Kiek kainuoja pentest Lietuvoje 2026

2026-04-25 · Rinkos analizė

Kodėl į šį klausimą sunku rasti atsakymą

Klausimas „kiek kainuoja pentest" Lietuvoje skamba paprastai, bet rinkoje vieno aiškaus skaičiaus nerasite. Iš maždaug dvidešimties Lietuvoje veikiančių įsilaužimo testavimo paslaugų teikėjų tik kelios įmonės savo svetainėse užsimena apie orientacinę pradinę kainą („nuo X EUR" arba parametrinė skaičiuoklė), tačiau nė vienu atveju nedetalizuoja, kokios apimties paslauga už tą sumą bus atlikta. Likusieji atsako tik gavę užklausą, ir dažnai pirmas pasiūlymas yra individualus.

Tuo tarpu organizacijos, kurios pirmą kartą galvoja apie saugumo testavimą, neturi orientyrų ir gauna pasiūlymus, kurių sumos skiriasi 5-10 kartų. Taip palyginti pasiūlymus tarpusavyje tampa beveik neįmanoma.

Šio straipsnio tikslas: pateikti konkrečiais pirkimų atvejais ir sąnaudų skaičiavimais paremtus kainos diapazonus. Pirmas šaltinis — Lietuvos viešųjų pirkimų duomenys (viesiejipirkimai.lt naujasis portalas nuo 2024 m. ir TED.europa.eu): šeši atvejai su paskelbtomis vertėmis, kuriuose matomos tikslios apimtys (nuo vienos web aplikacijos iki aštuonių informacinių sistemų), reikalaujami komandos sertifikatai ir trukmė. Antras šaltinis — privati rinka: 21 tiekėjo svetainių apžvalga ir darbo užmokesčio bazė, iš kurios išvedamas testuotojo darbo kaštas ir dienos norma. Trečias šaltinis — palyginimas su Vokietijos, Lenkijos ir JAV rinkomis su PPP koregavimu.

Pirmiausia: ką iš tikrųjų reiškia „pentest"

Prieš lyginant kainas, reikia atskirti tris paslaugas, kurios viešai dažnai vadinamos vienu žodžiu, bet kainuoja skirtingai ir duoda skirtingą rezultatą.

Pažeidžiamumų įvertinimas (angl. vulnerability assessment) — tai procesas, skirtas IT infrastruktūros, tinklų, aplikacijų ir sistemų pažeidžiamumams aptikti ir įvertinti. Jis gali būti atliekamas automatiniu arba pusiau automatiniu būdu, pasitelkiant specializuotus įrankius, o jo rezultatai pateikiami ataskaitoje kartu su ekspertų vertinimu ir kritinių problemų prioritetizavimu. Šis metodas organizacijose taikomas dažnai, nes leidžia greitai ir efektyviai nustatyti didelę dalį pažeidžiamumų santykinai mažomis sąnaudomis. Tačiau toks vertinimas dažniausiai pateikia prielaidą apie galimus pažeidžiamumus ar atakos vektorius. Ar jie realiai išnaudojami praktikoje ir kaip tokiu atveju veikia apsaugos priemonės — parodo įsibrovimo testavimas.

Įsibrovimo testavimas (angl. penetration testing) — tai saugumo testavimo procesas, kurio metu kibernetinio saugumo specialistai praktiškai bando išnaudoti pažeidžiamumus ir atakos vektorius, siekdami įvertinti, kaip realūs grėsmių veikėjai galėtų pažeisti sistemos saugumą, gauti neteisėtą prieigą ar pasiekti jautrią informaciją. Šio proceso tikslas yra ne tik identifikuoti spragas, bet ir patvirtinti jų realų išnaudojamumą, įvertinti galimą poveikį bei nustatyti tikėtinus atakos scenarijus. Dažniausiai tai yra projektinis, užsakomasis darbas, atliekamas periodiškai (pavyzdžiui, kartą per metus arba po reikšmingų sistemų pakeitimų). Testavimą paprastai atlieka vidiniai arba išoriniai kibernetinio saugumo ekspertai, vadovaudamiesi pripažintomis metodikomis ir gerosiomis praktikomis (OWASP WSTG, PTES ar NIST SP 800-115).

IT auditas — tai kompleksinis organizacijos informacinių technologijų aplinkos vertinimas, apimantis ne tik techninį saugumo būklės patikrinimą, įskaitant pažeidžiamumų analizę, bet ir procesų, politikų, valdymo priemonių, rizikų valdymo bei atitikties teisės aktams ir standartams vertinimą. Audito metu paprastai peržiūrima dokumentacija, vertinamos taikomos saugumo procedūros, analizuojama organizacijos pasirengimo incidentams ir veiklos tęstinumui būklė, o rezultatas pateikiamas išsamioje ataskaitoje su nustatytais neatitikimais, rekomendacijomis, šalinimo planu ir atsakomybėmis. Dėl šios priežasties, susitarus dėl IT audito, paprastai tikimasi visapusiško vertinimo, o ne vien techninių spragų sąrašo.

