Offensiv säkerhet

Penetrationstestning — Certifierade etiska hackare, inte skannrar

Rating: 5
Author: Magnus Norman

Automatiserade skannrar hittar kända CVE:er men missar attackerna som faktiskt leder till intrång — kedjade exploateringar, affärslogikbrister och molnfelkonfigurationer. Opsios OSCP- och CREST-certifierade etiska hackare simulerar verkliga angripartekniker för att bevisa vad som är exploaterbart, inte bara vad som är teoretiskt sårbart.

Boka kostnadsfri scoping Se vad som ingår

Över 100 organisationer i 6 länder litar på oss · 4.9/5 kundbetyg

500+

Tester genomförda

OSCP

Certifierade

48h

Rapportleverans

CREST

Ackrediterade

OWASP

CREST

OSCP

PCI DSS

ISO 27001

NIS2

Vad är Penetrationstestning?

Penetrationstestning är en kontrollerad cybersäkerhetsbedömning där certifierade etiska hackare simulerar verkliga angripartekniker mot applikationer, infrastruktur, API:er och molnmiljöer för att bevisa vilka sårbarheter som är exploaterbara.

Varför ditt företag behöver Professionell penetrationstestning

Automatiserade sårbarhetsskannrar hittar kända CVE:er i programvaruversioner och konfigurationer, men sofistikerade angripare använder inte skannrar. De kedjar samman låg-allvarlighetsfynd, exploaterar affärslogikbrister, missbrukar moln-IAM-felkonfigurationer och utnyttjar förtroendeförhållanden mellan system som automatiserade verktyg missar helt. Genomsnittlig tid från sårbarhetsavslöjande till aktiv exploatering har sjunkit till 15 dagar — och för kritiska sårbarheter är det ofta timmar. Opsios penetrationstestning går långt bortom skanning. Våra certifierade etiska hackare — med OSCP, CREST CRT, GPEN och CEH-certifieringar — testar manuellt dina system med samma tekniker, verktyg och attackkedjor som verkliga hotaktörer använder. Vi använder Burp Suite Professional för webbapplikationstestning, skräddarsydda skript för API-fuzzing, molnspecifika verktyg som Pacu (AWS) och ScoutSuite (multi-moln).

Utan regelbunden penetrationstestning opererar organisationer med en falsk känsla av säkerhet. Sårbarhetsskannrar rapporterar 'inga kritiska fynd' medan affärslogikbrister tillåter obehörig dataåtkomst, API-endpoints läcker känslig information och moln-IAM-roller ger vägar till fullständig kontokompromettering. Efterlevnadsramverk inklusive PCI DSS, ISO 27001, NIS2 och SOC 2 kräver regelbunden penetrationstestning.

Varje Opsio-penetrationstestningsuppdrag inkluderar detaljerad scoping och engagemangsregler, OSINT-rekognosering och attackytemappning, manuell exploatering med proof-of-concept för varje fynd, affärspåverkansanalys per sårbarhet, en prioriterad åtgärdsrapport inom 48 timmar samt ett kostnadsfritt omtest efter åtgärd.

Vanliga penetrationstestningsutmaningar vi löser: webbapplikationer med OWASP Top 10-sårbarheter som skannrar flaggar men inte kan bekräfta, API:er med broken object-level authorization (BOLA) som tillåter cross-tenant dataåtkomst, molnmiljöer med IAM-privilegieeskaleringsvägar och interna nätverk med Active Directory-felkonfigurationer.

Vår scoping-process definierar tydliga mål, testgränser och framgångskriterier innan testning börjar. Vi använder OWASP Testing Guide, PTES, NIST SP 800-115 och CREST-standarder. Oavsett om du planerar ditt första penetrationstest eller driver ett kontinuerligt testprogram levererar Opsio offensiv säkerhetsexpertis för att identifiera och bevisa verklig risk.

Det svenska hotlandskapet har förändrats dramatiskt under de senaste åren, med en markant ökning av riktade cyberattacker mot organisationer inom kritisk infrastruktur. NIS2-direktivet ställer nu skärpta krav på att organisationer implementerar proportionerliga säkerhetsåtgärder och kan demonstrera systematiskt informationssäkerhetsarbete. MSB:s föreskrifter förstärker dessa krav med specifika riktlinjer för svenska organisationer inom tillverkning, finans, sjukvård och detaljhandel. Dataskyddsförordningen (GDPR) adderar ytterligare lager av krav på hur personuppgifter skyddas tekniskt och organisatoriskt.

