Z11/2026/ZO/BLZ. Świadczenie usługi w zakresie wykonania testów penetracyjnych infrastruktury sieciowej IT, OT ICS oraz IIoT realizowana w ramach projektu pn. "Cyberbezpieczne Wodociągi Wzmocnienie poziomu cyberbezpieczeństwa w Miejskich Wodociągach i Oczyszczalni sp. z o.o. w Grudziądzu”
Notice description
Powstaje w kontekście projektu:
KPOD.05.10-CW.01-0190/25 - \\wzmocnienie poziomu cyberbezpieczeństwa w miejsca w Miejskich Wodociągów i Oczyszczalnia sp. z o.o. w Grudziądzu
Przedmiotem zamówienia jest świadczenie usługi w zakresie wykonania testów penetracyjnych infrastruktury sieciowej IT, OT ICS oraz IIoT realizowana w ramach projektu pn. "Cyberbezpieczne Wodociągi Wzmocnienie poziomu cyberbezpieczeństwa w Miejskich Wodociągach i Oczyszczalni
sp. z o.o. w Grudziądzu” w celu oceny poprawności wdrożenia, ustawień oraz rzeczywistej efektywności mechanizmów ochronnych w obrębie środowiska sprzętowo-programowego. W szczególności ocena odporności na nieautoryzowane próby dostępu, możliwość nieuprawnionego podniesienia poziomu przywilejów oraz błędy w konfiguracji.
4. W ramach realizacji przedmiotu zamówienia Wykonawca zobowiązany jest do:
1) przeprowadzenia testów bezpieczeństwa infrastruktury zewnętrznej obejmujących co najmniej :
a) działania w ramach rozpoznania pasywnego (Passive Reconnaissance), w tym:
weryfikacji dostępnych publicznie baz danych, w szczególności baz wycieków danych,
przeprowadzenia zapytań z wykorzystaniem technik Google Hacking Database (GHDB),
identyfikacji subdomen, technologii, wtyczek oraz analizę certyfikatów SSL/TLS,
oceny poprawności konfiguracji usług dostępnych publicznie;
b) działania w ramach rozpoznania aktywnego (Active Reconnaissance), w tym:
skanowanie portów oraz identyfikację dostępnych usług sieciowych,
enumerację katalogów i plików w usługach webowych,
enumerację DNS, w tym analizę rekordów oraz identyfikację potencjalnych wektorów ataku,
weryfikację konfiguracji usług oraz mechanizmów zabezpieczeń,;
c) przeprowadzenia prób wykorzystania zidentyfikowanych podatności w kontrolowanych warunkach, w celu potwierdzenia ich wpływu na bezpieczeństwo oraz weryfikacji możliwości uzyskania nieautoryzowanego dostępu do zasobów Zamawiającego;
d) opracowania raportu końcowego zawierającego:
opis zidentyfikowanych podatności,
ich klasyfikację oraz ocenę poziomu ryzyka,
analizę potencjalnego wpływu na infrastrukturę Zamawiającego,
rekomendacje działań naprawczych i zabezpieczających;
2) przeprowadzenia testów bezpieczeństwa infrastruktury wewnętrznej w zakresie obejmującym, co najmniej:
a) enumerację sieci,
b) skanowanie portów oraz usług,
c) detekcję wersji wykorzystywanego oprogramowania,
d) enumerację usług katalogowych, plikowych, drukarek sieciowych, udostępnionych zasobów,
e) weryfikację poprawności konfiguracji usług,
f) identyfikację podatności,
g) dokumentację zidentyfikowanych podatności oraz przedstawienie rekomendacji w raporcie końcowym;
