Berapakah Kos Ujian Penembusan di Malaysia? Panduan Harga 2026
Kos ujian penembusan di Malaysia ditentukan oleh skop, kerumitan teknikal, dan tahap pematuhan yang diperlukan. Untuk aplikasi web bersaiz pertengahan, julat lazim adalah RM18,000 hingga RM45,000 setiap engagement, manakala red team boleh mencecah RM150,000 ke atas. Panduan ini memecahkan harga mengikut jenis ujian, menjelaskan apa yang sebenarnya anda bayar, dan menggariskan bila regulator seperti BNM, PDPA dan PCI-DSS mewajibkan pentest tahunan. Matlamatnya: bantu pemilik perniagaan dan ketua IT Malaysia memilih skop yang betul tanpa terlebih atau terkurang bajet.
Apa yang anda sebenarnya bayar dalam satu engagement pentest
Sebut harga pentest bukan sekadar kos jam jurutera. Ia merangkumi perancangan skop, kebenaran (rules of engagement), pengujian aktif, analisis manual, dokumentasi penemuan, sesi laporan eksekutif untuk lembaga pengarah, dan kebiasaannya satu pusingan retesting selepas pembaikan. Di Malaysia, kebanyakan firma berpangkalan KL atau Cyberjaya menyusun pakej berdasarkan 'hari jurutera' (engineer-day), dengan satu engagement aplikasi web biasanya memerlukan antara 8 hingga 20 hari jurutera.
Faktor seperti penggunaan tester bersijil CREST CRT atau OSCP, kewajipan menggunakan persekitaran terkunci (kerana data perbankan atau kesihatan), dan keperluan untuk laporan dalam dua bahasa (BM dan Inggeris untuk pengawal selia BNM) turut menambah kos. Pengiraan paling jujur ialah meminta vendor memecahkan sebut harga kepada tiga baris: perancangan, ujian aktif, dan pelaporan + retest.
Vendor yang lebih murah daripada RM12,000 untuk aplikasi web bersaiz sederhana biasanya menjalankan imbasan automatik tanpa pengujian manual yang mendalam. Untuk kepentingan kawalan kriteria CREST atau pelaporan kepada BNM, hasil seperti ini selalunya tidak akan diluluskan oleh juruaudit dalaman.
Julat harga 2026 mengikut jenis ujian
Jadual di bawah menggambarkan julat harga lazim untuk pasaran Malaysia berdasarkan engagement yang kami lihat dalam 18 bulan terakhir. Harga adalah anggaran pasaran untuk vendor pertengahan ke premium yang memenuhi kriteria CREST atau setara, bukan harga vendor 'volume' yang menggantung pada alat automatik.
Perhatikan bahawa harga di hujung bawah julat biasanya untuk skop kecil (contohnya 50 endpoint atau kurang, satu peranan pengguna). Harga di hujung atas mencerminkan aplikasi enterprise dengan API kompleks, beberapa peranan, dan keperluan threat modeling.
| Jenis Ujian | Julat Harga (RM) | Tempoh Lazim | Wajib Untuk |
|---|---|---|---|
| Aplikasi Web (sederhana) | 18,000 – 45,000 | 2–3 minggu | BNM RMiT, PDPA, PCI-DSS |
| Aplikasi Mudah Alih (iOS+Android) | 25,000 – 55,000 | 2–4 minggu | Bank digital, e-dompet |
| Ujian API (REST/GraphQL) | 15,000 – 38,000 | 1.5–3 minggu | Open Banking, fintech |
| Network Internal/External | 22,000 – 60,000 | 2–4 minggu | ISO 27001, BNM RMiT |
| Cloud (AWS/Azure/GCP) | 25,000 – 70,000 | 2–4 minggu | RMiT cloud baseline |
| Red Team (intelligence-led) | 150,000 – 400,000+ | 6–12 minggu | Bank tier-1, GLC kritikal |
| Wireless Assessment | 12,000 – 28,000 | 1–2 minggu | Cawangan retail, kilang |
| Social Engineering / Phishing Sim | 10,000 – 35,000 | 2–6 minggu | Latihan kesedaran |
Faktor utama yang menggerakkan harga
Skop adalah pemandu kos terbesar. Bilangan aplikasi, endpoint API, peranan pengguna, dan persekitaran (DEV/STAGING/PROD) semua menambah hari jurutera. Aplikasi dengan logik perniagaan yang kompleks — contohnya pengiraan caruman EPF, sistem pinjaman ansuran, atau pemprosesan tuntutan insurans — memerlukan masa lebih lama untuk pengujian manual berbanding aplikasi CRUD ringkas.