Opsio hjälper svenska organisationer att navigera detta komplexa regulatoriska landskap genom att implementera säkerhetslösningar som uppfyller alla tillämpliga krav. Vår approach kombinerar teknisk expertis med djup förståelse för det nordiska regulatoriska landskapet, vilket säkerställer att era säkerhetsinvesteringar ger maximal utdelning både tekniskt och regulatoriskt. Vi arbetar proaktivt med kontinuerlig övervakning och förbättring för att hålla jämna steg med det föränderliga hotlandskapet.

Genom att välja Opsio som säkerhetspartner får ni tillgång till ett team som förstår de specifika utmaningar som svenska organisationer står inför. Vi erbjuder skräddarsydda lösningar som balanserar säkerhet, efterlevnad och kostnadseffektivitet — oavsett om ni verkar inom tillverkning, finans, sjukvård eller detaljhandel. Vår erfarenhet av att implementera säkerhetslösningar i nordiska miljöer ger er en partner som kan leverera från dag ett.

WebbapplikationspenetrationstestningOffensiv säkerhet

Infrastruktur- och nätverkspenetrationstestningOffensiv säkerhet

MolnpenetrationstestningOffensiv säkerhet

API-säkerhetstestningOffensiv säkerhet

Social engineering och nätfiskebedömningOffensiv säkerhet

Åtgärdsverifiering och omtestningOffensiv säkerhet

OWASPOffensiv säkerhet

CRESTOffensiv säkerhet

OSCPOffensiv säkerhet

WebbapplikationspenetrationstestningOffensiv säkerhet

Infrastruktur- och nätverkspenetrationstestningOffensiv säkerhet

MolnpenetrationstestningOffensiv säkerhet

API-säkerhetstestningOffensiv säkerhet

Social engineering och nätfiskebedömningOffensiv säkerhet

Åtgärdsverifiering och omtestningOffensiv säkerhet

OWASPOffensiv säkerhet

CRESTOffensiv säkerhet

OSCPOffensiv säkerhet

Så står vi oss i jämförelsen

Förmåga	Egna skannrar	Generisk MSSP	Opsio penetrationstestning
Testmetodik	Enbart automatiserade skanningar	Juniora analytiker + skannrar	OSCP/CREST manuell testning
Affärslogiktestning	Ej möjligt	Grundläggande	Fullständig täckning
Molnspecifik testning	Generiska molnskanningar	Begränsad	AWS, Azure, GCP-specifika attacker
Rapportkvalitet	Skannerutdata	Mallbaserad	Skräddarsydd med PoC + åtgärd
Omtest ingår	Nej	Extra kostnad	Kostnadsfritt omtest ingår
Efterlevnadsmappning	Ingen	Grundläggande	PCI DSS, ISO, NIS2, SOC 2
Typisk kostnad per uppdrag	$1–3K (skannerlicens)	$5–15K (begränsad manuell)	$5–40K (fullständig manuell + omtest)

Det här levererar vi

Webbapplikationspenetrationstestning

Manuell testning av webbapplikationer mot OWASP Top 10 med Burp Suite Professional: SQL injection, XSS, CSRF, SSRF, insecure deserialization, broken authentication och affärslogikbrister. Integrerar med befintliga säkerhetsverktyg och uppfyller svenska regulatoriska krav inklusive NIS2-direktivet och MSB:s föreskrifter om informationssäkerhet.

Infrastruktur- och nätverkspenetrationstestning

Extern och intern nätverkspenetrationstestning med Nmap, Metasploit, BloodHound och skräddarsydda verktyg. Vi testar perimeterförsvar, lateral rörelse och privilegieeskalering genom Active Directory. Designad för att möta svenska organisationers krav på säkerhet och efterlevnad av NIS2-direktivet, GDPR och MSB:s föreskrifter.

Molnpenetrationstestning

Molnspecifik testning för AWS, Azure och GCP med Pacu, ScoutSuite och molnbaserade verktyg: IAM-privilegieeskalering, S3/Blob/GCS-felkonfiguration, metadata-tjänstexploatering och molnbaserade attackkedjor. Lösningen uppfyller NIS2-direktivets och MSB:s krav och är anpassad för svenska organisationer inom tillverkning, finans, sjukvård och detaljhandel som behöver robust skydd.

API-säkerhetstestning

REST, GraphQL och gRPC API-testning för BOLA/IDOR-sårbarheter, autentiseringsbypass, injektionsattacker, mass assignment och känslig dataexponering mot OWASP API Security Top 10. Integrerar med befintliga säkerhetsverktyg och uppfyller svenska regulatoriska krav inklusive NIS2-direktivet och MSB:s föreskrifter om informationssäkerhet.