Kai kalbame apie kainą, pirmiausia svarbu suprasti, kuris iš šių trijų paslaugos tipų slypi po pavadinimu. Pažeidžiamumų įvertinimas dažnai kainuoja kelis kartus mažiau už įsibrovimo testavimą, bet ir duoda mažiau konkretumo apie realią riziką. IT auditas, savo ruožtu, gali kainuoti panašiai ar net daugiau už pentest, bet apima visiškai kitokį darbą — daugiau dokumentų, interviu ir procesų vertinimo nei techninio testavimo. Praktikoje šie pavadinimai dažnai painiojami: dalis tiekėjų viešina paslaugą kaip „pentest", o iš tiesų atlieka audito tipo darbą, ir atvirkščiai. Pavyzdys viešajame sektoriuje: AB „Via Lietuva" 2024 m. pirkimas pavadinime turi „pažeidžiamumų vertinimą", tačiau techninėje specifikacijoje dominuoja audito ir rizikos vertinimo darbai, o komandai reikalingi PMP plius CISA/CISM/CISSP sertifikatai, ne CEH ar OSCP.

Lietuvos viešasis sektorius: kiek mokėjo valstybė

Naujasis viešųjų pirkimų portalas viesiejipirkimai.lt nuo 2024 m. agreguoja visus LT pirkimus, įskaitant „skelbimus apie sutarties skyrimą" su laimėjusia kaina. Tai radikaliai pagerino kainos skaidrumą — anksčiau dauguma pirkimų vertes paskelbdavo tik dalinai. Pagal portalo išplėstinę paiešką pavadinime ieškant „įsilaužim", „pažeidžiam" ir „atsparum" 2024-2026 m. laikotarpiu rasta apie 100 pirkimų. Iš jų šeši atvejai turi paskelbtas vertes, leidžiančias matyti kainos struktūrą.

Skuodo rajono savivaldybė (2025-07): „Laidojimo duomenų informacinės sistemos žiniatinklio testavimo ir saugumo vertinimo paslaugos", 2 479 EUR numatoma maksimali vertė be PVM, 2 mėnesiai. Apimtis: 1 web aplikacija, blackbox išorinis testas, 2 automatiniai skeneriai, OWASP Top 10, BDAR + PCI DSS atitiktis, retest. Komandos sertifikatai nereikalaujami — užtenka „kvalifikuoto specialisto" [1].

VšĮ Jonavos ligoninė (2026-04): „Įsilaužimų ir saugumo testavimas", 7 920 EUR be PVM (numatoma buvo 16 240 EUR — kainos kritimas 51 %, didžiausias šiame sąraše), 2 mėnesiai. Apimtis: 2 sistemos diegiamos 3 ligoninėse (Jonavos, Biržų, Kretingos) — Android planšetinė aplikacija biometriniams parašams (testuojama pagal OWASP MASVS) ir DI konsultanto sistema su paciento sąsaja bei realaus laiko vertimo personalo įrankiu (testuojama pagal OWASP Top 10 for LLM), Grey Box metodu. Pirkimas yra dalis ES finansuojamo DI ir e-sutikimų projekto trims regioninėms ligoninėms. Komandos kvalifikacijos reikalavimai aiškiai netaikomi (mažos vertės apklausa) — tai paaiškina rekordinį kainos kritimą [2].

LR Finansų ministerija (2026-02): „Strateginio valdymo informacinės sistemos (SVIS) atsparumo įsilaužimui testavimo paslaugos", 9 438 EUR be PVM (lubinė kaina pirkimo sąlygose 15 000 EUR — kainos kritimas 37 %), terminas iki 2026-04-30 nuo sutarties pasirašymo 2026-02-11. Apimtis: viena IS — viešai veikianti SVIS versija; black-box principu (testuotojas veikia kaip eilinis interneto naudotojas); rankinis ir automatizuotas testavimas pagal OWASP Testing Guide, OWASP API Security Top-10 ir OWASP ASVS; vertinama atsparumas DoS/DDoS atakoms, slaptažodžių auditas, neautorizuotos prieigos kontrolė. Du etapai: pradinis testavimas plius pakartotinis testavimas po spragų ištaisymo. Komandai reikalingi 3 specialistai su PMP/Prince2 (projekto vadovas), CEH (pažeidžiamumo ekspertas) ir CISSP/CISM (saugos valdymo ekspertas) sertifikatais; plius privaloma „Nacionalinio saugumo reikalavimų atitikties deklaracija". ES finansuojama (projektas „SVIS plėtra") [3].

