Kontakt
,

Scanning vs. pentest: Hvad skal din SMV vælge?

FORFATTER

Alan M. Kristensen

Executive Summary

Mange SMV’er køber enten en automatisk sårbarhedsscanning eller en enkeltstående pentest. Problemet er, at ingen af delene skaber nok værdi alene, hvis fundene ikke bliver prioriteret, udbedret og kontrolleret bagefter. Resultatet er ofte lange lister, teknisk støj og usikkerhed i ledelsen om, hvad der faktisk er vigtigt.

For din virksomhed handler valget derfor sjældent om scanning eller pentest. Det handler om timing og formål. En scanning fungerer som et termometer, der hurtigt viser, hvor der kan være tegn på problemer. En pentest fungerer mere som en brandøvelse med realistiske scenarier, hvor man undersøger, hvordan en angriber faktisk kan udnytte hullerne i praksis.

Den enkle model for danske SMV’er er at kombinere begge dele i en fast rytme: baseline scanning, målrettet pentest og retest. Det giver bedre prioritering, tydeligere ejerskab og dokumenterbar risikoreduktion. Samtidig passer det godt til krav om passende sikkerhed og løbende risikohåndtering, som man blandt andet møder i GDPR artikel 32 og NIS2.

Scanning og pentest løser ikke det samme problem

Det er her, mange beslutninger går skævt. En sårbarhedsscanning er god til at finde kendte fejl hurtigt og bredt. Den kan pege på manglende opdateringer, åbne porte, fejlkonfigurationer eller svage standardopsætninger. NIST beskriver netop vulnerability scanning som en del af teknisk sikkerhedstest og fremhæver, at forskellige testformer har forskellige styrker og begrænsninger. Se NIST SP 800-115.

En pentest går et skridt videre. Her undersøger man, om sårbarhederne faktisk kan udnyttes, hvad konsekvensen er, og hvor langt en angriber realistisk kan komme. OWASP beskriver web security testing som en struktureret metode til at teste sikkerheden i applikationer og services, mens CISA fremhæver penetration testing som en måde at identificere og validere udnyttelige svagheder på. Se OWASP Web Security Testing Guide.

I forretningssprog er forskellen enkel. Scanning svarer til at måle temperatur. Pentest svarer til at teste, om brandalarmen, nødudgangen og beredskabet virker, når noget faktisk går galt. Hvis du kun scanner, får du ofte en liste. Hvis du kun pentester én gang, får du et øjebliksbillede. Ingen af delene er nok, hvis din virksomhed vil arbejde systematisk med risikostyring.

Hvornår giver scanning mest mening?

Scanning er typisk det rigtige første lag. Især i en SMV, hvor tiden er knap, og hvor man har brug for overblik før dybde. En god scanning kan hjælpe din virksomhed med at opdage kendte sårbarheder og misconfigurations tidligt, før de udvikler sig til driftstab eller et brud med persondata.

Det er særligt relevant, når du vil skabe en baseline. Det kan være efter ændringer i firewall, cloudmiljø, VPN, Microsoft 365, hjemmesider eller eksternt eksponerede systemer. Det kan også være som fast månedlig eller kvartalsvis rutine, så sikkerhed bliver en del af driften og ikke kun et projekt.

Scanning har dog en tydelig begrænsning. Den fortæller ikke altid, hvilke fund der faktisk er forretningskritiske. En liste med 80 fund hjælper ikke ledelsen meget, hvis ingen kan svare på, hvilke tre der bør løses først. Derfor giver scanning størst værdi, når den kobles med prioritering, ansvar og en plan for opfølgning. Hvis du vil arbejde mere struktureret med baseline og konfigurationskontrol, er et sikkerhedstjek ofte et naturligt første trin.

Hvornår giver pentest mest mening?

Pentest giver mest mening, når du vil have svar på et mere forretningsnært spørgsmål: Hvad kan en angriber faktisk opnå hos os? Her bliver testen mere målrettet. Det kan være mod en kundeportal, en webshop, en VPN-løsning, et betalingsflow eller adgangen til Microsoft 365.

For en dansk SMV er pointen ikke nødvendigvis at teste alt. Pointen er at teste det, der kan skade forretningen mest. Hvis en angriber kan overtage mailen, ændre betalingsdialoger eller få adgang til persondata, er konsekvensen ofte større end antallet af tekniske fund i rapporten. Det er derfor pentest er så værdifuldt som ledelsesværktøj. Det oversætter teknik til sandsynlighed, konsekvens og prioritering.