Social engineering och nätfiskebedömning

Riktade phishing-kampanjer, spear-phishing-simuleringar och vishing-bedömningar för att utvärdera din mänskliga brandvägg med detaljerade mätvärden. Lösningen uppfyller NIS2-direktivets och MSB:s krav och är anpassad för svenska organisationer inom tillverkning, finans, sjukvård och detaljhandel som behöver robust skydd.

Åtgärdsverifiering och omtestning

Efter att ditt team åtgärdat fynd omtestar vi varje sårbarhet — ingen extra kostnad. Uppdaterade rapporter bekräftar åtgärdsstatus med efterlevnadsredo dokumentation. Designad för att möta svenska organisationers krav på säkerhet och efterlevnad av NIS2-direktivet, GDPR och MSB:s föreskrifter.

Redo att komma igång?

Boka kostnadsfri scoping

Det här får ni

Executive summary med övergripande riskbetyg och nyckelfynd

Detaljerade tekniska fynd med CVSS-poäng och proof-of-concept

Affärspåverkansanalys per sårbarhet

Steg-för-steg åtgärdsvägledning för varje fynd

OWASP Top 10 och CIS-benchmark-mappning

Molnspecifika fynd med IAM- och konfigurationsdetaljer

Social engineering-kampanjresultat med mätvärden

Omtestrapport med godkänt/underkänt per fynd

Efterlevnadsbevispaket för PCI DSS, ISO 27001, NIS2, SOC 2

Attacknarrativ som dokumenterar fullständig exploateringskedja

“Opsio har varit en pålitlig partner i hanteringen av vår molninfrastruktur. Deras expertis inom säkerhet och managerade tjänster ger oss förtroendet att fokusera på vår kärnverksamhet, med vetskapen om att vår IT-miljö är i goda händer.”

Magnus Norman

IT-chef, Löfbergs

Prisöversikt

Transparent prissättning. Inga dolda avgifter. Offert baserad på omfattning.

Webbapplikationstest

$5 000–$15 000

Per applikation

Mest populär

Infrastruktur + molntest

$8 000–$25 000

Per miljö

Fullständigt uppdrag

$15 000–$40 000

App + infra + moln + omtest

Transparent prissättning. Inga dolda avgifter. Offert baserad på omfattning.

Frågor om prissättning? Låt oss diskutera era specifika behov.

Begär offert

Därför väljer företag Opsio

OSCP- och CREST-certifierade testare

Varje uppdrag bemannas av OSCP, CREST CRT eller GPEN-certifierade hackare — inte juniora analytiker.

Manuell testning, inte skannerutdata

Vi hittar affärslogikbrister, kedjade exploateringar och molnfelkonfigurationer som inga automatiserade verktyg detekterar.

Molnbaserad attackexpertis

Djup kunskap om AWS, Azure och GCP-attackytor — IAM-eskalering, metadata-missbruk, serverless injection.

Handlingsbara åtgärdsrapporter

Varje fynd inkluderar allvarlighetsgrad, proof of concept, affärspåverkan och steg-för-steg-åtgärd.

Efterlevnadsredo dokumentation

Rapporter uppfyller PCI DSS, ISO 27001, SOC 2, NIS2 och GDPR penetrationstestningskrav.

Kostnadsfritt omtest ingår

Åtgärdsverifiering utan extra kostnad — bekräftar att fixar är effektiva.

Inte säker ännu? Börja med en pilot.

Börja med en fokuserad tvåveckors bedömning. Se verkliga resultat innan ni förbinder er. Om ni går vidare krediteras pilotkostnaden mot ert projekt.

Starta en pilot

Vår leveransprocess

Scoping och engagemangsregler

Definiera testmål, gränser, testfönster och framgångskriterier. Tidsram: 2–3 dagar.

Rekognosering och attackytemappning

OSINT-insamling, subdomänenumeration, teknologifingeravtryck och attackytemappning. Tidsram: 2–5 dagar.

Manuell exploatering och testning

Certifierade testare exploaterar sårbarheter manuellt, kedjar fynd och demonstrerar affärspåverkan. Tidsram: 5–15 dagar.

Rapportering och åtgärdsverifiering

Detaljerad teknisk rapport med executive summary inom 48 timmar. Kostnadsfritt omtest. Tidsram: 2–3 dagar + omtest.

Sammanfattning

Webbapplikationspenetrationstestning
Infrastruktur- och nätverkspenetrationstestning
Molnpenetrationstestning
API-säkerhetstestning
Social engineering och nätfiskebedömning

Branscher vi arbetar med

Finans och bank

PCI DSS- och DORA-mandaterad penetrationstestning för banker och fintech.