AB „Via Lietuva" (2024-10): „Informacinių išteklių rizikų, saugumo atitikties bei pažeidžiamumų vertinimas", 14 580 EUR be PVM, 12 mėnesių. Apimtis plati: 2 valstybinės reikšmės informacinės sistemos (EIS, KTVIS) su 11 modulių, bet techninėje specifikacijoje dominuoja audito ir rizikos vertinimo darbai (BVPŽ 72225000), o ne grynas pentest. Komandai reikalingi PMP/PRINCE 2 + CISA/CISM/CISSP sertifikatai. Laimėjo „Baltic Amadeus" su 30 % subranga MB „Konrema" [4].

Valstybinė ligonių kasa (2026-01): „Įsilaužimų testavimo ir pažeidžiamumų skenavimo paslaugos", 21 780 EUR be PVM, 4 mėnesiai. Apimtis didžiausia šiame sąraše: 8 informacinės sistemos (SVEIDRA, DPSDR, FVAIS, EVIS, EDMIS, iDrug, DPLSA, DVS) plius vidaus administravimo IS, išorinis perimetras su DoS testais, vidinis perimetras, rankinis web/API testavimas (SQLi, XSS, autorizacija). Komandai reikalingi 4 specialistai: PM, CEH (technologinio pažeidžiamumo ekspertas), CISA/CISM (informacijos saugumo ekspertas), CRISC/CISSP (rizikos vertinimo ekspertas). Sutartis sudaryta 2026-01-13 su UAB NRD CS, be subrangos. Konkurse dalyvavo 4 tiekėjai [5].

Diapazonas tarp pigiausio ir brangiausio pirkimo: nuo 2 479 EUR (Skuodo savivaldybės viena web aplikacija) iki 21 780 EUR (VLK aštuonių IS pentest) — apie 9 kartus. Skirtumą paaiškina apimtis ir komandos sertifikavimo lygis. Iš dviejų atvejų, kur žinoma ir komandos sudėtis, išvedamos dienos normos: VLK ~620-870 EUR per darbo dieną (4 specialistai, 25-35 darbo dienos), Via Lietuva ~290-490 EUR per darbo dieną (audito profilis be techninio offensive komponento).

Naujausia rinkos veikla: NIS2 efektas matomas

Be šešių atvejų su žinomomis vertėmis, viesiejipirkimai.lt portalas atskleidžia dar dešimtis 2025-2026 m. pirkimų be paskelbtų sumų. Pagrindiniai aktyvūs pirkėjai pagal sektorius:

Centrinės valstybinės institucijos: Valstybinė mokesčių inspekcija (mokesčių apskaitos IS pentest, 9 075 EUR), Aplinkos projektų valdymo agentūra (AIVIKS), Vilniaus universitetas (duomenų saugos atitikties + pažeidžiamumų vertinimas).
Sveikatos sektorius: Lietuvos sveikatos mokslų universiteto Kauno klinikos (atsparumo įsilaužimui patikrinimas), Nacionalinis visuomenės sveikatos centras (užkrečiamųjų ligų sistemos pentest).
Energetika ir kritinė infrastruktūra: AB Klaipėdos vanduo (OT pažeidžiamumų skenavimas), AB EPSO-G (web aplikacijų DAST platformos pirkimas), LITGRID (kritinės infrastruktūros IDS sensorių licencijos), AB „Amber Grid" (saugumo audito ir pentest CS rinkos konsultacija).
Centralizuoti pirkimai: CPO LT (VIISP komponentų pažeidžiamumų testavimas), Vilniaus miesto savivaldybės administracija (centralizuoto skenavimo sprendimo konsultacija).

Pastebimas dėsningumas: nuo 2024 m. spalio 18 d., kai įsigaliojo atnaujintas Kibernetinio saugumo įstatymas (perkeliantis NIS2 direktyvą), padaugėjo pirkimų ne tik tarp didžiųjų valstybės įmonių, bet ir tarp regioninių organizacijų — Jonavos ligoninės, Skuodo savivaldybės, vidutinio dydžio sveikatos centrų. NIS2 prievolės nebepakanka centrinių institucijų — pasiekė rajono lygį.

