No items found.
Tjänster
Penetrationstester
Sårbarhetsskanningar
Red teaming
Incidenthantering
Sårbarhetsskanning med AI
AI Security Testing
Kurser
Säker utveckling
IT-säkerhetsutbildning
KUNDCASE
Företaget
Om oss
Karriär
Kontakta oss
Kunskapsbank
Research
Nyheter
Artiklar
Guider
SV
Sveriges flagga med blå bakgrund och gul kors.
Swedish
Union Jack, Storbritanniens flagga med kors och diagonala kors i rött, vitt och blått.
English
SV
SV
Sveriges flagga med blå bakgrund och gul kors.
Swedish
Union Jack, Storbritanniens flagga med kors och diagonala kors i rött, vitt och blått.
English
kontakta oss
PRISER
Gå tillbaka
Link Copied!
Copy link
Featured

Så läser du en pentestrapport — vad du ska titta på

March 1, 2026
0
min läsning
Andreas Gjelset
Medgrundare, Cyloq
Närbild på en laptopskärm som visar en säkerhetsöversikt med nyckeltal: Open Vulnerabilities 156, Failed Login Attempts 1 842 och Critical Findings 23, var och en med förändring jämfört med gårdagen och små trendgrafer i rött.

Du har beställt ett penetrationstest och fått tillbaka en rapport på 60 sidor. Vad nu?

Det är vanligt att känna sig överväldigad första gången. Rapporten innehåller tekniska termer, långa bilagelistor och fynd som kan vara svåra att omsätta i praktisk handling. Den här guiden förklarar vad de olika delarna är till för, hur du tolkar allvarlighetsgraderna och hur du prioriterar när du väl ska åtgärda.

Rapportens struktur — vad du hittar var

De flesta pentestrapporter följer en liknande struktur, oavsett testföretag. Här är de vanligaste delarna:

  • Exekutiv sammanfattning — en kortfattad genomgång av de viktigaste fynden, skriven för beslutsfattare utan teknisk bakgrund. Det är den del du börjar med.
  • Scope — exakt vad som testades. Vilka system, IP-adresser, applikationer och miljöer som ingick. Det är viktigt att kontrollera att scopet stämmer med vad ni beställde.
  • Metodik — hur testet genomfördes. Black box, grey box eller white box. Vilka faser som ingick. Läs den här delen om ni vill förstå hur djupgående testet faktiskt var.
  • Fynd — huvuddelen av rapporten. Varje sårbarhet listas med beskrivning, allvarlighetsgrad, bevis och åtgärdsrekommendation. Det är här ni spenderar mest tid.
  • Rekommendationer — ibland samlade i ett separat avsnitt, ibland inbyggt per fynd. Beskriver konkret vad som behöver göras.
  • Bilagor — tekniska detaljer som payload-exempel, screenshots och request/response-loggar. Riktade mot de som ska åtgärda fynden.

Exekutiv sammanfattning — för ledningen

Det är lätt att hoppa direkt till fyndlistan, men börja alltid med den exekutiva sammanfattningen. Den är skriven för att ge dig och ledningen en snabb nulägesbild utan att ni behöver ta er igenom 60 sidor tekniska detaljer.

En bra exekutiv sammanfattning ska kunna besvara tre frågor:

Hur allvarligt är läget? Den ska tydligt kommunicera om organisationen har kritiska brister som kräver omedelbara åtgärder, eller om bilden är mer hanterbar.

Vad är de värsta fynden? De mest allvarliga sårbarheterna ska lyftas fram med en kort förklaring av vad de kan leda till om de utnyttjas.

Vad händer om vi inte gör något? Konsekvensen av inte agera, beskriven i praktiska termer.

Är sammanfattningen vag, full av generella påståenden om "säkerhetsbrister" utan konkreta exempel, eller saknar den en tydlig riskbedömning, är det ett tecken på att rapporten i sin helhet kan vara ytlig.