3) przeprowadzenia testów bezpieczeństwa sieci bezprzewodowych w zakresie obejmującym, co najmniej:
a) identyfikacji wszystkich sieci bezprzewodowych w infrastrukturze organizacji,
b) analizy stosowanej konfiguracji standardów szyfrowania wykorzystywanych sieci bezprzewodowych,
c) próby przełamania stosowanych zabezpieczeń,
d) weryfikacji, czy sieci Wi-Fi są odpowiednio odseparowana od zasobów sieci wewnętrznej,
e) dokumentacji zidentyfikowanych podatności oraz przedstawienie rekomendacji w raporcie końcowym;
4) opracowania raportu końcowego z przeprowadzonych testów bezpieczeństwa infrastruktury zawierającego:
a) listę wykrytych podatności,
b) szacunek poziomu związanego z nimi ryzyka,
c) praktyczne rekomendacje działań korygujących;
5. Kluczowe wymogi realizacji przedmiotu zamówienia:
1) Wykonawca zobowiązany jest zrealizować testy bezpieczeństwa infrastruktury zewnętrznej, wewnętrznej oraz sieci bezprzewodowych Zamawiającego, obejmujące w szczególności analizę podatności systemów, urządzeń sieciowych oraz usług dostępnych w sieci;
2) Wykonawca zobowiązany jest przeprowadzić testy penetracyjne infrastruktury IT przy użyciu metody testowania grey-box w docelowym środowisku pracy. Warunkiem rozpoczęcia realizacji przedmiotu zamówienia jest uzyskanie akceptacji Zamawiającego opracowanego przez Wykonawcę planu, harmonogramu oraz metodologii przeprowadzanych działań;
3) Wykonawca zobowiązany jest do wykorzystania specjalistycznych narzędzi przeznaczonych do identyfikacji podatności oraz prowadzenia testów penetracyjnych;
4) Wykonawca zobowiązany jest do zastosowania powyższych narzędzi w zakresie adekwatnym do charakterystyki infrastruktury Zamawiającego oraz przeprowadzanych testów;
5) Wykonawca zobowiązany jest opracować harmonogram realizacji przedmiotu zamówienia;
6) Wykonawca zobowiązany jest do zgłoszenia Zamawiającemu gotowości do obioru przedmiotu zamówienia co najmniej na 3 dni przed upływem terminu realizacji przedmiotu zamówienia.
Miejsce realizacji
Kraj: Polska, Województwo: kujawsko-pomorskie, Powiat: Grudziądz, Gmina: Grudziądz, Miejscowość: Grudziądz
KPOD.05.10-CW.01-0190/25 - \\wzmocnienie poziomu cyberbezpieczeństwa w miejsca w Miejskich Wodociągów i Oczyszczalnia sp. z o.o. w Grudziądzu
Przedmiotem zamówienia jest świadczenie usługi w zakresie wykonania testów penetracyjnych infrastruktury sieciowej IT, OT ICS oraz IIoT realizowana w ramach projektu pn. "Cyberbezpieczne Wodociągi Wzmocnienie poziomu cyberbezpieczeństwa w Miejskich Wodociągach i Oczyszczalni
sp. z o.o. w Grudziądzu” w celu oceny poprawności wdrożenia, ustawień oraz rzeczywistej efektywności mechanizmów ochronnych w obrębie środowiska sprzętowo-programowego. W szczególności ocena odporności na nieautoryzowane próby dostępu, możliwość nieuprawnionego podniesienia poziomu przywilejów oraz błędy w konfiguracji.
