Kontakt

Hvor ofte bør din SMV penteste? Tommelfingerregel og årshjul

FORFATTER

Alan M. Kristensen

Executive summary

Angreb via udnyttede sårbarheder er vokset kraftigt. Verizon DBIR 2024 viser, at udnyttelse som første indgang næsten tredoblede fra året før, cirka 180 procent, og stod for 14 procent af brud. Det hænger sammen med kendte sager som MOVEit og peger på et behov for at teste efter ændringer, ikke kun efter kalenderen. Kilde: Verizon DBIR 2024.

Samtidig stiller krav som PCI DSS v4.0 og GDPR artikel 32 krav om henholdsvis årlige penetrationstest og test efter væsentlige ændringer samt en proces for regelmæssig test og evaluering af sikkerhedsforanstaltninger. Kilder: PCI DSS 11.4.2 og GDPR art. 32. For ledere i danske SMV’er betyder det, at frekvens og dokumentation er et styringsansvar.

Her får du en enkel tommelfingerregel, et praktisk årshjul og en konkret trigger-liste, som gør det muligt at planlægge og dokumentere pentest på de rigtige tidspunkter. Fokus er effektiv risikostyring og forretningskontinuitet, ikke flere tests end nødvendigt.

Hvorfor timing er vigtigere end kalenderen

Brud starter i stigende grad med sårbarheder, som ikke er lukket i tide. DBIR 2024 peger på markant vækst i sårbarhedsudnyttelse som første skridt ind i virksomheden. Det er et tydeligt signal om, at en årlig fast dato ikke er nok, hvis jeres it-landskab ændrer sig løbende. Kilde: Verizon om DBIR 2024.

Compliance trækker i samme retning. PCI DSS v4.0 kræver penetrationstest mindst én gang årligt og efter væsentlige ændringer i kortdata-miljøet. GDPR artikel 32 kræver en proces for regelmæssig test, vurdering og evaluering af sikkerhedsforanstaltninger. NIS2 artikel 21 lægger vægt på sårbarhedshåndtering, leverandørstyring og løbende effektivitet i kontrollerne. Kilder: PCI DSS 11.4.2, GDPR art. 32, NIS2 art. 21.

Konsekvensen for ledelsen er klar. Pentest skal bruges målrettet til at validere, at væsentlige ændringer ikke har åbnet nye huller, og at kritiske systemer kan modstå kendte angrebsveje. Det er dokumentation, du kan lægge på bordet i bestyrelsen og over for kunder.

Den enkle tommelfingerregel for danske SMV’er

Brug en beslutningsmodel i tre trin. Den tager højde for risiko, eksponering og ændringstempo, så I kan planlægge test uden at overgøre det.

  • Risiko: Hvad er forretningskonsekvensen ved nedetid eller datalæk i jeres mest kundevendte systemer og integrationspunkter
  • Eksponering: Hvor let er I at ramme Udefra via internetvendte applikationer, VPN, API’er og fjernadgang. Internt via brugere og leverandører
  • Ændringstempo: Hvor tit releaser I, migrerer I til cloud, skifter leverandører eller ændrer jeres netværk

Tommelfingerreglen, når du har vurderet de tre parametre:

  • Lav risiko og lavt ændringstempo: Årlig målrettet pentest af det mest kritiske scope. Løbende sårbarhedsscanning kvartalsvist
  • Mellem risiko eller moderat ændringstempo: Halvårlig pentest af kritiske systemer. Kvartalsvis retest efter udbedringer. Scanning månedligt
  • Høj risiko, høj eksponering eller højt ændringstempo: Pentest hvert kvartal på afgrænset scope, der følger jeres releases. Retest som fast del af sprint. Kontinuerlig scanning

Modellen er nem at forklare og let at dokumentere for compliance. Den sikrer, at test følger jeres forretning i stedet for omvendt.

Hvis I har brug for at forstå forskellen på scanning og pentest i praksis og finde den rette balance, kan I læse om vores tilgange på pentest og sikkerhedstjek.

Årshjul for danske SMV’er

Nedenfor er et forslag til årshjul, som kombinerer scanning, målrettet pentest og retest. Det kan tilpasses jeres budget og udviklingstempo, og det kan dokumenteres over for kunder og tilsyn.