Sjukvård

HIPAA-säkerhetstestning för sjukvårdsapplikationer.

SaaS och teknik

Kontinuerlig penetrationstestning integrerad med agila release-cykler.

Detaljhandel

Betalningssystemsäkerhet och kunddataskyddsvalidering.

Utforska mer

Vulnerability Assessment

Security & Compliance — Security

Load Testing

Security & Compliance — Security

Penetrationstestning — Certifierade etiska hackare, inte skannrar — Vanliga frågor

Vad är penetrationstestning?

Penetrationstestning är en kontrollerad cybersäkerhetsbedömning där certifierade etiska hackare simulerar verkliga attacker mot dina applikationer, infrastruktur, API:er och molnmiljöer. Till skillnad från automatiserad sårbarhetsskanning involverar penetrationstestning manuell exploatering — bevisar vilka sårbarheter som faktiskt är exploaterbara och demonstrerar affärspåverkan. Efterlevnadsramverk som PCI DSS, ISO 27001, NIS2 och SOC 2 kräver regelbunden penetrationstestning.

Vad kostar penetrationstestning?

Ett standard webbapplikationstest kostar $5 000–$15 000. Infrastrukturtestning kostar $8 000–$25 000. Molnmiljötestning kostar $8 000–$20 000. Fullständiga uppdrag kostar $15 000–$40 000. Omtestning efter åtgärd ingår utan extra kostnad. Med tanke på det svenska hotlandskapet och NIS2-direktivets krav på incidenthantering behöver organisationer en heltäckande strategi. MSB:s föreskrifter kräver dokumenterad riskhantering och regelbundna säkerhetstester. Opsio erbjuder en anpassad lösning för svenska företag inom tillverkning, finans, sjukvård och detaljhandel som behöver uppfylla Dataskyddsförordningen (GDPR) och andra regulatoriska krav genom beprövade metoder och verktyg.

Hur lång tid tar ett penetrationstest?

Webbapplikationstest: 5–10 arbetsdagar. Infrastrukturtestning: 5–15 dagar. Molnbedömningar: 5–10 dagar. API-testning: 3–7 dagar. Rapporter levereras inom 48 timmar. Totalt från scoping till slutrapport: 2–4 veckor. Svenska regulatoriska krav genom NIS2-direktivet och MSB:s föreskrifter gör detta till en prioritet för alla organisationer inom kritisk infrastruktur. Företag inom tillverkning, finans, sjukvård och detaljhandel måste kunna dokumentera sina säkerhetsåtgärder och visa efterlevnad av Dataskyddsförordningen (GDPR). Opsio levererar lösningar som uppfyller dessa krav genom automatiserad övervakning, rapportering och kontinuerlig förbättring.

Vad är skillnaden mellan penetrationstestning och sårbarhetsskanning?

Sårbarhetsskanning är automatiserad — verktyg identifierar kända CVE:er. Penetrationstestning är manuell — en certifierad testare försöker exploatera sårbarheter och kedja fynd till höginverkanattackvägar. Skanning säger vad som kan vara sårbart; penetrationstestning bevisar vad som faktiskt är exploaterbart. I Sverige skärps kraven genom NIS2-direktivet som kräver att organisationer inom kritisk infrastruktur implementerar robusta säkerhetsåtgärder. MSB ställer krav på incidentrapportering och riskhantering som måste integreras i er säkerhetsstrategi. Genom att kombinera teknisk expertis med förståelse för det svenska regulatoriska landskapet säkerställer Opsio att era säkerhetsinvesteringar ger maximal utdelning för branscher som tillverkning, finans och sjukvård.

Behöver jag penetrationstestning för efterlevnad?

PCI DSS kräver årlig penetrationstestning. ISO 27001 kräver teknisk sårbarhetshantering. NIS2 kräver testning av säkerhetsåtgärder. SOC 2 förväntar regelbundna bedömningar. GDPR artikel 32 kräver regelbunden testning. I praktiken kräver nästan alla ramverk penetrationstestning. Med tanke på det svenska hotlandskapet och NIS2-direktivets krav på incidenthantering behöver organisationer en heltäckande strategi. MSB:s föreskrifter kräver dokumenterad riskhantering och regelbundna säkerhetstester. Opsio erbjuder en anpassad lösning för svenska företag inom tillverkning, finans, sjukvård och detaljhandel som behöver uppfylla Dataskyddsförordningen (GDPR) och andra regulatoriska krav genom beprövade metoder och verktyg.

Kan ni testa molnmiljöer (AWS, Azure, GCP)?