Kas lemia kainą viešajame sektoriuje

Iš šešių atvejų matyti penki pagrindiniai kaštus formuojantys veiksniai:

Apimtis (lemiama). Vienos informacinės sistemos pentest pradeda nuo 7 920 EUR (Jonava) arba 9 075-9 438 EUR (VMI, LR FM SVIS). Aštuonių IS rankinis pentest su DoS testais ir SQLi — 21 780 EUR (VLK). Skirtumas 2-3 kartus, nors abu yra „pentest" pagal pavadinimą.
Sertifikavimo lygis komandai (didžiausias kainos diferenciatorius). Jonavos ligoninei pirkimo dokumentuose aiškiai parašyta „kvalifikacijos reikalavimai netaikomi" — rezultate kainos kritimas 51 % nuo numatomos vertės dėl labai plataus tiekėjų rato. Skuodo savivaldybei pakanka „kvalifikuoto specialisto" be konkretaus sertifikato. Via Lietuvai reikia PMP plius CISA/CISM/CISSP (audito profilis). VLK reikia CEH (offensive), CISA/CISM (auditui) ir CRISC/CISSP (rizikai) — keturi specialistai. Kiekvienas papildomas sertifikato reikalavimas siaurina tiekėjų ratą ir kelia kainą.
Sektorius ir nacionalinio saugumo statusas. LR Finansų ministerijos pirkime privaloma „Nacionalinio saugumo reikalavimų atitikties deklaracija" — į konkursą patenka tik tiekėjai, atitinkantys VPĮ 92 str. reikalavimus dėl rizikingų valstybių. VLK kaip NIS2 „svarbus subjektas" turi papildomų reikalavimų. Mažos savivaldybės (Skuodas, Jonava) priešingai — kvalifikacijos slenkstis minimalus.
Konkurso struktūra ir kainos kritimas. Apklausos formato pirkimai be sertifikatų reikalavimų nukrenta 30-50 % nuo numatomos vertės dėl konkurencijos: Jonava (be kvalifikacijos) nukrito 51 % (16 240 EUR → 7 920 EUR), LR FM — 37 % (15 000 EUR → 9 438 EUR). Kuo aukštesnis kvalifikacijos slenkstis, tuo mažesnis kainos kritimas. Realistinis biudžetavimas turi įvertinti šį dėsningumą.

Kitaip tariant: viešojo sektoriaus kainos nėra „brangios" arba „pigios" pačios savaime — jos atspindi konkrečią apimties, reikalavimų ir konkurencijos kombinaciją. Identišku reikalavimu privati įmonė gautų panašaus dydžio pasiūlymą iš tų pačių tiekėjų. Skirtumas yra ne kaina, o struktūra: viešajame sektoriuje pridedami formalūs konkurso, dokumentavimo ir atskaitomybės sluoksniai, kurie privačiame kontrakte dažnai supaprastinti.

Tendencija: 2024 m. spalio 18 d. įsigaliojo atnaujintas Kibernetinio saugumo įstatymas, perkeliantis NIS2 direktyvos reikalavimus. Tai reiškia: žymiai daugiau organizacijų privalės reguliariai testuoti savo sistemas. Tikėtinas pirkimų bumas 2026-2027 m. ir kainos augimas dėl paklausos.

Privati Lietuvos rinka: kainos slepiamos, pavadinimai painūs

Apžiūrėjus 21 Lietuvoje veikiantį pentest paslaugų teikėją (NRD Cyber Security, „Squalio", „BlueBridge", „Heximus", „Team Secure", „NOD Baltic", „Binary RAID", „Pentester.lt", „Emplos", „NOIT", „Critical Security", „Adwisery", „Nortal", keletą „Big 4" atstovų ir kt.), matomi du dėsningumai: kainos beveik niekur neviešinamos, o ten, kur viešinama, paslaugų pavadinimai dažnai painiojami su gretimomis kategorijomis.

„NOD Baltic" reklamuoja paslaugą „nuo 1 000 EUR" [7], bet svetainėje nedetalizuojama, ką tiksliai apima ši pradinė suma — nei darbo valandų skaičius, nei paketų lygiai, nei retest politika, nei ataskaitos detalumas. Be apimties tokia suma daugiau veikia kaip rinkodarinis kabliukas nei orientyras klientui ir gali sukelti klaidingus lūkesčius (pvz., kad už 1 000 EUR bus atliktas pilnas web aplikacijos pentest su retest etapu). Likę 20 tiekėjų net startinės sumos viešai nerodo — pasiūlymas teikiamas tik gavus užklausą. Tai nėra įprasta tarptautinėje praktikoje (Lenkijos „Securitum" arba Vokietijos „binsec" skaidriai skelbia dienos normą), bet Lietuvoje nepermatomumas yra tradicinis B2B konsultacinio pardavimo požymis.

