Även om programvara, nätverk, användare och företag blir säkrare, ser NSM att samma sårbarheter återkommer år efter år.

Lösenord som är lätta att gissa är en kritisk sårbarhet. När lösenordet är känt kan penetrationstestarna ofta agera som den anställde. På så sätt får de tillgång till andra tjänster i systemen, säkrar användarrättigheter på en hög nivå eller till och med komprometterar företagets domänadministratör.

— Den digitala motståndskraften i det norska samhället måste öka. Enkla säkerhetsåtgärder motverkar dessa sårbarheter, men det måste prioriteras - även av ledningen, säger Geir Arild Engh-Hellesvik, avdelningsdirektör, försvaret mot avancerade digitala hot på NSM.

Leverantörer behöver bidra mer

Samtidigt som det måste ställas tydligare krav på kompetens och teknologi inom norsk förvaltning och näringsliv, arbetar NSM tillsammans med andra länder och myndigheter för att sätta press på tillverkare att säkerhet byggs in - och är standard.

Leverantörerna måste bidra till att göra digital säkerhet mindre krävande för användare av digitala tjänster och produkter. Det är helt nödvändigt för att små och medelstora företag och norska kommuner ska kunna säkra sin egen digitala infrastruktur, säger Engh-Hellesvik vidare.

Penetrationstester på beställning

NSMs penetrationstestare utför tester på beställning från företag som omfattas av säkerhetslagen, eftersom de förvaltar nationella säkerhetsintressen. Praktiska tester av logiska, tekniska, mänskliga, administrativa och fysiska förhållanden bidrar till att avslöja sårbarheter och förbättringsområden.