Typer av säkerhetsbedömningar

Alla bedömningar är inte likadana. Valet beror på vad ni vill uppnå, vilken mognadsnivå ni har och vilka regulatoriska krav ni står inför.

Vårt råd: börja inte med en red team-övning om ni inte ens har koll på era grundläggande sårbarhetsskanningar. Det är som att anlita en inbrottstjuv för att testa ert hem när ytterdörren saknar lås.

Sårbarhetsskanning – grunden i allt säkerhetsarbete

Automatiserade verktyg identifierar kända svagheter genom att jämföra era systems konfigurationer och programvaruversioner mot publika sårbarhetsdatabaser (CVE). Det är snabbt, repeterbart och relativt billigt. Men det producerar också brus – en skanning av en mellanstor miljö kan generera hundratals fynd, varav kanske 15 procent kräver omedelbar åtgärd.

Nyckeln är inte att köra skanningen utan att ha en process för att agera på resultaten och prioritera baserat på affärskontext.

Penetrationstest – verifiering av verklig risk

Där sårbarhetsskanningen säger "denna port är öppen och kör en gammal version av OpenSSH" tar penetrationstestet vid och frågar: "Kan jag faktiskt ta mig in? Och vad når jag därifrån?" Det kräver mänsklig expertis, kreativitet och tid.

I Opsios SOC ser vi regelbundet att penetrationstester avslöjar kedjor av mindre sårbarheter som var för sig ser harmlösa ut men tillsammans ger en angripare fullständig åtkomst. Det är den typen av insikter som automatiserade verktyg inte fångar.

Regulatoriska krav för svenska företag

NIS2-direktivet

NIS2-direktivet utvidgar kretsen av organisationer som omfattas av cybersäkerhetskrav. Direktivet ställer explicita krav på riskbedömningar, incidentrapportering (inom 24 timmar för tidiga varningar, 72 timmar för fullständig rapport) och ledningens ansvar. Ledningen kan hållas personligt ansvarig om säkerhetsarbetet brister.

Det innebär att säkerhetsbedömningen inte bara är en IT-fråga – det är en styrelserum-fråga. Om ni inte kan visa att ni genomfört dokumenterade riskbedömningar och vidtagit proportionella åtgärder, har ni ett regulatoriskt problem oavsett om ni faktiskt drabbats av ett intrång eller inte.

GDPR och IMY:s tillsyn

GDPR kräver "lämpliga tekniska och organisatoriska åtgärder" (artikel 32) för att skydda personuppgifter. Integritetsskyddsmyndigheten (IMY) har i flera tillsynsbeslut under 2024–2025 visat att man faktiskt granskar om organisationer genomfört riskbedömningar – inte bara om de har en informationssäkerhetspolicy.

IMY:s sanktionsavgifter har ökat markant sedan myndigheten fick utökade resurser. Att kunna visa en dokumenterad, regelbunden säkerhetsbedömningsprocess är ett av de starkaste argumenten vid en granskning.

Branschspecifika krav

Utöver de generella kraven tillkommer branschspecifika regelverk:

• Finanssektorn: Finansinspektionens föreskrifter om IT-styrning (FFFS 2014:5, uppdaterad), DORA-förordningen
• Hälso- och sjukvård: Patientdatalagen, Socialstyrelsens föreskrifter
• Betalkort: PCI DSS 4.0 (med krav på kontinuerlig säkerhetsvalidering)

Så genomför ni en säkerhetsbedömning – steg för steg

1. Definiera scope och mål

Innan ni skannar ett enda system: bestäm vad ni vill uppnå. Är det compliance-driven? Är det att säkra en digital transformation? Handlar det om att verifiera säkerheten inför en M&A-process?

Scopet styr allt – resurser, tidsplan, metod och vilka intressenter som behöver involveras. Ett vanligt misstag är att försöka bedöma allt på en gång. Börja med era mest kritiska tillgångar: system som hanterar personuppgifter, kundvända applikationer, och infrastruktur som stödjer kärnverksamheten.

2. Identifiera och klassificera tillgångar

Ni kan inte skydda det ni inte vet om. En tillgångsinventering som inkluderar molnresurser, SaaS-tjänster och skugg-IT är ett nödvändigt första steg.

I AWS-miljöer (exempelvis i eu-north-1, Stockholm-regionen) ser vi ofta resurser som skapats för tillfälliga projekt men aldrig avvecklats – med öppna säkerhetsgrupper och IAM-roller som har för breda behörigheter. I Azure Sweden Central är det liknande mönster.

Molnsäkerhet

3. Genomför den tekniska bedömningen

Här körs sårbarhetsskanningar, granskas konfigurationer mot CIS Benchmarks eller leverantörernas egna ramverk (AWS Well-Architected Framework, Azure Architecture Center), och vid behov penetrationstester.

Viktiga områden att täcka:

• Identitets- och åtkomsthantering (IAM) – överflödiga behörigheter, avsaknad av MFA, inaktiva konton
• Nätverkssegmentering – kan en angripare röra sig lateralt efter initial åtkomst?
• Kryptering – data i vila och under transport, hantering av nycklar
• Patchstatus – hur lång tid tar det från CVE-publicering till att patchen är applicerad?
• Loggning och övervakning – kan ni ens upptäcka ett pågående intrång?

4. Bedöm organisatorisk mognad

Tekniska kontroller hjälper inte om processerna brister. Granska:

• Incidenthanteringsplaner – finns de, och har de testats?
• Behörighetshantering – hur hanteras onboarding och offboarding?
• Säkerhetsmedvetenhet – utbildas personalen regelbundet?
• Leverantörshantering – hur bedöms tredjepartsrisker?