Pavadinimų painiava matoma abiem kryptimis. Viešajame sektoriuje jau matėme AB „Via Lietuva" 2024 m. pirkimą, kuris pavadintas „pažeidžiamumų vertinimu", bet techninėje specifikacijoje dominuoja audito darbas. Privačioje rinkoje matomas atvirkštinis atvejis: „Zillion Consulting" turi vienintelę šioje apžvalgoje rastą skaidrią parametrinę kainos skaičiuoklę, kurioje klientas pats pasirenka apimtį ir gauna konkretų skaičių prieš susisiekdamas [8]:

Bazinė kaina: 440 EUR
Padaliniai/lokacijos: × 60 EUR
Darbo vietos (kompiuteriai): × 30 EUR
Serveriai: × 60 EUR
Tinklo įrenginiai, spausdintuvai ir kiti įrenginiai: × 5 EUR

Tačiau įmonė šią paslaugą vadina „IT auditu", nors pati apibrėžia ją kaip techninį patikrinimą „nuo kompiuterių ir tinklo įrangos iki duomenų saugumo ir licencijų". Tai iš esmės pažeidžiamumų vertinimas (ar nuo įrenginio dydžio priklausanti techninė inventorizacija), o ne kompleksinis IT auditas su procesų, politikų ir veiklos tęstinumo peržiūra, kaip apibrėžta straipsnio pradžioje. Kliento požiūriu tai svarbu dėl dviejų priežasčių: pavadinimas „IT auditas" sukuria lūkestį, kad bus atliktas visapusiškas vertinimas su rekomendacijomis ir šalinimo planu, o čia pateikiama techninė ataskaita; ir antra, tikras IT auditas su procesų peržiūra paprastai kainuoja kelis kartus daugiau nei nurodyta skaičiuoklės bazė.

Taigi praktiniu požiūriu, lyginant LT pasiūlymus, vien pavadinimo nepakanka — visada reikia reikalauti techninės specifikacijos, kuri nurodo testavimo metodiką (OWASP WSTG, PTES, NIST SP 800-115), apimtį (web app dydis, API endpoint'ų skaičius, vartotojų vaidmenų kiekis), retest etapus ir ataskaitos struktūrą. Skaidri Zillion skaičiuoklė kaip modelis yra teigiamas signalas — LT klientai priima parametrinę kainodarą; pentest rinka turėtų judėti į tą pačią pusę, tik su pentest specifikai pritaikytais parametrais.

Rinkos žinias praplečia „NovaTech.lt" publikacija „Pentest Lietuvoje: įmonių patirtys ir kainos" [9], paremta anonimizuotais klientų atvejais. Ji patvirtina tris orientacinius diapazonus: mažos apimties pentest (svetainė ar viena web aplikacija) — 1 500-4 000 EUR, 3-5 darbo dienos; vidutinės apimties (kelios sistemos) — 5 000-12 000 EUR, 1-3 savaitės; kompleksiniai paketai (visa infrastruktūra) — 15 000-40 000+ EUR. Straipsnyje minimas ir santykis tarp rinkų: „Lietuvoje kainos 2-3 kartus mažesnės nei JAV ir Vakarų Europoje" — tai sutampa su mūsų vėlesniu PPP koregavimu. Anonimizuoti pavyzdžiai gerai iliustruoja, ką realiai gauni už šias sumas: vienos e-parduotuvės pentest už ~3 000 EUR atskleidė kritinę spragą į duomenų bazę; IT startuolio ataskaita buvo 23 puslapių su 17 pažeidžiamumų (3 kritiniai); finansų technologijų atveju trys atskirai nedarymai, sujungti į vieną grandinę, suteikė administratoriaus teises.

Svarbu klientui: pentest kaina yra ne galutinė kaina už saugumą. Vienoje iš NovaTech aprašytų istorijų po pentest atlikimo kompanijos saugumo taisymams reikėjo dar 20 000 EUR papildomo biudžeto. Pentest randa spragas — patys taisymo darbai dažnai yra atskira sąmata.

Netiesioginė sąnaudų bazė: kiek kainuoja testuotojas

Kad būtų galima orientuotis ir be tiesioginių kainų, naudojama netiesioginė sąnaudų bazė. Vyresniojo testuotojo atlyginimas Lietuvoje, remiantis Manoalga.lt duomenimis ir technologijų sektoriaus 20-40 % „nišos" priedu, yra ~3 500-5 500 EUR bruto per mėnesį [10]. Įvertinus „Sodrą", įrankius (Burp Suite Pro, Nessus ir pan.) ir kitas papildomas išlaidas, darbdavio išlaidos vyresniajam specialistui yra ~6 000-9 500 EUR per mėnesį.

