Sikkerhetstesting Oppdatert 21. juni 2026
Forskjellen på sårbarhetsskanning, penetrasjonstest og red team, og hva som passer når.
Kort fortalt
Sikkerhetstesting er å undersøke om sikkerheten i bedriftens systemer faktisk holder, ved å lete etter svakhetene på samme måte som en angriper ville gjort, før noen utenfra finner dem. Det er en samlebetegnelse. Den spenner fra en automatisert sårbarhetsskanning som leter etter kjente feil, via en penetrasjonstest der en fagperson forsøker å utnytte svakhetene i praksis, til en bredere red team-øvelse. Felles for dem er at de ender i en rapport: en prioritert liste over hva som bør tettes, og i hvilken rekkefølge.
For en mellomstor norsk bedrift er poenget enkelt. Dere har som regel ikke et eget sikkerhetsmiljø internt, men dere har systemer, kundedata og nettflater som er verdt å beskytte. En sikkerhetstest gir dere et ærlig bilde av hvor dere står, uten gjetting.
Sårbarhetsskanning er en automatisert gjennomgang som leter etter kjente sårbarheter i systemer, nettverk og programvare. Den er rask, kan kjøres jevnlig, og er et godt utgangspunkt for å holde oversikt. Den finner det som allerede er kjent, men den forsøker ikke å utnytte funnene eller å tenke som en angriper.
Penetrasjonstest (ofte kalt pentest) er en kontrollert og avtalt øvelse der en fagperson forsøker å bryte seg inn på samme måte som en reell angriper. Her kombineres verktøy med manuelt arbeid, og funnene blir faktisk forsøkt utnyttet for å vise hva en svakhet betyr i praksis. En pentest er et punktnedslag: et avgrenset oppdrag på et avtalt tidspunkt, mot et avtalt omfang.
Red team er en bredere, scenariobasert øvelse som simulerer en målrettet angriper over tid. Den kan omfatte flere veier inn, også menneskelige og fysiske, ikke bare de tekniske. Dette er en mer omfattende form for testing, og passer best for virksomheter som allerede har et modent sikkerhetsarbeid.
| Form | Hva det er | Hvor dypt | Når det passer |
|---|---|---|---|
| Sårbarhetsskanning | Automatisert søk etter kjente sårbarheter | Bredt, men overflatisk | Jevnlig, for løpende oversikt |
| Penetrasjonstest | Fagperson forsøker reell utnyttelse på avtalt omfang | Dypt på det som testes | Ved nye løsninger, store endringer, eller jevnlig på kritiske flater |
| Red team | Scenariobasert øvelse mot en målrettet angriper | Bredt og dypt, over tid | Når sikkerhetsarbeidet allerede er modent |
To ting blir ofte forvekslet med selve testingen, men er bredere:
En sikkerhetssjekk er en strukturert gjennomgang av sikkerheten deres som helhet, med en prioritert tiltaksliste. Den ser på rutiner, oppsett og organisering, ikke bare teknisk utnyttelse. Den er ofte et naturlig første steg før dere bestemmer hva som bør testes teknisk.
En NIS2 GAP-analyse handler om å forberede dere på krav som er på vei, ved å kartlegge avstanden mellom dagens praksis og det som kommer. Den svarer på noe annet enn en sikkerhetstest, men de utfyller hverandre.
En god test er forankret i anerkjente rammeverk, ikke i synsing. For web- og API-flater er OWASP Top 10 referansen mange tester bygger på. Den gjeldende utgaven er OWASP Top 10:2025, og den peker på de samme svakhetene mange bedrifter sliter med i praksis: feil i tilgangskontroll, feilkonfigurasjon, og svakheter i programvarens leverandørkjede (tredjepartskomponenter).
Dette er relevant nettopp for mellomstore bedrifter som har flyttet mye til sky og bruker mange tredjepartstjenester. Feilkonfigurasjon i et skyoppsett eller en tjeneste man antok var sikker «som standard», er en av de vanligste måtene svakheter oppstår på.
