← All articles

Vad är ett pentest? Komplett guide för svenska företag 2026

Alexander Norman
pentestpenetrationstestsäkerhetowaspnybörjare

Definition: penetrationstest = simulerad attack med tillstånd

Ett penetrationstest (pentest) är en säkerhetsbedömning där en erfaren tester, med uttryckligt skriftligt tillstånd från ägaren, försöker bryta sig in i ett IT-system. Målet är att hitta sårbarheter innan en riktig angripare gör det.

Skillnaden mot en angripare: scope, lagligt mandat och en rapport som beskriver fynd + åtgärder.

Pentest vs sårbarhetsskanning, inte samma sak

Aspekt Sårbarhetsskanning Pentest
Metod Automatiserad, verktyg jämför mot CVE-databas Manuell + automatiserad, kreativitet räknas
Djup Kända CVE-mönster Affärslogik, attackkedjor, kreativa bypasses
Tid Minuter Dagar till veckor
Pris Från ~250 kr/månad 15 000–500 000+ kr per uppdrag
False positives Hög andel (10-40%) Låg (verifieras manuellt)
Affärslogikfel Hittar ej Hittar
Auth bypass Hittar bara enkla fall Hittar komplexa kedjor
Frekvens Dagligen Årligen + efter större förändringar

I praktiken: bra säkerhetsläge har båda. Sårbarhetsskanning fångar de 80% av sårbarheter som är kända CVE:er. Pentest fångar de återstående 20% som är specifika för din applikation.

Vilka typer av pentest finns?

1. Webbapplikationspentest

Test av en eller flera webbapplikationer. SQL-injection, XSS, CSRF, autentiseringsbrister, affärslogikfel. Vanligast pentest-typen i Sverige.

2. Nätverkspentest (extern)

Test mot din externa infrastruktur. IP-adresser, brandväggar, exponerade tjänster. Kombineras ofta med portskanning och sårbarhetsutnyttjande.

3. Nätverkspentest (intern)

Tester som om angriparen redan tagit sig in i nätverket. Lateral rörelse, privilegieeskalering, AD-attacker. Ofta kombineras med en Assumed Breach-modell.

4. Mobilapplikationspentest

Android- och iOS-appar. Testar lokal datalagring, API-säkerhet, certifikat-pinning, jailbreak-detektion, reverse engineering-skydd.

5. API-pentest

Specifikt för REST/GraphQL/gRPC-API:er. OWASP API Security Top 10: BOLA, BFLA, mass assignment, rate limiting, autentiserings-/auktorisationsfel.

6. Molnpentest (AWS, Azure, GCP)

Felkonfigurationer i molnmiljöer. IAM-politik, exponerade S3-buckets, Azure Storage, K8s-misconfigurations.

7. Red Team

Inte ett pentest i strikt mening, ett målbaserat uppdrag där teamet försöker uppnå ett affärsmål (exempelvis "läs CFO:s mejl") med valfria medel: phishing, fysisk inbrott, social engineering, tekniska attacker. Veckor till månader.

8. Social engineering / phishing-test

Test av människor och processer. Phishing-simuleringar, vishing (röstphishing), USB-drops, fysisk inbrott. Mäter både teknik (e-postfilter) och beteende (klick-rate).

9. OT/ICS/SCADA-pentest

Industriella styrsystem. Hög försiktighet, fel utförd test kan stänga av fabriker. Kräver specialiserad kompetens och samordning med drift.

Black box, grey box, white box

Tre nivåer av information:

  • Black box, testaren får inget. Måste själv kartlägga. Mest realistisk men dyrast eftersom mycket tid går åt kartläggning.
  • Grey box, testaren får begränsad information (en användarkonto, scope-dokument). Vanligast.
  • White box, testaren får full källkod + arkitekturdokument. Effektivast per krona; hittar fler buggar djupare.

White box anses ibland "fusk" men ger oftast bättre värde, testaren kan fokusera på att hitta sårbarheter istället för att gissa hur applikationen fungerar.

Hur går ett pentest till?

Typiskt 5 faser:

1. Scope & planering

Vad ska testas, vad ska inte testas, vilka tider, vilken IP-adress kommer angreppen från, vilka kontaktvägar vid problem. Skriftligt scope-dokument signeras innan arbetet börjar.

2. Reconnaissance / spaning

Information om målet. Subdomäner, IP-adresser, teknikstack, anställda (för social engineering), publika data. Mestadels passiv.

3. Sårbarhetsidentifiering

Automatiserade verktyg + manuell undersökning hittar potentiella sårbarheter. Lista över "test-värda" punkter.

4. Exploatering

Försök att utnyttja sårbarheter. Bevis (PoC, skärmdumpar, exfiltrerad data). Stoppar vid känd skada, testaren tar inte ner produktion.

5. Rapport + åtgärder

Skriftlig rapport: executive summary, detaljerade fynd med CVSS-poäng, bevis, åtgärdsförslag, prioritering. Återtest efter åtgärder ingår ofta.

Hur ofta bör man göra pentest?

Compliance-minimum: årligen (NIS2, ISO 27001, PCI DSS, många kontraktskrav).

Praktiskt rekommenderat:

  • Kontinuerlig automatiserad skanning dagligen
  • Manuell pentest årligen + efter större förändringar (ny arkitektur, nytt API, M&A)
  • Red Team-uppdrag vart 2-3 år för mogna organisationer

Anledningen är enkel: ett årligt pentest lämnar 360 dagars exponering. En automatiserad daglig skanning fångar nya CVE:er samma dag de publiceras.

Vad kostar ett pentest?

I Sverige 2026:

  • Automatiserad kontinuerlig skanning: från 249 kr/månad (pentesting.se)
  • Webbapplikationspentest: 15 000 – 150 000 kr (beroende på storlek + djup)
  • Nätverkspentest: 25 000 – 200 000 kr
  • Red Team: 200 000 – 1 000 000 kr
  • AI-app pentest (Vibecode): från 5 000 kr

Se pentest pris-guiden för djupare nedbrytning.

Vad gör en bra pentester?

Tekniska skills (OSCP, GPEN, CRTP, m.fl.) är grundläggande. Det som skiljer en bra pentester från en bra rapport-genererare:

  1. Förmåga att förstå affärskontexten, vilka sårbarheter spelar roll för just den här verksamheten
  2. Tydlig skriftlig kommunikation, rapporten måste vara läsbar för ledning, inte bara tekniker
  3. Kreativitet, verktyg fångar det som verktyg hittar. Pentester hittar det verktyg missar.
  4. Erfarenhet av attackkedjor, enskilda sårbarheter är ofta info-level; kedjor är critical.

Behöver du pentest just nu?

Du behöver pentest om något av detta gäller:

  • Du täcks av NIS2 (se vår NIS2-guide)
  • Du har ISO 27001-certifiering eller siktar mot en
  • Du tar kortbetalningar (PCI DSS)
  • Du har kunder eller leverantörer som kräver det i kontrakt
  • Du hanterar persondata, finansiell data, hälsodata eller IP
  • Du har drifsatt ny applikation senaste året
  • Du har inte gjort pentest senaste 12 månaderna

Pentesting.se kombinerar automatiserad daglig skanning med möjligheten att lägga till manuell artisanal pentest av svenska säkerhetskonsulter. Se våra pentest-tjänster eller kör en gratis säkerhets-healthcheck.