Kerumitan teknikal juga penting. Aplikasi monolitik PHP lama selalunya lebih cepat diuji daripada microservices Kubernetes moden dengan mesh seperti Istio. Sebaliknya, aplikasi moden mungkin mempunyai lebih banyak permukaan serangan (sidecar, service mesh, OIDC token flow) yang memerlukan pakar khusus.
Faktor lain termasuk: keperluan pengujian dalam tetingkap waktu malam (selepas waktu perniagaan), penggunaan VPN khusus dan jumpbox berasaskan PAM, keperluan untuk peliputan retest selepas remediation, dan sama ada laporan perlu dipetakan ke kawalan tertentu (BNM RMiT 10.x, PCI-DSS Requirement 11.3, ISO 27001 A.12.6).
In-house vs outsource: pengiraan kos sebenar
Banyak organisasi Malaysia mempertimbangkan untuk membina kapasiti pentest dalaman. Untuk pasukan dua orang yang lengkap — seorang senior dan seorang junior — kos tahunan tipikal di KL: gaji RM480,000, kursus dan sijil (OSCP, OSWE, GPEN) RM35,000, alat berlesen (Burp Suite Pro, Cobalt Strike, Tenable) RM65,000, dan overhead pengurusan. Jumlahnya kerap menghampiri RM700,000 setahun untuk dua jurutera.
Bagi kebanyakan PKS dan syarikat pertengahan, outsource kepada firma pentest bersijil adalah lebih ekonomik. Walaupun bagi enterprise, banyak organisasi menggunakan model hibrid: pasukan dalaman menjalankan vulnerability assessment berterusan, manakala firma luar dijemput untuk pentest tahunan dan red team — sebahagiannya untuk memuaskan keperluan independence yang diminta juruaudit dan regulator.
Satu pertimbangan tambahan: regulator seperti BNM sering menjangkakan 'independent assurance', yang dalam praktik bermaksud pasukan luar yang tidak melapor kepada CIO. Pentest dalaman semata-mata jarang mencukupi untuk audit RMiT.
Apa yang perlu ditanya sebelum menandatangani SOW
Sebelum menerima sebut harga, dapatkan jawapan bertulis kepada beberapa soalan kritikal. Pertama, siapa sebenarnya yang akan melakukan kerja — adakah tester bersijil atau outsource semula kepada pihak ketiga? Kedua, berapa peratus masa adalah ujian manual berbanding scan automatik? Vendor yang berkualiti biasanya 60–80% manual untuk aplikasi web.
Ketiga, adakah retest selepas pembaikan termasuk, dan berapa pusingan? Standard industri ialah satu pusingan retest dalam tempoh 30–90 hari. Keempat, format laporan: adakah ada laporan teknikal terperinci, ringkasan eksekutif untuk lembaga, dan pemetaan ke kawalan regulator yang relevan?
Akhir sekali, periksa terma kerahsiaan dan pengendalian penemuan. Penemuan kritikal sepatutnya dimaklumkan dalam tempoh 24 jam, bukan menunggu hingga laporan akhir. Pastikan SOW menyatakan klausa eskalasi yang jelas.
- Siapa pemilik penemuan? Anda atau vendor?
- Bolehkah laporan dikongsi dengan juruaudit luar dan pengawal selia?
- Adakah liabiliti dan PI insurance vendor mencukupi (biasanya minima RM5 juta)?
- Bagaimana data anda disimpan selepas engagement (tempoh pengekalan, lokasi)?
Keperluan regulator yang mewajibkan pentest tahunan
Bank Negara Malaysia melalui Risk Management in Technology (RMiT) menjangkakan institusi kewangan menjalankan pentest tahunan untuk aplikasi kritikal yang menghadap internet dan untuk perubahan major. Audit luar oleh BNM kerap meminta bukti pentest yang dilakukan oleh pasukan bebas dengan sijil yang diiktiraf.