NIST peger på, at tekniske tests bør planlægges, udføres og bruges som grundlag for afhjælpning. Det er også i tråd med den måde mange SMV’er arbejder med løbende risikostyring. Hvis virksomheden samtidig arbejder med compliance, kan en målrettet test understøtte dokumentation for passende sikkerhed efter GDPR artikel 32 og for risikohåndteringstiltag efter NIS2. Har du brug for at teste udnyttelige svagheder i praksis, er en pentest det rigtige værktøj.

Den model der virker i praksis: scan, pentest, retest

For de fleste SMV’er er den bedste løsning ikke at vælge side. Det er at skabe en enkel rytme, der gør forbedringer målbare. Her fungerer en 3-lags model godt.

  1. Baseline scanning: Find kendte sårbarheder og fejlopsætninger hurtigt og regelmæssigt.
  2. Målrettet pentest: Test de vigtigste systemer eller forretningskritiske flows med realistiske scenarier.
  3. Retest og validering: Kontroller at de vigtigste fund faktisk er lukket, og at risikoen reelt er reduceret.

Det tredje led bliver ofte glemt. Det er en fejl. Uden retest ved du ikke, om problemet er løst, eller om det bare er flyttet. Mange virksomheder står derfor med en rapport, men uden dokumentation for effekt. Det gør både ledelsesrapportering og compliance sværere end nødvendigt.

Hvis din virksomhed vil gøre denne rytme til en fast del af styringen, kan det give mening at tænke i et abonnement eller en fast model, hvor scanning, opfølgning og dokumentation hænger sammen. Her kan Forkant™ eller en modenhedsanalyse være relevante pejlemærker afhængigt af, om behovet er driftstakt eller compliance-overblik.

Et mini-årshjul for en travl SMV

Du behøver ikke et tungt program for at komme på forkant. Et enkelt årshjul er ofte nok, hvis rollerne er klare, og opfølgningen er fast.

  • Hver måned: Kør baseline scanning på eksternt eksponerede systemer og følg op på kritiske fund.
  • Hvert kvartal: Gennemgå status med ledelsen. Hvilke fund er åbne, lukkede eller forsinkede?
  • 1 til 2 gange om året: Gennemfør målrettet pentest af de mest kritiske systemer eller flows.
  • Efter større ændringer: Kør ekstra scanning eller pentest ved ny portal, større cloudændringer, ny leverandørintegration eller større netværksomlægning.
  • Efter afhjælpning: Bestil retest på de fund, der havde høj forretningspåvirkning.

Den rytme gør to ting. Den reducerer risiko løbende, og den gør det lettere at dokumentere, at din virksomhed ikke kun tester, men også følger op. Hvis du vil forankre styringen på ledelsesniveau, kan en workshop for ledelse og bestyrelse hjælpe med at afklare roller, ansvar og beslutningskriterier i et sprog, der giver mening uden tekniske detaljer.

5 spørgsmål ledelsen kan stille i morgen

Du behøver ikke være tekniker for at styre indsatsen bedre. Start med disse fem spørgsmål til din IT-ansvarlige eller MSP.

  1. Hvilke systemer scanner vi fast i dag, og hvor ofte sker det?
  2. Hvilke tre fund ville have størst konsekvens for drift, økonomi eller persondata, hvis de blev udnyttet?
  3. Hvilke systemer eller processer bør vi penteste næste gang, og hvorfor netop dem?
  4. Hvordan prioriterer vi fund, så ledelsen kan se forskel på støj og reel forretningsrisiko?
  5. Hvornår laver vi retest, så vi kan dokumentere, at de vigtigste huller er lukket?

Hvis der ikke findes klare svar på de spørgsmål, er problemet sjældent mangel på værktøjer. Det er mangel på styring og rytme. Og det er netop her, mange SMV’er kan løfte niveauet hurtigt uden at gøre sikkerhed tungt eller bureaukratisk.

Næste skridt er derfor enkelt: Få samlet jeres eksternt eksponerede systemer, vælg en fast scanningstakt, udpeg ét forretningskritisk flow til næste pentest og aftal retest allerede når testen bestilles. Så bliver sikkerhed ikke bare en rapport. Det bliver en dokumenterbar forbedring af din virksomheds modstandskraft.