En sikkerhetstest er et øyeblikksbilde. Den sier noe om sikkerheten på det tidspunktet testen ble gjort, mot det som ble testet. Siden både systemene deres og trusselbildet endrer seg, bør testing være noe som gjentas, ikke en engangshendelse.
I praksis er det noen tidspunkter som peker seg ut: når dere tar i bruk en ny løsning, ved større endringer i systemer eller infrastruktur, etter en sky-migrering, og ellers jevnlig på de flatene som betyr mest. Mellom de større testene er en automatisert sårbarhetsskanning en grei måte å holde oversikt på.
En sikkerhetstest er et øyeblikksbilde.
Verdien ligger i rapporten, ikke i en uleselig skanneutskrift. En god rapport har to lag: et teknisk lag som de som skal rette feilene kan jobbe etter, og et ledelsessammendrag som styret eller daglig leder forstår uten å være tekniske. Funnene bør være prioritert etter risiko, slik at dere vet hva som haster først.
Et siste, viktig punkt er re-test. Når dere har utbedret det som ble funnet, kan en ny test bekrefte at hullene faktisk er tettet. Da vet dere at jobben er gjort, og dere har dokumentasjon å vise til kunder, styret eller forsikringsselskapet.
NSMs grunnprinsipper for IKT-sikkerhet er det norske referanseverket de fleste virksomheter kan støtte seg på. Det er bygget rundt fire kategorier: identifisere og kartlegge, beskytte og opprettholde, oppdage, og håndtere og gjenopprette. Sikkerhetstesting hører hjemme under «oppdage», og NSM anbefaler å gjennomføre inntrengingstester som en del av dette. NSM er også tydelig på at mindre virksomheter må prioritere blant tiltakene, ikke gjøre alt på en gang.
Et nytt europeisk regelverk (NIS2) er på vei inn i Norge, og uavhengig av det opplever stadig flere bedrifter at kunder og samarbeidspartnere ber om dokumentert sikkerhet. Vi går ikke inn i jussen her. For sikkerhetsarbeidet er poenget det samme uansett: å kunne vise at sikkerheten er testet, ikke bare antatt.
Er dere usikre på hvor dere står, er en god start å ta sikkerhetsdiagnosen. Den gir et ærlig nåbilde på noen få minutter, uten innlogging. Vil dere heller snakke med noen om hva som bør testes hos akkurat dere, ta en uforpliktende prat.
Vil dere se hvordan en konkret test gjennomføres og dokumenteres, kan dere lese mer om sikkerhetstesting hos Vernum.
FAQOfte stilte spørsmål
Nei. Penetrasjonstesting er én form for sikkerhetstesting. Sikkerhetstesting er samlebetegnelsen, og omfatter også blant annet sårbarhetsskanning og red team.
Det kommer an på behovet. En skanning er god til løpende oversikt og finner kjente sårbarheter, men den forsøker ikke å utnytte dem slik en angriper ville. En penetrasjonstest går dypere på det som faktisk betyr noe for dere.
Når rammene avtales på forhånd og arbeidet gjøres kontrollert, er en sikkerhetstest en ryddig prosess. Omfang, tidspunkt og hva som skal testes avklares før noe settes i gang.
Som hovedregel ved nye løsninger og større endringer, etter en sky-migrering, og ellers jevnlig på de viktigste flatene. Siden trusselbildet endrer seg, bør testing gjentas over tid.
Det avhenger av omfanget: hva som skal testes, og hvor dypt. Derfor avtales pris individuelt etter en kort og uforpliktende prat, slik at dere betaler for det dere faktisk trenger.
Ja, ofte. Mellomstore bedrifter er store nok til å være et mål, men har sjelden et eget sikkerhetsmiljø. En test gir et ærlig bilde uten at dere må bygge kompetansen selv. NSM anbefaler at mindre virksomheter prioriterer, og en test hjelper dere å prioritere riktig.
VERNUM