  • Q1: Scopingworkshop på 2 timer for at fastlægge kritiske flows og releases for året. Plan for sårbarhedsscanning og testvinduer. Kort baseline-check af cloud-opsætning via et sikkerhedstjek
  • Q2: Pentest af internetvendte applikationer og API’er. Retest af fund fra sidste test. Opfølgning på patch-efterslæb og prioritering
  • Q3: Pentest af infrastruktur eller identitet og adgangsstyring, afhængigt af trusselsbilledet. Leverandørgennemgang af adgang og integrationspunkter. Træning af nøglemedarbejdere via awareness træning
  • Q4: Årlig samlet vurdering mod relevante krav, fx NIS2 og ISO 27001 modenheds-analyse. Plan for næste års scope. Retest af kritiske fund

Scanning kører løbende efter aftalt kadence, fx månedligt på kritiske systemer og kvartalsvist på øvrige. Pentest placeres, hvor ændringerne sker, så testen bliver relevant for drift og forretning. Hvis I ønsker en mere håndfri løsning, kan et sikkerhedsabonnement samle scanning, træning og rådgivning i én pakke. Se Forkant.

Triggere der betyder, at I bør teste nu

Når én eller flere af disse hændelser indtræffer, er det hensigtsmæssigt at fremrykke testen. Det sikrer, at ændringer ikke introducerer nye huller, som angribere kan udnytte.

  • Release af større funktionalitet eller væsentlige kodeændringer i kundevendte systemer eller API’er
  • Migrering til cloud eller større ændring i cloud-arkitektur, fx adgangsmodeller, WAF, netværkssegmentering
  • Skift af kritisk leverandør, fx hosting, betalingsgateway, CRM eller identitetstjeneste
  • Nye integrationer til tredjepart i jeres forsyningskæde eller ændret adgang for servicepartnere
  • Hændelser eller indikatorer på angreb, fx utilsigtet eksponering, misbrug af privilegerede konti eller alarmer fra overvågning
  • Krav fra kunder eller audits, fx PCI DSS for kortdata eller NIS2-krav hos vigtige kunder i jeres kæde

At teste efter ændringer ligger i tråd med PCI DSS og styrker jeres dokumentation for GDPR artikel 32 om regelmæssig test og evaluering. Kilder: PCI DSS 11.4.2, GDPR art. 32.

Dokumentation, governance og kommunikation

En styringsmodel, der virker i praksis, gør det let at forklare over for kunder, revision og bestyrelse, hvorfor og hvornår I tester. Brug en letvægts skabelon og hold jer til det samme format hele året.

  • Formål og scope: Hvad tester vi og hvorfor. Link til systemejer og forretningsproces
  • Risikogrundlag: De tre parametre risiko, eksponering og ændringstempo. Hvad har ændret sig siden sidst
  • Valg af testtype: Scanning, pentest af applikation, netværk eller identitet. Begrundelse for valg og fravalg
  • Resultater og retest: Oversigt over væsentlige fund, status på udbedring og plan for retest
  • Compliance-mapping: Hvilke krav er opfyldt og hvordan. PCI DSS 11.4.2, GDPR art. 32 og relevante NIS2 elementer under art. 21

Den samme struktur kan bruges i jeres leverandørstyring. Bed nøgleleverandører dokumentere deres testkadence og hvordan de følger op. Det styrker hele kæden og er i tråd med NIS2’s fokus på supply chain. Kilde: NIS2 art. 21.

Hvis du vil have en ledelsesvenlig statusrapport uden teknisk overflod, kan en workshop for ledelse og bestyrelse samle beslutninger, ansvar og dokumentation på få timer.

Budget og realisme i en SMV

Pentest er et middel, ikke et mål. En simpel ramme hjælper med at holde fokus på effekt.

  • Start med scanning for at finde de brede fejl og misconfigurations til lavest mulig omkostning. Brug sikkerhedstjek som quick assessment, hvis I ikke har baseline på plads
  • Brug målrettet pentest på de mest risikofyldte områder. Afgræns scope til det, der har størst forretningsbetydning nu. Se pentest for typiske scenerier
  • Regn retest ind fra start. Retest er den hurtigste vej fra rapport til reel risikoreduktion
  • Planlæg få men faste beslutningspunkter i året, hvor ledelsen godkender scope og prioriterer udbedringer
  • Hold fokus på dokumentation. Det er ofte her, revision og kunder får tryghed, også når der ikke testes hver måned

Omkostningerne ved brud er fortsat høje globalt. IBM’s 2024 Cost of a Data Breach anslår gennemsnitlige omkostninger på 4,88 mio. USD. Det understreger værdien af rettidig test og opfølgning. Kilde: IBM 2024.

Næste skridt

Vil du have et årshjul og en trigger-liste, der passer til din virksomhed og jeres release-kadence

  • Start med en kort status og et sikkerhedstjek som baseline
  • Planlæg målrettet pentest på de systemer, der betyder mest for jeres kunder og drift
  • Skab overblik over krav og dokumentation med en modenheds-analyse mod NIS2 og ISO 27001
  • Samle scanning, træning og rådgivning i én løsning via Forkant, hvis I ønsker en hands-off model

Når I er klar til at gå fra læsning til handling, så book et uforpligtende sparringsmøde. Brug kontaktformularen eller ring på +45 3121 5500.