSecurity #MedicalDataProtection #SecurityAudit

Case Study: Kompleksowy audyt Śląskiej Cyfrowej Platformy Medycznej eCareMed  Przeprowadziliśmy kompleksowy audyt i testy penetracyjne Śląskiej Cyfrowej Platformy Medycznej eCareMed, obsługującej 15 kluczowych placówek medycznych w woj. śląskim. System integruje szpitale regionalne i instytucje o znaczeniu krajowym, takie jak Uniwersyteckie Centrum Kliniczne im. prof. K. Gibińskiego. Głównym celem audytu była identyfikacja potencjalnych luk w zabezpieczeniach platformy eCareMed oraz ocena zagrożeń, wraz z opracowaniem rekomendacji naprawczych. Kluczowym aspektem było wydanie jednoznacznej rekomendacji dotyczącej gotowości systemu do wdrożenia produkcyjnego i udostępnienia użytkownikom końcowym. Platforma składa się z wielu komponentów krytycznych dla zapewnienia ciągłości operacji medycznych, w tym Serwera Komunikacyjnego oraz zaawansowanej warstwy sieciowej. Zakres prac obejmował m.in.: - Audyt podatności (whitebox/blackbox) i zgodności (KRI, KSC, WCAG 2.1) - Testy penetracyjne warstwy sieciowej i uwierzytelniania - Analiza ryzyka (BIA, DPIA) i plany DRP - Testy funkcjonalne i zgodności z dokumentacją - Raport końcowy z rekomendacjami Efekt?  Wzmocnienie bezpieczeństwa infrastruktury krytycznej i ochrona danych medycznych. Przeczytaj o szczegółach. Chcesz zabezpieczyć swój system? Skontaktuj się z nami! #Cyberbezpieczeństwo #TestyPenetracyjne #BezpieczeństwoIT #OchronaDanychMedycznych #AudytBezpieczeństwa

💡Przypominajka: W ramach #CyberAdwent -seniorzy juniorom" sesja 🖥️📱Michał Żaczek - "Oops!... I Did It Again - czyli Security Misconfiguration w akcji!" 📅 15 grudnia 2024, godzina 18:00 📍 Google Meet - link do spotkania -> https://lnkd.in/dmRyXy5H

🔒 The EU's new cybersecurity rules take effect on December 10, 2024, reshaping how businesses secure critical infrastructure and handle cyber risks. Is your company ready for the shift? 💡The Act will establish: - unified regulations for launching products and software with digital components on the market. - a comprehensive cybersecurity framework that sets requirements for planning, designing, developing, and maintaining these products, ensuring compliance at every stage of the value chain. - a lifecycle duty of care, mandating cybersecurity obligations throughout the entire lifespan of such products. In practical terms, manufacturers will need to ensure their products meet these standards to be placed on the EU market by 2027. Compliant products will display the CE marking, signifying adherence to the new rules. By prioritizing cybersecurity, manufacturers and retailers will empower customers and businesses to make more informed and secure decisions. 👉https://lnkd.in/dBkMwchx #Cybersecurity

W #cybersecurity często spotykamy się z określeniami takimi jak Gray Hat i Black Hat, które opisują różne podejścia do działań w cyberprzestrzeni. Co oznaczają te terminy i jak firmy mogą się przed nimi chronić?  🔹Black Hat Hacker Kim jest? To cyberprzestępca, który wykorzystuje swoje umiejętności, aby nielegalnie uzyskiwać dostęp do systemów, danych lub sieci. Ich celem jest najczęściej kradzież, sabotaż, wyłudzanie danych (phishing) lub wymuszenia finansowe (ransomware). Przykład działań: • taki ransomware, które szyfrują dane i żądają okupu • wykradanie poufnych informacji, np. danych klientów. ________________________________________ 🔹Gray Hat Hacker Kim jest? To osoba balansująca między dobrymi a złymi intencjami. Gray Hat może włamywać się do systemów bez zgody właściciela, ale niekoniecznie w celu wyrządzenia szkody. Często robią to, aby zwrócić uwagę na luki w zabezpieczeniach – czasem oferując ich naprawienie za opłatą. Przykład działań: • zgłoszenie znalezionych luk bezpieczeństwa firmie, ale bez wcześniejszej autoryzacji działań • wykorzystywanie zdobytych danych do celów niezgodnych z etyką, choć bez intencji przestępczych ________________________________________ 👉Jak firmy mogą się przed tym chronić? 1. Regularne audyty bezpieczeństwa 🔍 Zleć przegląd systemów specjalistom (White Hat Hackerom) lub wewnętrznemu zespołowi IT. 2. Aktualizacje systemów i oprogramowania 🔄 Upewnij się, że wszystkie aplikacje i systemy są na bieżąco aktualizowane, aby zamknąć potencjalne luki. 3. Monitorowanie sieci i systemów 📡 Wdroż systemy monitoringu (SIEM) oraz detekcji zagrożeń, aby wykrywać podejrzane aktywności w czasie rzeczywistym. 4. Szkolenia pracowników 👩💻👨💻 Pracownicy są pierwszą linią obrony – regularnie ucz ich, jak rozpoznawać phishing i inne zagrożenia. 5. Polityka bezpieczeństwa informacji 📜 Stwórz jasne procedury dotyczące zarządzania danymi i dostępem do systemów. 6. Współpraca z ekspertami 🤝 Skorzystaj z usług firm specjalizujących się w cybersecurity, takich jak testy penetracyjne czy reagowanie na incydenty. #cybersecurity #bezpieczeństwo #ITsecurity

