Executive Summary
Mange danske SMV’er har allerede investeret i MFA, backup, patching og ekstern drift. Problemet er, at ledelsen stadig mangler det ene svar, der betyder noget, når kunder spørger, når et udbud kræver dokumentation, eller når NIS2 og GDPR artikel 32 skal omsættes til praksis: Virker kontrollerne faktisk i virkeligheden?
En defensiv pentest er et enkelt beslutningsværktøj til netop det spørgsmål. I stedet for en lang teknisk rapport tester man de vigtigste kontroller mod realistiske angrebskæder og får et ja eller nej på de risici, der betyder mest for virksomheden, typisk konto-overtagelse, BEC, ransomware og datalæk. Metoden ligger tæt på anbefalingerne i NIST SP 800-115, OWASP Web Security Testing Guide og CISA’s pentest guidance.
For ledelsen er gevinsten enkel: et lille scope, klare acceptkriterier, en kort prioriteret handlingsplan og en retest, der dokumenterer om hullerne er lukket. Det gør testen brugbar over for kunder, bestyrelse, leverandører og egne medarbejdere. Hvis du vil forstå den klassiske pentest først, kan du læse mere om pentest. Hvis målet er at koble test tættere til styring og compliance, giver en modenhedsanalyse et godt supplement.
Hvorfor en defensiv pentest er relevant for ledelsen
Mange sikkerhedsprojekter starter med værktøjer. Der købes MFA, backup, EDR, spamfilter og måske en MSP-aftale. Det er fornuftigt. Men det er ikke det samme som dokumentation for, at kontrollerne virker under pres.
En defensiv pentest vender spørgsmålet om. I stedet for at spørge hvilke produkter I har, spørger den om en angriber faktisk kan komme fra et realistisk startpunkt til en forretningskritisk konsekvens. Kan en kompromitteret konto føre til mailadgang? Kan falske indbakke-regler skjule BEC? Kan ransomware sprede sig, eller bliver det stoppet? Kan følsomme data hentes ud uden at nogen reagerer?
Det gør testen relevant på ledelsesniveau, fordi den omsætter teknik til risiko og beslutninger. Det ligger godt i tråd med NIS2, som lægger vægt på risikostyring og passende sikkerhedsforanstaltninger, og med GDPR artikel 32, som kræver passende tekniske og organisatoriske foranstaltninger. Hvis du arbejder med NIS2 i praksis, kan du også hente inspiration i vores side om modenhedsanalyse og strategisk forankring via workshops for ledelse og bestyrelse.
Hvad en defensiv pentest bør teste i en dansk SMV
En god defensiv pentest for en SMV starter ikke bredt. Den starter smalt og forretningsnært. Vælg to til fire scenarier, som ledelsen allerede forstår konsekvensen af. For mange virksomheder vil det være Microsoft 365, mailflow, backup og en central forretningsapplikation.
Hvis virksomheden kører tungt på cloud, er det oplagt at teste identitet og mail som første prioritet. Her ser man blandt andet på, om MFA kan omgås i praksis, om der findes svage konti, om farlige app-tilladelser kan give varig adgang, og om overvågning eller alarmer fanger mistænkelig aktivitet. I den sammenhæng giver det mening at kombinere testen med et sikkerhedstjek af konfigurationen og med de daglige processer, der ofte er afgørende for udfaldet.
Hvis jeres største frygt er driftsstop, bør scope i stedet tage udgangspunkt i ransomware og gendannelse. Her handler testen ikke kun om, hvorvidt malware kan ramme et system, men om backup faktisk kan gendannes inden for de mål, ledelsen tror, I arbejder efter. Hvis medarbejderadfærd og phishing fylder meget i risikobilledet, bør det kobles med awareness-træning, så testen ikke bare finder fejl, men styrker adfærd og rutiner bagefter.
Et mini-scope der giver et klart svar
Det vigtigste designvalg er scope. Hvis scope bliver for bredt, ender du med meget teknik og for lidt retning. Hvis det bliver skarpt, får ledelsen et svar, der kan bruges med det samme.
Et mini-scope kan for eksempel se sådan ud:
- Miljø: Microsoft 365, to forretningskritiske brugertyper og én admin-rolle
- Scenarie 1: Konto-overtagelse via realistisk angrebskæde
- Scenarie 2: BEC med fokus på mailregler, videresendelse og betalingsflow
- Scenarie 3: Ransomware-beredskab med test af restore på ét kritisk system
- Scenarie 4: Datalæk fra fællesdrev eller mail ved kompromitteret konto
Det er nok til at give et ja eller nej på de vigtigste risici, uden at projektet vokser sig tungt. Scope bør altid beskrive hvilke systemer der er inde, hvilke der er ude, hvor længe testen varer, hvem der må kontaktes, og hvilke driftsmæssige hensyn der gælder. NIST anbefaler netop tydelige regler for test, mål og afgrænsning, før man går i gang.
