Hopp til hovedinnhold
Awareness SecurityAwareness Security
Bestill PentestEN
9 min lesetid

Hva koster penetrasjonstesting? Priser og faktorer i Norge

Hva koster egentlig penetrasjonstesting? Det er et av de vanligste spørsmålene vi får, og svaret er — det kommer an på. I denne guiden gir vi deg en oversikt over typiske prisrammer i det norske markedet, hva som påvirker kostnaden, og hvordan du kan forberede deg for å få mest mulig verdi ut av investeringen.

Penetrasjonstesting er ikke en standardisert tjeneste med fast pris. Hver test tilpasses til din spesifikke applikasjon, infrastruktur og behov. Likevel finnes det noen generelle prisrammer i det norske markedet som gir et nyttig utgangspunkt.

For en standard webapplikasjonstest ligger prisen typisk mellom 50.000 og 150.000 kroner. Dette dekker vanligvis en applikasjon av moderat kompleksitet testet over 1-2 uker. For større eller mer komplekse systemer — som applikasjoner med mange brukerroller, omfattende API-integrasjoner eller kompleks forretningslogikk — kan prisen ligge mellom 100.000 og 300.000 kroner eller mer.

API-testing har lignende prisrammer, men varierer basert på antall endepunkter, autentiseringsmekanismer og kompleksitet i datamodellen. En enkel REST-API med 20-30 endepunkter er rimeligere å teste enn et komplekst GraphQL-API med dype relasjoner og avansert tilgangskontroll.

Hva påvirker prisen? Den viktigste faktoren er omfanget — antall applikasjoner, sider, API-endepunkter og funksjoner som skal testes. En landingsside med kontaktskjema er vesentlig rimeligere å teste enn en fullstendig e-handelsplattform.

Testtypen spiller også en rolle. Black-box-testing (ingen forhåndsinformasjon) krever mer tid til rekognosering. Grey-box-testing (noe dokumentasjon og testbrukere) er ofte mest kostnadseffektivt fordi testerne kan fokusere tiden på å finne reelle sårbarheter i stedet for å kartlegge funksjonalitet. White-box-testing (full tilgang til kildekode) er mest grundig, men også mest tidkrevende.

Kompleksiteten til applikasjonen er avgjørende. Applikasjoner med mange brukerroller, betalingsintegrasjoner, filhåndtering, sanntidsfunksjoner eller tredjepartsintegrasjoner krever mer testing. Egenutviklede løsninger er ofte dyrere å teste enn standardplattformer fordi testeren må forstå unik forretningslogikk.

Compliance-krav kan også påvirke prisen. Hvis testen skal tilfredsstille krav fra ISO 27001, PCI-DSS eller GDPR, kan det kreve mer omfattende dokumentasjon og spesifikke testmetodikker som øker tidsbruken.

Det er viktig å forstå forskjellen mellom sårbarhetsskanning og penetrasjonstesting. En automatisert sårbarhetsskanning koster gjerne 5.000-15.000 kroner og identifiserer kjente svakheter basert på signaturer og mønstre. En penetrasjonstest går langt dypere — sikkerhetseksperter forsøker aktivt å utnytte sårbarheter, tester forretningslogikk og finner problemer automatiserte verktøy aldri kan oppdage. Prisen reflekterer denne forskjellen i dybde og verdi.

Hvordan får du mest verdi for pengene? God forberedelse er nøkkelen. Ha klar et testmiljø som speiler produksjon, men som er adskilt fra den. Gi testerne tilgang til testbrukere med ulike roller. Forbered dokumentasjon over applikasjonens funksjoner og arkitektur. Jo mer effektivt testerne kan bruke tiden sin, desto bedre funn får du.

Definer et klart scope på forhånd. Hva er de viktigste risikoområdene? Hvilke funksjoner håndterer sensitiv data? Hvor er de nyeste endringene gjort? Denne informasjonen hjelper testerne å prioritere riktig.

Hos Awareness Security bruker vi AI-assistert testing for å gjøre prosessen mer kostnadseffektiv. AI-modeller hjelper med systematisk skanning og mønstergjenkjenning, slik at sikkerhetsekspertene kan fokusere tiden på de mest verdifulle aktivitetene — testing av forretningslogikk, kreative angrepsscenarier og grundig validering av funn. All AI-analyse kjøres lokalt på kontrollert infrastruktur, så ingen sensitiv data sendes til eksterne leverandører.

Vår Human-in-Control-prosess sikrer at du får full kontroll og innsikt gjennom hele oppdraget. Du godkjenner scope og testvindu før vi begynner, ser angrepksplanen før den utføres, og alle funn valideres av sikkerhetseksperter før de rapporteres.

Hva bør du se etter når du vurderer tilbud? Sjekk at leverandøren bruker anerkjente metodikker som OWASP Testing Guide og PTES. Spør om rapporten inkluderer prioriterte funn med risikovurdering, konkrete anbefalinger for utbedring, og teknisk dokumentasjon som utviklerne kan bruke. Sjekk om retesting er inkludert — muligheten til å verifisere at sårbarhetene er utbedret.

Vær skeptisk til svært lave priser. En penetrasjonstest som koster vesentlig under markedspris er sannsynligvis en automatisert skanning markedsført som pentest. Du bør forvente en detaljert rapport med kontekstualiserte funn, ikke bare en automatgenerert liste over CVE-er.

Penetrasjonstesting er en investering i sikkerhet som typisk koster en brøkdel av hva en reell sikkerhetshendelse ville kostet. Ifølge IBMs Cost of a Data Breach Report koster et gjennomsnittlig datainnbrudd millioner av kroner — i tillegg til omdømmeskade og regulatoriske konsekvenser.

Vi gir alltid et tilpasset tilbud basert på dine spesifikke behov. Ta kontakt for en uforpliktende samtale om hvordan vi kan hjelpe med å sikre dine applikasjoner.

Tilbake til bloggen