4. W ramach realizacji przedmiotu zamówienia Wykonawca zobowiązany jest do:
1) przeprowadzenia testów bezpieczeństwa infrastruktury zewnętrznej obejmujących co najmniej :
a) działania w ramach rozpoznania pasywnego (Passive Reconnaissance), w tym:
weryfikacji dostępnych publicznie baz danych, w szczególności baz wycieków danych,
przeprowadzenia zapytań z wykorzystaniem technik Google Hacking Database (GHDB),
identyfikacji subdomen, technologii, wtyczek oraz analizę certyfikatów SSL/TLS,
oceny poprawności konfiguracji usług dostępnych publicznie;
b) działania w ramach rozpoznania aktywnego (Active Reconnaissance), w tym:
skanowanie portów oraz identyfikację dostępnych usług sieciowych,
enumerację katalogów i plików w usługach webowych,
enumerację DNS, w tym analizę rekordów oraz identyfikację potencjalnych wektorów ataku,
weryfikację konfiguracji usług oraz mechanizmów zabezpieczeń,;
c) przeprowadzenia prób wykorzystania zidentyfikowanych podatności w kontrolowanych warunkach, w celu potwierdzenia ich wpływu na bezpieczeństwo oraz weryfikacji możliwości uzyskania nieautoryzowanego dostępu do zasobów Zamawiającego;
d) opracowania raportu końcowego zawierającego:
opis zidentyfikowanych podatności,
ich klasyfikację oraz ocenę poziomu ryzyka,
analizę potencjalnego wpływu na infrastrukturę Zamawiającego,
rekomendacje działań naprawczych i zabezpieczających;
2) przeprowadzenia testów bezpieczeństwa infrastruktury wewnętrznej w zakresie obejmującym, co najmniej:
a) enumerację sieci,
b) skanowanie portów oraz usług,
c) detekcję wersji wykorzystywanego oprogramowania,
d) enumerację usług katalogowych, plikowych, drukarek sieciowych, udostępnionych zasobów,
e) weryfikację poprawności konfiguracji usług,
f) identyfikację podatności,
g) dokumentację zidentyfikowanych podatności oraz przedstawienie rekomendacji w raporcie końcowym;
3) przeprowadzenia testów bezpieczeństwa sieci bezprzewodowych w zakresie obejmującym, co najmniej:
a) identyfikacji wszystkich sieci bezprzewodowych w infrastrukturze organizacji,
b) analizy stosowanej konfiguracji standardów szyfrowania wykorzystywanych sieci bezprzewodowych,
c) próby przełamania stosowanych zabezpieczeń,
d) weryfikacji, czy sieci Wi-Fi są odpowiednio odseparowana od zasobów sieci wewnętrznej,
e) dokumentacji zidentyfikowanych podatności oraz przedstawienie rekomendacji w raporcie końcowym;
4) opracowania raportu końcowego z przeprowadzonych testów bezpieczeństwa infrastruktury zawierającego:
a) listę wykrytych podatności,
b) szacunek poziomu związanego z nimi ryzyka,
c) praktyczne rekomendacje działań korygujących;
5. Kluczowe wymogi realizacji przedmiotu zamówienia:
1) Wykonawca zobowiązany jest zrealizować testy bezpieczeństwa infrastruktury zewnętrznej, wewnętrznej oraz sieci bezprzewodowych Zamawiającego, obejmujące w szczególności analizę podatności systemów, urządzeń sieciowych oraz usług dostępnych w sieci;
2) Wykonawca zobowiązany jest przeprowadzić testy penetracyjne infrastruktury IT przy użyciu metody testowania grey-box w docelowym środowisku pracy. Warunkiem rozpoczęcia realizacji przedmiotu zamówienia jest uzyskanie akceptacji Zamawiającego opracowanego przez Wykonawcę planu, harmonogramu oraz metodologii przeprowadzanych działań;
3) Wykonawca zobowiązany jest do wykorzystania specjalistycznych narzędzi przeznaczonych do identyfikacji podatności oraz prowadzenia testów penetracyjnych;
4) Wykonawca zobowiązany jest do zastosowania powyższych narzędzi w zakresie adekwatnym do charakterystyki infrastruktury Zamawiającego oraz przeprowadzanych testów;
5) Wykonawca zobowiązany jest opracować harmonogram realizacji przedmiotu zamówienia;
6) Wykonawca zobowiązany jest do zgłoszenia Zamawiającemu gotowości do obioru przedmiotu zamówienia co najmniej na 3 dni przed upływem terminu realizacji przedmiotu zamówienia.
Miejsce realizacji
Kraj: Polska, Województwo: kujawsko-pomorskie, Powiat: Grudziądz, Gmina: Grudziądz, Miejscowość: Grudziądz
Time limit for receipt of tenders
2026-06-08 08:00:00.0
Location
Kraj: Polska, Województwo: kujawsko-pomorskie, Powiat: Grudziądz, Gmina: Grudziądz, Miejscowość: Grudziądz
Category assortment
Maintenance and support
Buyer details
Miejskie Wodociągi i Oczyszczalnia sp. z o.o.
Mickiewicza 28
86-300 Grudziądz
Województwo: kujawsko-pomorskie
Kraj: Polska
NIP: 8761872491
Mickiewicza 28
86-300 Grudziądz
Województwo: kujawsko-pomorskie
Kraj: Polska
NIP: 8761872491