📢A, w poniedziałek, możemy się pochwalić kolejną, dobrą wiadomością :) Nasz pracownik działu cyberbezpieczeństwa Tomasz Kowalcze uzyskał prestiżowy certyfikat #eWPTX - Web Application Penetration Tester eXtreme. 👉Certyfikat ten potwierdza zaawansowane umiejętności w zakresie testów penetracyjnych aplikacji webowych, w tym identyfikacji i eksploatacji złożonych podatności. Serdecznie gratulujemy Tomkowi tego osiągnięcia i życzymy dalszego rozwoju👏 ENG: We’re thrilled to share some fantastic news! Our team member Tomasz Kowalcze has earned the prestigious #eWPTX - Web Application Penetration Tester eXtreme certification. This certificate validates advanced skills in web application penetration testing, including identifying and exploiting complex vulnerabilities. Huge congratulations to Tomek on this achievement, and we wish him continued success 👏 #testarmyteam #cybersecurity #certificate #ewptx

🔎Nasz dział #cyberbezpieczeństwa był na konferencji #OnMyHack2024. Przeczytaj, co nasza pentesterka Olha Zozulia myśli o tym wydarzeniu. 👉"26 listopada 2024 roku miałam przyjemność uczestniczyć w konferencji Oh My Hack (OMH) na PGE Narodowym w Warszawie. Było to wydarzenie, na które czekałam od miesięcy, i muszę przyznać – spełniło wszystkie moje oczekiwania. #OMH to jedno z największych wydarzeń związanych z cyberbezpieczeństwem w Polsce. To nie tylko miejsce spotkań ekspertów, ale też przestrzeń wymiany wiedzy, doświadczeń i najlepszych praktyk w dziedzinie ochrony cyfrowej. 🛡Co tam było? Konferencja przyciągnęła wielu wybitnych prelegentów, a agenda była pełna różnorodnych tematów – od technicznych wykładów, przez warsztaty, aż po prezentacje o charakterze strategicznym. Jednym z najbardziej inspirujących mówców był gen. dyw. Karol Molenda, który opowiadał o aktualnych wyzwaniach stojących przed Wojskami Obrony Cyberprzestrzeni. Jego wystąpienie nie tylko dostarczyło ciekawych danych, ale również pozwoliło spojrzeć na kwestie cyberbezpieczeństwa z perspektywy narodowego bezpieczeństwa. Szczególną uwagę przyciągnęły również sesje prowadzone przez ekspertów z Zaufanej Trzeciej Strony, w tym Adama Haertle, który był odpowiedzialny za merytoryczne przygotowanie konferencji. Jego zaangażowanie było widoczne w wysokiej jakości prelekcji, które poruszały zarówno zaawansowane technicznie aspekty, jak i bardziej ogólne, strategiczne spojrzenie na bezpieczeństwo cyfrowe. 🔎Co szczególnie mi się spodobało? Najbardziej przypadły mi do gustu warsztaty praktyczne. Możliwość analizowania rzeczywistych incydentów i poznawania narzędzi używanych przez najlepszych w branży była dla mnie nieoceniona. Podobały mi się również dyskusje panelowe, które dotyczyły m.in. przyszłości ochrony danych w kontekście rozwijającej się sztucznej inteligencji. To właśnie podczas tych rozmów poczułam, że konferencja nie tylko odpowiada na bieżące wyzwania, ale też przygotowuje nas na to, co dopiero nadejdzie. Jakie korzyści wyniosłam? Po konferencji czuję, że moja wiedza z zakresu cyberbezpieczeństwa wzbogaciła się o wiele praktycznych wskazówek i nowoczesnych rozwiązań, które mogę zastosować w swojej pracy. Bardzo cenne były dla mnie kontakty nawiązane w kuluarach – możliwość rozmowy z ekspertami i innymi uczestnikami dała mi nową perspektywę na wiele tematów. Dla mnie Oh My Hack 2024 było wyjątkowym wydarzeniem – świetnie zorganizowanym, merytorycznym i inspirującym. Każdy element, od prelekcji po networking, był dopracowany w najmniejszych szczegółach. Wyjechałam stamtąd z nowymi pomysłami, większą wiedzą i ogromną motywacją do dalszego działania w branży" #cybersecurity #ohmyhack2024

