Sikkerhetstesteren: Her svikter IT- sikkerheten

IT sikkerhet

februar 12, 2026

Innholdsfortegnelse

I VIEW Group har vi en person med en litt uvanlig rolle. Hun jobber i kulissene, dukker opp når du minst venter det – og tester det mange tror «er helt i orden”.

La oss kalle henne Lisa, vår sikkerhetstester.

Hun gjennomfører målrettede sikkerhetstester for små og mellomstore bedrifter – for å avdekke svakheter før angriperne gjør det. Vi tok en prat med “Lisa” om hva hun ofte ser i sånne sjekker – og hva som faktisk kan forhindre angrepene.

“Jeg bryter meg inn – lovlig”

Hvis du måtte beskrive jobben din på 20 sekunder – hva gjør du egentlig?

Jeg bryter meg inn – lovlig – og ser hvor langt jeg kommer før noen stopper meg. Det kan være systemer, bygg eller mennesker. Jeg later som jeg er en angriper og ser hvor mye skade jeg kunne gjort, hvis jeg ikke hadde vært snill. Poenget er å finne hullene før noen som faktisk vil skade virksomheten gjør det.

Hva er det første du ser etter når du kommer inn hos en virksomhet?

Jeg ser på reaksjonene. Hvem reagerer på at jeg er der, hvem ikke gjør det, og hvem som allerede ser litt for komfortable ut med at ‘noen bare dukket opp’. Det gir ofte et tydelig bilde av sikkerhetskulturen lenge før jeg har sett på teknologien.

Den vanligste misforståelsen

Hva er den vanligste misforståelsen folk har om IT-sikkerhet?

At sikkerhet er noe teknisk som ‘IT tar seg av’. I realiteten er mennesker den største angrepsflaten, og sikkerhet er et felles ansvar – ikke en avdeling, et system eller et verktøy. Mange tror at sterke passord og brannmurer er nok og glemmer at én tillitsfull handling fra én ansatt kan omgå alt det tekniske på sekunder.

Hva er den billigste forbedringen som ofte gir størst effekt?

Brukerbevissthet, helt klart. Du kan ha ekstremt gode tekniske forsvar, men én person som klikker på én godt laget lenke kan rive det ned på sekunder.

Hvordan sørger dere for minimal risiko for driftsavbrudd når dere tester?

Det kommer helt an på hva vi tester. Når jeg tester mennesker, blir det som regel ingen driftsavbrudd – det er tross alt ingen vold involvert, og hittil har ingen slått meg 😀

Tekniske tester som kan påvirke kritiske systemer tas gjerne etter arbeidstid, mens ‘snillere’ tester kan gjøres på dagtid. Målet er å skape innsikt, ikke kaos.

Wi-Fi og passord: undervurderes og ofte tilgjenglig

I VIEW sin Security Posture Assessment tester «Lisa» og teamet blant annet trådløs sikkerhet (Wi-Fi), ekstern sårbarhet og passord/lekkasjer.

Når dere sjekker Wi-Fi: hva er de typiske fellene bedrifter går i?

Wi-Fi blir ofte undervurdert. Typiske feil er svake passord, gamle krypteringsmetoder, altfor stor dekning – og nettverk som gir langt mer tilgang enn de burde. Av og til er det overraskende lett å gå fra ‘bare internett’ til interne systemer.

Passord og lekkasjer: hva overrasker ledere mest når dere viser funn?

De fleste blir veldig overrasket – i hvert fall på papiret – når de ser passord på lapper, under tastaturer eller på skjermer. Klassikerne lever fortsatt. Enkle og gjenbrukte passord dukker også opp oftere enn folk liker å tro.

Når bør du ta en sjekk?

Mange venter med å sjekke sikkerheten til “noe skjer”. En målrettet sikkerhetsnivåvurdering gir en praktisk gjennomgang av de mest relevante truslene – og konkrete tiltak uten at det må bli et stort prosjekt.

Hvilke signaler betyr at ‘nå bør vi ta en sjekk’?

Endringer er et stort faresignal – nye ansatte, nye systemer, omorganiseringer eller oppkjøp. I tillegg bør man reagere når ting begynner å føles litt uoversiktlige, eller når ‘rare ting’ skjer uten at noen helt vet hvorfor.

Hvis du kunne gitt ett råd til alle daglige ledere – hva hadde det vært?

Tenk informasjonssikkerhet, ikke bare cybersikkerhet. Det handler om mennesker, rutiner og kultur like mye som teknologi – og det hele må prioriteres før noe går galt, ikke etterpå.

Hva får du ut av en sikkerhetsnivåvurdering?

Målet med en sånn test er å gi oversikt over reelle trusler, uten å gjøre dette til et alt for kostbart og omfattende prosjekt – og dere får en lettfattelig rapport med konkrete tiltak.

Leveransen består typisk av rapport til ledelsen, teknisk vedlegg for IT-ansvarlige, og et debrief-møte med gjennomgang av funn

Hva ønsker du at folk skal føle etter en sikkerhetstest – trygghet eller panikk?

Litt av begge deler, egentlig. Litt ubehag, men mest trygghet. Det skal være ubehagelig å se hvor lett man kan bli lurt, men samtidig trygt å vite at det var en test – og ikke et ekte angrep. Dette handler om læring, ikke om å ta folk.

Hva er «god nok» sikkerhet?

God nok sikkerhet er når folk har gode vaner, forstår hvorfor de gjør det de gjør, og systemene faktisk holdes oppdatert. Perfekt sikkerhet finnes ikke – men god nok gjør angrep vanskeligere, dyrere og mer synlige.

Er du nysgjerrig på om din IT – sikkerhet er bra nok?

Vi kombinerer fysiske tester (som Lisa beskriver) med tekniske kontroller av blant annet Wi-Fi, eksterne sårbarheter og passord/lekkasjer.

Du velger omfanget – og får en lettfattelig rapport med konkrete tiltak og en gjennomgang i etterkant. Lurer du på hvordan dette kan se ut for deg? Ta kontakt her for en prat, eller ta direkte kontakt med vår ekspert Lars Gunnar.