Personal Data Protection Act (PDPA) tidak secara eksplisit menyebut 'pentest', tetapi prinsip keselamatan menuntut langkah teknikal yang munasabah. Dalam praktik, syarikat yang memproses data peribadi berskala besar (telekomunikasi, e-dagang, kesihatan) menggunakan pentest sebagai bukti due diligence.
PCI-DSS Requirement 11.3 secara eksplisit mewajibkan pentest sekurang-kurangnya setahun sekali dan selepas perubahan signifikan. Untuk peniaga yang memproses kad, ini bukan pilihan. Standard tambahan seperti ISO 27001 (kawalan A.12.6.1) dan rangka kerja NACSA di bawah Akta Keselamatan Siber 2024 juga merujuk pengujian keselamatan berkala.
Bacaan Lanjut & Khidmat nCrypt
Soalan Lazim
Adakah pentest sekali setahun mencukupi untuk bank digital?
Untuk bank digital di bawah lesen BNM, sekali setahun adalah minima absolut. Dalam praktik, kebanyakan bank digital Malaysia menjalankan pentest selepas setiap pelancaran ciri major, ditambah dengan red team tahunan dan continuous PTaaS untuk perubahan kecil. Ini kerana RMiT menjangkakan pengujian 'commensurate with risk', dan kadar perubahan dalam fintech adalah jauh lebih tinggi daripada perbankan tradisional. Sekiranya anda hanya menjalankan satu pentest setahun untuk aplikasi yang dikeluarkan bulanan, anda menjamin penemuan tertangguh 6–12 bulan di antaranya.
Mengapa vendor murah RM6,000 boleh memberi 'laporan pentest'?
Vendor pada harga itu hampir selalu menjalankan scan automatik Nessus atau OpenVAS, mengeksport laporan PDF, dan menamakannya 'pentest'. Tiada eksploitasi sebenar, tiada pengesahan kerentanan, dan tiada penemuan logik perniagaan. Untuk audit BNM atau PCI-DSS, jenis laporan ini biasanya ditolak. Lebih buruk, ia memberi rasa selamat palsu — anda menganggap aplikasi telah diuji sedangkan kebanyakan kerentanan kritikal (IDOR, broken auth, race conditions) hanya boleh dijumpai melalui pengujian manual oleh jurutera berpengalaman.
Berapakah kos retest dan adakah ia diperlukan?
Retest selepas remediation adalah amalan standard dan biasanya dimasukkan dalam pakej asas — dua pusingan retest dalam tempoh 90 hari. Jika dikenakan secara berasingan, retest tipikal berharga 20–35% daripada engagement asal. Ia diperlukan kerana laporan tanpa retest menunjukkan kerentanan yang dijumpai pada satu titik masa; juruaudit dan pengawal selia mahu melihat bukti bahawa pembaikan benar-benar berkesan. Tanpa retest, anda hanya boleh berkata 'kami fix' tetapi tidak boleh berkata 'fix kami berfungsi'.
Bolehkah saya menggunakan jurutera offshore yang lebih murah?
Secara teknikal ya, tetapi terdapat tiga risiko praktikal di Malaysia. Pertama, BNM dan beberapa juruaudit menjangkakan data anda diuji dalam yurisdiksi yang patuh PDPA — pentest yang mengeksfiltrasi data sampel ke luar negara mungkin melanggar polisi anda sendiri. Kedua, sokongan zon masa untuk komunikasi insiden dan retesting selalunya menjadi masalah. Ketiga, kefahaman konteks tempatan (sistem perbankan, FPX, DuitNow, integrasi MyKad) sering kurang. Hibrid — pengurusan tempatan dengan jurutera serantau — adalah model yang munasabah.
Bincang dengan Pasukan nCrypt
Pasukan CREST-aligned kami membantu institusi kewangan, agensi kerajaan dan PKS Malaysia merancang ujian penembusan, pematuhan dan respons insiden. Dapatkan sebut harga atau tempah perbincangan percuma hari ini.