Hvis virksomheden har outsourcet meget til en MSP eller arbejder i en Forkant-lignende driftsmodel, er det ekstra vigtigt at placere ansvar tydeligt mellem intern ledelse, intern IT og leverandør. Her kan en løbende model som Forkant være relevant som ramme for opfølgning og rytme, men selve testen skal stadig ende i et ledelsesklart svar.
Acceptkriterier: sådan undgår du en rapport uden retning
Mange pentests fejler ikke på teknisk kvalitet, men på output. Ledelsen modtager 40 sider med fund, men står stadig uden svar på, om risikoen er acceptabel. Derfor bør acceptkriterier aftales før testen starter.
Acceptkriterier kan formuleres i almindeligt sprog. Det gør dem brugbare i ledergruppen og i dialog med eksterne leverandører. For eksempel:
- En kompromitteret standardkonto må ikke kunne føre til varig adgang til mail eller filer uden at blive opdaget
- Ingen testet bruger må kunne omgå godkendte adgangskontroller og opnå admin-lignende rettigheder
- Forsøg på skjult mailvideresendelse eller manipulerede indbakke-regler skal opdages eller blokeres
- Et udvalgt kritisk system skal kunne gendannes inden for aftalt tidsmål
- Testen skal afsluttes med en prioriteret handlingsplan med ansvarlig, deadline og retest-dato
Den model gør det langt lettere at stå på mål for sikkerheden over for kunder og samarbejdspartnere. Den gør det også lettere at koble testen til virksomhedens dokumentation under NIS2 og GDPR artikel 32. Hvis din virksomhed mangler et ledelsesvenligt overblik over modenhed og krav, kan modenhedsanalyse være den naturlige ramme omkring acceptkriterierne.
Hvad ledelsen skal kræve som output
Det vigtigste output er ikke en teknisk liste. Det er et beslutningsnotat. Efter testen bør ledelsen kunne bladre første side igennem og forstå tre ting: Hvad lykkedes for testteamet, hvad stoppede angrebet, og hvad skal gøres først.
Et godt output består typisk af et kort executive brief, en top 5 over forretningskritiske fund og en handlingsplan på få uger, ikke få kvartaler. Hvert fund bør have en klar konsekvensbeskrivelse, en ansvarlig person eller leverandør og en dato for opfølgning. Det er samme tankegang, som ligger bag vores side om sikkerhedstjek: mindre støj, mere beslutningskraft.
Derudover bør testen give ledelsen et enkelt bevis-kit. Det kan være scope, datoer, godkendte regler for testen, executive summary, prioriteret handlingsliste og planlagt retest. Det er ofte mere værdifuldt end en lang rapport, når du skal dokumentere modenhed i en kundedialog, over for en revisor eller internt i bestyrelsen.
Retest er der, hvor værdien bliver reel
En defensiv pentest uden retest er kun en statusmåling. Retesten er det punkt, hvor virksomheden går fra indsigt til dokumenteret forbedring. Derfor bør retest være aftalt allerede i bestillingen.
Retesten behøver ikke være stor. Tværtimod. Hvis første test havde et mini-scope, bør retesten være smal og fokusere på de fund, der faktisk skulle lukkes. Pointen er ikke at starte forfra, men at dokumentere om de vigtigste ændringer virker i praksis.
I en typisk dansk SMV vil retest ofte ligge 2 til 6 uger efter første test. Det giver intern IT eller MSP tid til at ændre konfiguration, stramme roller, justere alarmer, rydde farlige app-tilladelser op eller teste restore. Hvis virksomheden arbejder tæt sammen med ekstern driftspartner, bør retesten også bruges til at afklare ansvar og sikre, at forbedringerne bliver en fast rutine og ikke en engangsindsats.
Hvis jeres største udfordring er at holde styr på de løbende forbedringer, kan det være værd at se på en mere fast sikkerhedsrytme via Forkant. Hvis problemet primært er ledelsesforankring, giver en workshop ofte et godt fælles sprog for roller, ansvar og deadlines.
Næste skridt: bed om et ja eller nej, ikke mere støj
Hvis du sidder i ledelsen, er det næste skridt ikke at bestille den bredeste test. Det er at vælge de to til fire scenarier, der kan gøre mest skade på drift, økonomi og tillid, og få dem testet med et lille scope, klare acceptkriterier og en fast retest.
Start med de spørgsmål, der betyder noget for din virksomhed: Kan en konto overtages og misbruges? Kan en falsk betalingskæde gennemføres? Kan vi gendanne et kritisk system hurtigt nok? Kan følsomme data forlade virksomheden uden at nogen reagerer? Når de spørgsmål bliver testet i praksis, får ledelsen et svar, der kan bruges. Ikke bare en rapport, men et beslutningsgrundlag.
Hvis du vil forberede virksomheden før en defensiv pentest, kan du begynde med et sikkerhedstjek, læse mere om pentest som disciplin, eller sætte governance og krav i system via modenhedsanalyse. Det vigtigste er ikke flere værktøjer. Det vigtigste er at få et dokumenterbart svar på, om jeres vigtigste sikkerhed faktisk virker.