Ja — molnpenetrationstestning är en kärnspecialitet. Vi testar AWS för IAM-privilegieeskalering, S3-felkonfigurationer och Lambda injection. Azure-testning täcker Entra ID-attacker och storage account-exponering. GCP-testning inkluderar IAM-eskalering och Cloud Function injection. Det svenska regelverket med NIS2-direktivet och MSB:s föreskrifter ställer höga krav på organisationers säkerhetsarbete. Företag inom tillverkning, finans, sjukvård och detaljhandel behöver visa att de har implementerat adekvata skyddsåtgärder. Dataskyddsförordningen (GDPR) kräver dessutom att personuppgifter skyddas genom lämpliga tekniska och organisatoriska åtgärder, vilket gör en helhetslösning nödvändig.

Kommer penetrationstestning att störa produktionssystem?

Vi vidtar omfattande försiktighetsåtgärder. Testning utförs under överenskomna fönster, vi undviker destruktiva tekniker och koordinerar i realtid. I 500+ uppdrag har vi aldrig orsakat ett oplanerat produktionsavbrott. I den svenska kontexten förstärks behovet av NIS2-direktivet som kräver att organisationer identifierar och hanterar cyberrisker systematiskt. MSB:s föreskrifter om informationssäkerhet och Dataskyddsförordningen (GDPR) ställer ytterligare krav på svenska företag. Opsio hjälper organisationer inom tillverkning, finans, sjukvård och detaljhandel att uppnå och upprätthålla efterlevnad genom tekniska lösningar anpassade för den nordiska marknaden.

Hur ofta bör vi genomföra penetrationstestning?

Bästa praxis är omfattande årlig testning som minimum, med ytterligare tester efter betydande förändringar. PCI DSS kräver årlig testning plus efter väsentliga ändringar. Vi rekommenderar minst två uppdrag per år. Svenska organisationer som omfattas av NIS2-direktivet måste implementera proportionerliga säkerhetsåtgärder baserade på en riskbedömning. MSB:s föreskrifter kräver att kritisk infrastruktur skyddas med dokumenterade processer. Dataskyddsförordningen (GDPR) adderar krav på dataskydd som måste integreras i säkerhetsarkitekturen. Opsio stödjer företag inom tillverkning, finans, sjukvård och detaljhandel med att navigera dessa överlappande krav effektivt.

Vilka penetrationstestningsverktyg använder Opsio?

Burp Suite Professional för webbapplikationer, Nmap och Metasploit för infrastruktur, BloodHound för Active Directory, Pacu för AWS, ScoutSuite för multi-moln, skräddarsydda Python-skript för API-fuzzing och Gophish för phishing-simuleringar. Detta är särskilt viktigt för svenska organisationer som lyder under NIS2-direktivet och MSB:s föreskrifter om informationssäkerhet. Företag inom tillverkning, finans, sjukvård och detaljhandel måste dokumentera sina säkerhetsprocesser och visa att de uppfyller kraven i Dataskyddsförordningen (GDPR). Opsio hjälper er att bygga en robust säkerhetsarkitektur som adresserar både tekniska och regulatoriska behov genom kontinuerlig övervakning och proaktiv hothantering.

Vad bör jag förvänta mig i en penetrationstestningsrapport?

Executive summary med övergripande riskbetyg, detaljerade tekniska fynd med CVSS-poäng, proof-of-concept-screenshots, affärspåverkansanalys, steg-för-steg åtgärdsvägledning, OWASP- och CIS-benchmark-mappning samt en efterlevnadsbevisappendix. Med tanke på det svenska hotlandskapet och NIS2-direktivets krav på incidenthantering behöver organisationer en heltäckande strategi. MSB:s föreskrifter kräver dokumenterad riskhantering och regelbundna säkerhetstester. Opsio erbjuder en anpassad lösning för svenska företag inom tillverkning, finans, sjukvård och detaljhandel som behöver uppfylla Dataskyddsförordningen (GDPR) och andra regulatoriska krav genom beprövade metoder och verktyg.

Har du fler frågor? Vårt team hjälper dig gärna.

Boka kostnadsfri scoping

Editorial standards: Written by certified cloud practitioners. Peer-reviewed by our engineering team. Updated quarterly.

Published: Mar 2026|Updated: Mar 2026|About Opsio

Redo att testa dina försvar?

Skannrar missar det hackare hittar. Boka en kostnadsfri scoping-session och se vad en OSCP-certifierad testare skulle upptäcka.

Boka kostnadsfri scoping

Penetrationstestning — Certifierade etiska hackare, inte skannrar

Kostnadsfri rådgivning

Boka kostnadsfri scoping