Iš to, taikant tipinį B2B konsultavimo antkainį (2-3 kartus), gaunama orientacinė valandos norma: 700-1 800 EUR už darbo dieną arba ~90-220 EUR per valandą. Tokia interpoliacija paaiškina, kodėl „nuo 1 000 EUR" pradinė kaina realiai gali atitikti tik 5-10 valandų darbą — tai labai siaura apimtis, ne pilnas OWASP Top 10 testavimas.

Užsienio palyginimas: Vokietija, Lenkija, JAV

Užsienio rinkos yra žymiai skaidresnės. Keletas viešai skelbiamų dienos normos taškų (visi skaičiai be PVM):

Vokietija („binsec" GmbH): 1 260-1 960 EUR už darbo dieną, tipinis projektas apie 5 darbo dienas [11].
Lenkija („Securitum"): 640-890 EUR už darbo dieną; fiksuoto projekto kaina vienai aplikacijai 3 500-14 000 EUR (1-4 savaitės) [12].
Lenkija (rinkos vidurkis): nuo ~280 EUR (1 200 PLN) už paprastas užduotis su jaunesniaisiais specialistais iki ~820+ EUR (3 500+ PLN) už ekspertų darbą sudėtinguose projektuose [13].
„Budget Security" (ES pigesnės kainos modelis): nuo 849 EUR už darbo dieną, savitarnos užsakymas, OSCP sertifikatą turintys specialistai [14].
JAV (rinkos vidurkis): 1 000-3 000 USD už darbo dieną (~920-2 760 EUR), o vyresnieji sertifikatus turintys specialistai 2 000-4 000 USD (~1 850-3 700 EUR) [15].

Mažos web aplikacijos pentest pirminė orientacija pagal rinką:

Lenkija: maža svetainė, 1-3 darbo dienos, ~590-1 760 EUR [13].
Lenkija („Securitum", fiksuota kaina): viena aplikacija 1-4 savaitės, 3 500-14 000 EUR [12].
Vokietija („binsec"): tipinis projektas 3 000-25 000 EUR [11].
JAV: web aplikacijos pentest 5 000-30 000 USD (~4 600-27 600 EUR) [15].

Atskirai verta paminėti PTaaS (angl. Pentest as a Service, t. y. pentest kaip paslauga) platformas: „Cobalt.io" ir „HackerOne". Lietuvoje jos veikia retai, bet Vakaruose tampa standartu. „Cobalt.io" parduoda kreditus: 1 kreditas yra 8 valandos ir kainuoja 1 500-1 650 USD, o pilnas web aplikacijos projektas kainuoja 5 000-8 000 USD [16]. „HackerOne" tradicinis projektas kainuoja 15 000-50 000 USD, o metinis ketvirčio testavimas 60 000-200 000 USD [17].

Kiek tai turėtų kainuoti Lietuvoje

Norint apskaičiuoti „LT ekvivalentą", naudojama PPP korekcija per darbo užmokesčio santykius. Testuotojų vidutinis bruto atlyginimas:

Lietuva: ~4 500 EUR per mėnesį (vidurkis tarp jaunesniojo ir vyresniojo, išvesta iš darbo rinkos bazės)
Lenkija: ~3 950 EUR per mėnesį (PLN 16 878) [18]
Vokietija: 4 880 EUR per mėnesį [19]

Iš to gaunami trys nepriklausomi skaičiavimai, kiek tas pats pentest „turėtų" kainuoti Lietuvoje:

Iš Lenkijos rinkos: 730-1 015 EUR už darbo dieną
Iš Vokietijos rinkos: 910-1 415 EUR už darbo dieną
Iš JAV rinkos (po PPP korekcijos): 550-1 660 EUR už darbo dieną

Trys metodologijos konverguoja į intervalą 700-1 500 EUR už darbo dieną, o tipinis vidurkis yra 900-1 100 EUR už darbo dieną. Tai atitinka iš Lietuvos darbo rinkos bazės anksčiau išvestus skaičius (700-1 800), bet PPP analizė šį intervalą susiaurina ir patvirtina.

Kainos pagal projekto apimtį

Vidutinė rinkos kaina: tipinis web aplikacijos pentest, derinantis automatinius įrankius su rankiniu testavimu, kainuoja nuo 3 000 EUR. Trukmė 2-3 savaitės, priklauso nuo to, kaip greitai kliento komanda ištaiso radinius ir paruošia sistemą pakartotiniam patikrinimui.