💡Zapraszamy na ciekawą prelekcję naszego pracownika Michała, Senior Penetration Testera 🖥️📱Michał Żaczek, a po godzinach zapalonego gracza platformy HTB z drużyną AlphaPwners :) Michał podzieli się swoją wiedzą w ramach projektu #CyberAdwent - seniorzy juniorom", który jest organizowany przez opensource'owy projekt Not The Hidden Wiki. Tytuł jego sesji, "Oops!... I Did It Again - czyli Security Misconfiguration w akcji!", ciekawy temat będzie się działo! 🔍 Podczas wystąpienia Michał spróbuje znaleźć odpowiedzi na pytania takie jak: 🔹Dlaczego na produkcji nie powinno się zostawiać endpointów diagnostycznych? 🔹Dlaczego należy pamiętać, co zostało włączone w aplikacji wdrażając ją na produkcję? 🔹Dlaczego chmurowe rozwiązania są domyślnie bezpieczne, choć Twoja konfiguracja niekoniecznie? 👨💻 Wszystko to bazując na przykładach z realnych pentestów. 📅 Kiedy? 15 grudnia 2024, godzina 18:00 📍 Gdzie? Google Meet - Link do spotkania -> https://lnkd.in/dmRyXy5H 💡O projekcie: 1 grudnia wystartowała inicjatywa „Cyber Adwent: Seniorzy Juniorom”. Prelegenci będą dzielić się swoją wiedzą aż do Wigilii Bożego Narodzenia. Możliwość oglądania prezentacji jest darmowa i dostępna dla każdego. Więcej szczegółów na profilu https://lnkd.in/dfSeW_Vj #Cybersecurity #Penetrationtesting #cyberadwent

💡W październiku zaprezentowano drugą wersję projektu nowelizacji Ustawy o Krajowym Systemie Cyberbezpieczeństwa, która wdraża do polskiego porządku prawnego dyrektywę unijną #NIS2. Nowa propozycja uwzględnia wiele uwag zgłoszonych podczas konsultacji publicznych oraz uzgodnień międzyresortowych, co świadczy o otwartości procesu legislacyjnego i zaangażowaniu wielu stron. Pełny tekst projektu, jest dostępny na stronie internetowej Biuletynu Informacji Publicznej Ministerstwa Cyfryzacji pod adresem: 👉https://lnkd.in/d_iNaKP5 #NIS2 #zarzadzanieryzykiem

📢 DORA Regulation: A New Direction for Cybersecurity in the Financial Sector! Did you know that the DORA Regulation (Digital Operational Resilience Act) is a key element of the European Union's strategy to regulate and strengthen the digital resilience of the financial sector? We’ve published a blog article that answers key questions: 🔹 What is DORA, and which entities does it cover? 🔹 What obligations does it impose on financial institutions? 🔹 How can you prepare for the upcoming changes? 𝐈𝐟 𝐲𝐨𝐮𝐫 𝐨𝐫𝐠𝐚𝐧𝐢𝐳𝐚𝐭𝐢𝐨𝐧 𝐢𝐬 𝐜𝐨𝐯𝐞𝐫𝐞𝐝 𝐛𝐲 𝐭𝐡𝐞 𝐧𝐞𝐰 𝐫𝐞𝐠𝐮𝐥𝐚𝐭𝐢𝐨𝐧, 𝐜𝐨𝐧𝐭𝐚𝐜𝐭 𝐮𝐬 𝐭𝐨: 🔹 Precisely identify the obligations imposed by the new EU law. 🔹 Detect gaps between your current policies and practices and DORA requirements. 🔹 Discuss solutions to meet the DORA standards. 🔹 Select services that best fit your company’s needs. Through our collaboration, you can achieve compliance with the new EU law governing cybersecurity in the financial sector. We can help you manage risks—both your own and third-party risks—report and handle incidents, conduct resilience testing, and share threat intelligence effectively. 👉 Read the article and learn how to align your company’s operations with the new standards. #Cybersecurity #Finance #DORA #Regulation #DigitalResilience #EU