5. Riskklassificering och prioritering

Varje identifierad sårbarhet klassificeras efter:

• Sannolikhet för utnyttjande (baserat på exponering, komplexitet, tillgängliga exploits)
• Affärspåverkan om den utnyttjas (driftstopp, dataförlust, regulatoriska sanktioner, reputationsskada)

Det ger en riskmatris som gör det möjligt att fokusera resurserna där de gör störst nytta. En kritisk sårbarhet i ett internetexponerat system med personuppgifter är inte samma prioritet som en medelhög sårbarhet i ett internt testsystem.

6. Rapportering och handlingsplan

En bra säkerhetsbedömningsrapport innehåller:

• Ledningssammanfattning – 2–3 sidor som styrelsen kan läsa
• Teknisk detaljrapport – för IT- och säkerhetsteamet
• Prioriterad åtgärdslista – med ägare, tidsram och uppskattad insats
• Koppling till regulatoriska krav – vilka brister som påverkar GDPR/NIS2-efterlevnad

Vanliga misstag vi ser i produktion

Från Opsios SOC/NOC-perspektiv stöter vi regelbundet på samma mönster:

Bedömningen blir en engångshändelse. Hotlandskapet förändras kontinuerligt. En bedömning som genomfördes för 18 månader sedan beskriver inte er nuvarande riskbild. Enligt Flexeras State of the Cloud har molnadoption och komplexitet ökat stadigt år efter år – er säkerhetsbedömning måste hålla samma takt.

Ingen agerar på resultaten. En rapport med 200 fynd som ingen prioriterar eller åtgärdar har noll säkerhetsvärde. Vi rekommenderar att koppla varje kritiskt fynd till en JIRA-biljett med ägare och deadline.

Molnmiljön glöms bort. Många företag som migrerat till AWS eller Azure bedömer fortfarande bara sin on-premise-infrastruktur. Molnkonfigurationer – särskilt IAM-policyer, S3-bucket-åtkomst och nätverksregler – är bland de vanligaste ingångsvägarna vi ser i incidentutredningar.

Molnmigrering

Säkerhet behandlas isolerat från verksamheten. De mest framgångsrika organisationerna integrerar säkerhetsbedömningen med sin övergripande riskhantering och affärsplanering.

Kontinuerlig bedömning vs. punktinsatser

Det finns ett tydligt mognadssprång mellan organisationer som gör säkerhetsbedömningar som årliga projekt och de som har byggt in kontinuerlig bedömning i sin drift.

Managerade molntjänster

Med moderna verktyg och en managerad SOC-tjänst går det att automatisera stora delar av den löpande bedömningen: konfigurationskontroller i molnmiljön, kontinuerliga sårbarhetsskanningar, och automatiserade compliance-kontroller mot exempelvis CIS Benchmarks eller NIS2-krav.

Managerad DevOps

Så väljer ni rätt partner

Om ni väljer att ta in extern hjälp – vilket vi rekommenderar åtminstone för penetrationstester och oberoende granskningar – leta efter:

• Dokumenterad erfarenhet av svensk reglering (GDPR, NIS2, IMY-tillsyn)
• Certifieringar: OSCP, OSCE, CREST för penetrationstestare; ISO 27001 Lead Auditor för organisatoriska granskningar
• Transparens i metodik: ramverk som OWASP, NIST CSF, ISO/IEC 27001 bör ligga till grund
• Förmåga att kommunicera med ledningen – inte bara teknisk rapportering
• Lokal närvaro och SOC-kapacitet för att stödja uppföljning och incidenthantering

Molnsäkerhet

Vanliga frågor

Hur ofta bör ett svenskt företag genomföra säkerhetsbedömningar?

Minst årligen för en övergripande bedömning, men kritiska system bör genomgå kontinuerlig sårbarhetsskanning och penetrationstester kvartalsvis eller vid större förändringar. NIS2-direktivet förväntar sig riskbedömningar som hålls uppdaterade, inte engångsdokument.

Vad är skillnaden mellan en sårbarhetsskanning och ett penetrationstest?

En sårbarhetsskanning är automatiserad och identifierar kända svagheter i system och konfigurationer. Ett penetrationstest utförs av säkerhetsspecialister som aktivt försöker utnyttja svagheter för att verifiera verklig risk. Skanningen ger bredd, penetrationstestet ger djup – båda behövs i en mogen säkerhetsstrategi.

Vilka regulatoriska krav påverkar säkerhetsbedömningar i Sverige?

GDPR (via IMY) kräver tekniska och organisatoriska skyddsåtgärder. NIS2-direktivet ställer explicita krav på riskhantering och incidentrapportering. Beroende på bransch tillkommer PCI DSS (betalkort), DORA (finanssektorn), ISO 27001 och sektorspecifika regelverk från exempelvis Finansinspektionen.

Kan vi genomföra säkerhetsbedömningen helt internt?

Interna team har värdefull kontextkunskap men saknar ofta angriparens perspektiv och oberoende. Särskilt penetrationstester bör utföras av externa specialister. Bäst resultat uppnås med en kombination: internt ägarskap av processen, extern verifiering av kritiska system, och en managerad SOC-tjänst för löpande övervakning.

Hur kopplar vi säkerhetsbedömningen till affärsbeslut?

Klassificera varje identifierad risk efter sannolikhet och affärspåverkan – inte bara teknisk allvarlighetsgrad. Presentera resultaten i termer som ledningen förstår: potentiell driftstörning, regulatoriska sanktioner, förlust av kundförtroende. Det gör det möjligt att prioritera säkerhetsinvesteringar rationellt och förankra säkerhetsarbetet på styrelseksnivå.

For hands-on delivery in India, see azure managed for enterprise.

For hands-on delivery in India, see disaster recovery for enterprise.

For hands-on delivery in India, see drift for enterprise.