Sujungus visus tris šaltinius (LT viešasis sektorius, LT privati rinka įskaitant „NovaTech" publikacijos duomenis, užsienio palyginimas), gauname šį orientacinį Lietuvos rinkos žemėlapį (visos kainos be PVM):

Mini patikrinimas (1-2 darbo dienos): 700-1 500 EUR. Greita web apžvalga, OWASP Top 10 svarbiausių kategorijų patikrinimas, trumpas raštas su radiniais. Tinka mažam ir vidutiniam verslui (MVĮ) bei startuoliams pirmajam saugumo žvilgsniui.
Standartinis web pentest (3-5 darbo dienos): 1 500-6 000 EUR. Viena web aplikacija, autentikacija, autorizacija, įvesties validacija, dažni OWASP Top 10 vektoriai. Pilna PDF ataskaita su rekomendacijomis. Tipinis pasirinkimas SaaS produktams prieš pristatymą rinkai. Diapazonas platus, nes apatinė riba atitinka individualaus konsultanto kainą, o viršutinė — agentūros pasiūlymą su platesne metodologija.
Išplėstinis pentest (5-15 darbo dienų): 5 000-12 000 EUR. Web ir API srautai (OAuth, JWT), vartotojų vaidmenų analizė, sesijų valdymas. Tinka brandiems produktams, kuriuose svarbi verslo logika.
Kompleksinis paketas (20+ darbo dienų): 15 000-40 000 EUR. Web, API, mobili aplikacija, infrastruktūra, kartais socialinė inžinerija. Reikalauja komandos, ne vieno specialisto. Atitinka viešojo sektoriaus didžiųjų pirkimų apimtis.
Enterprise / NIS2 atitikties paketas (3-6 mėnesių sutartis): 40 000-150 000+ EUR. Reguliarus testavimas, retest po taisymų, atitikties dokumentacija. Kainos artėja prie viešojo sektoriaus didžiųjų sutarčių tipo, kur reikalaujami CEH, CISA/CISM, CRISC sertifikatai ir nacionalinio saugumo deklaracijos.

Šie skaičiai yra orientaciniai: realus pasiūlymas priklausys nuo apimties (kiek vartotojų vaidmenų, kiek API endpoint'ų, ar testas juodos, pilkos ar baltos dėžės metodu), reikalavimo kalbai (lietuvių ar anglų ataskaitos) ir papildomų komponentų (retest, atitikties priedai, executive summary lietuvių kalba).

Ką stebėti šalia kainos

Žemiausia kaina retai būna geriausias pasirinkimas. Praktiniai signalai, leidžiantys įvertinti pasiūlymo kokybę:

Sertifikatai. OSCP, BSCP, CREST, CompTIA PenTest+ rodo, kad specialistas turi dokumentuotą įgūdžių lygį. Big 4 įmonėse dažnai laukiama CISSP arba CISA.
Metodologija. Pasiūlyme turėtų būti aiškiai nurodyta: PTES, OWASP WSTG, NIST SP 800-115. Be šių orientacijų greičiausiai gausite skenerio ataskaitą su minimaliu rankiniu darbu.
Ataskaitos pavyzdys. Pakvieskite tiekėją parodyti anonimizuotą ataskaitos pavyzdį. Tikra ataskaita turi: santrauką vadovybei, technines detales su PoC, rizikos lygį (CVSS) ir konkrečias rekomendacijas, ne tik bendrų gairių sąrašą.
Retest įtraukimas. Pirmą kartą rastus pažeidžiamumus reikia patikrinti antrą kartą, kai komanda juos ištaisė. Geras tiekėjas retest'ą įtraukia į pradinę kainą arba aiškiai jį nurodo (pavyzdžiui, „retest įtrauktas 30 dienų po pristatymo").
Atskaitomybės grandinė. NDA pasirašymas, projekto vadovas, eskalacijos kelias incidento atveju, profesinės atsakomybės draudimas. Tai paprasti dalykai, kurių nebuvimas yra raudona vėliavėlė.

Išvados

Lietuvos pentest rinka yra mažiau skaidri nei Vakarų Europos: iš 21 privataus sektoriaus tiekėjo tik kelios įmonės skelbia kainas savo svetainėse („NOD Baltic" — „nuo 1 000 EUR", „Zillion Consulting" — parametrinė skaičiuoklė nuo 440 EUR), bet nė vienu atveju nėra aiškumo, kokios apimties paslaugos galima tikėtis už nurodytą sumą. Tuo metu naujasis viesiejipirkimai.lt portalas nuo 2024 m. žymiai pagerino viešojo sektoriaus skaidrumą: rastas šešetas pirkimų su paskelbtomis vertėmis, leidžiančių matyti rinkos struktūrą.

Šešių viešojo sektoriaus atvejų diapazonas yra 2 479-21 780 EUR: nuo Skuodo savivaldybės vienos web aplikacijos (be sertifikuotų specialistų) iki Valstybinės ligonių kasos aštuonių informacinių sistemų pentest (su CEH, CISA/CISM ir CRISC reikalavimais komandai). Ta pati apimtis privačiame sektoriuje, pagal „NovaTech" duomenis ir konkurentų rinkos signalus, kainuoja: maža web aplikacija — 1 500-4 000 EUR, kelios sistemos — 5 000-12 000 EUR, kompleksinis paketas (visa infrastruktūra) — 15 000-40 000 EUR ar daugiau.

Trijų šaltinių analizė (viešasis sektorius, privati rinka, užsienio palyginimas) konverguoja į vieną orientyrą: darbo dienos norma Lietuvoje yra 700-1 500 EUR, tipinis vidurkis 900-1 100 EUR. Tipinis web aplikacijos pentest pradedamas nuo 3 000 EUR (2-3 savaitės su pakartotiniu patikrinimu), išplėstinis web ir API testas kainuoja 5 000-12 000 EUR, kompleksinis paketas — 15 000-40 000 EUR.

Renkantis tiekėją, dėmesys turėtų būti skiriamas ne tik kainai, bet ir paslaugos pavadinimui (ar tai pažeidžiamumų vertinimas, įsibrovimo testavimas, ar IT auditas — straipsnyje matėme atvejus, kai pavadinimai painiojami abiem kryptimis), techninei specifikacijai, komandos sertifikatams, metodologijai (OWASP WSTG, PTES, NIST SP 800-115), ataskaitos kokybei ir pakartotinio patikrinimo įtraukimui. NIS2 reikalavimai 2026-2027 m. didins paklausą, todėl tikėtina, kad kainos kils. Pirmojo testavimo planavimas dabar dažnai atsiperka — leidžia pasirinkti tiekėją be skubos spaudimo.

Paslaugų kainos

„Atakos vektoriaus" 2026 m. (be PVM):

Paslaugos laikas skaičuojamas nuo to laiko kai gaunami leidimai testuoti ir reikalingi prisijungtimai ar VPN prieiga.

Pažeidžiamumų vertinimas

Paslaugos aprašymas	Kaina	Trukmė	Kita
Interneto aplikacijos — pagal OWASP Top 10 metodologija.	2000	4 dienos	Automatinis DAST; specialisto įvertinimo ataskaita lietuvių k. su radiniais ir rekomendacijomis.
Infrastruktūros perimetras: iki 50 tinkle esančių įrenginių ir serverių	2500	1 savaitė	Komercinis pažeidžiamumų skeneris; specialisto įvertinimo ataskaita lietuvių k. su radiniais ir rekomendacijomis.

Įsibrovimo testavimas

Paslaugos aprašymas	Kaina	Trukmė	Kita
Viena interneto aplikacija — rankinis DAST pagal OWASP WSTG	3000	2 savaitės	Sertifikuotas specialistas; Komerciniai įrankiai, lietuvių k. ataskaita su PoC, CVSS; retest per 2 savaites.; NDA.
Patekimas į DMZ esančias sistemas per interneto aplikacijų pažeidžiamumus, ir gilesnis sverbimasis per sistemų, paslaugų konfigūracijos, prieigos kontrolės, tinklo lygmens silpnybes	7500	1 mėnuo	Aukštos kvalifikacijos sertifikuotas specialistas, komerciniai įrankiai; lietuvių k. ataskaita su PoC, CVSS; retest per 30 dienų; NDA.
Patekimas į vidinį tinklą — platesnis atakos vektorių spektras ne tik interneto aplikaciją iš DMZ, bet ir per soc. inžineriją, Wi-Fi, ar trečiųjų šalių sistemas (iki 50 įrenginių)	15000	iki 2 mėnesių	Aukštos kvalifikacijos sertifikuotas specialistas ir testuotojas, komerciniai įrankiai; lietuvių k. ataskaita su PoC, CVSS; retest per 30 dienų; NDA.
Patekimas į vidinį tinklą per interneto aplikaciją, soc. inžineriją, Wi-Fi, DMZ ar trečiųjų šalių sistemas (iki 250 įrenginių)	20000	iki 4 mėnesių	Aukštos kvalifikacijos sertifikuotas specialistas, projektų vadovas, komerciniai įrankiai; lietuvių k. ataskaita su PoC, CVSS; retest per 30 dienų; NDA.

Sudėtingesnių scenarijų kūrimas ir pritaikymas priklauso nuo individualios situacijos ir kainos skaičiavimo kriterijų. Jei svarstote pirmąjį pentest savo organizacijai arba norite gauti pasiūlymą, kuris atitinka rinkos vidurkį — pasikalbėkime.