Så förstår du allvarlighetsgrader (CVSS)

De flesta pentestrapporter använder CVSS, Common Vulnerability Scoring System, för att klassificera fynd. Det är en standardiserad skala från 0 till 10 som delar in sårbarheter i fem kategorier:

  • Critical (9,0–10,0) — Sårbarheter som kan ge en angripare full kontroll över systemet utan krav på autentisering eller användarinteraktion. Exempel: remote code execution med root-behörighet, SQL-injektion som ger tillgång till hela databasen.
  • High (7,0–8,9) — Allvarliga brister som kräver viss interaktion eller autentisering för att utnyttjas, men som ändå kan leda till betydande skada. Exempel: privilege escalation, känslig dataexponering.
  • Medium (4,0–6,9) — Brister med begränsad påverkan i sig, men som i kombination med andra fynd kan vara farliga. Exempel: information disclosure, felkonfigurationer.
  • Low (0,1–3,9) och Informational — Rekommendationer om bästa praxis, utan direkt exploaterbar risk.

En viktig sak att förstå: CVSS mäter en sårbarhet i isolation. Det tar inte hänsyn till er specifika miljö, er exponering mot internet, eller vilket värde det drabbade systemet har för er verksamhet. En Critical i ett system som inte är nåbart utifrån är annorlunda än en Critical i er publika betalningslösning. Läs alltid testarens egna riskkommentarer, de väger in det CVSS-poängen inte fångar.

Prioritera åtgärder utifrån risk och insats

Rapporten är levererad. Nu ska ni prioritera. En enkel tumregel är att utgå från två axlar: allvarlighetsgrad och hur komplicerat fyndet är att åtgärda.

Börja med fynd som är Critical eller High och dessutom enkla att fixa. Det kan handla om att uppdatera en mjukvaruversion, stänga en port eller ändra en felaktig konfiguration. Det ger störst säkerhetseffekt för minst insats.

Nästa steg är Critical och High som kräver mer arbete, exempelvis arkitekturförändringar eller omskrivning av kod. De behöver planeras in med tillräckliga resurser, men ska inte skjutas på.

Medium-fynd bör hanteras inom kvartalet. Low och Informational kan hanteras löpande i ordinarie förvaltning.

En bra pentestrapport ger er inte bara en lista med fynd utan konkreta åtgärdsrekommendationer per sårbarhet. Det ska framgå vad som behöver göras, inte bara vad som är fel. Om rapporten saknar det, ställ frågan direkt till testaren.

Vad gör du om du inte förstår ett fynd?

Det händer alla. Pentestrapporter är tekniska dokument och vissa fynd förutsätter kunskaper inom nätverkssäkerhet, applikationsutveckling eller kryptografi som ni kanske inte har internt.

Det är helt normalt, och det är precis därför genomgången efter leverans finns. Be alltid om en genomgång med testaren där ni kan ställa frågor om vad det faktiskt innebär för er och vad ni behöver göra.

Hos Cyloq ingår alltid en genomgång efter leverans. Utvecklare, IT-ansvariga och beslutsfattare kan delta och ställa frågor direkt till den som genomförde testet. Det är ofta under den genomgången som de mest värdefulla insikterna uppstår.

Efter åtgärder — återtest

När ni åtgärdat de viktigaste fynden, beställ ett återtest. Syftet är att verifiera att åtgärderna faktiskt stängde sårbarheterna och att inga nya brister uppstod som en oavsiktlig konsekvens.

Ett återtest är inte ett nytt fullständigt penetrationstest. Det är ett riktat test mot de specifika fynd som åtgärdats, vilket gör det betydligt snabbare och billigare. Typiskt kostar ett återtest 20–30 procent av det ursprungliga testet.

Återtest är särskilt viktigt för Critical- och High-fynd där konsekvenserna av en felaktig åtgärd är störst. Det ger er en oberoende bekräftelse på att åtgärden håller.

För mer om kostnader, se vår artikel om vad ett penetrationstest kostar.

Ta action

Vill ni gå igenom er rapport tillsammans med oss? Boka en genomgång

En rapport är ett underlag, inte ett slutmål. Om ni vill ha hjälp att tolka fynden, prioritera åtgärder eller planera nästa steg är ni välkomna att boka en genomgång med oss.

Boka möte

FAQ

Vanliga frågor om pentestrapporter

Hur lång är en typisk pentestrapport?

En normal rapport är 40–80 sidor beroende på scope och antal fynd. Tekniska bilagor med payload-exempel och screenshots kan göra den längre. Den exekutiva sammanfattningen är alltid högst 2 sidor och riktad till beslutsfattare utan teknisk bakgrund.

Vad betyder "false positive" i rapporten?

En false positive är ett potentiellt fynd som vid närmare granskning visade sig inte vara exploaterbart i er miljö. Bra pentestare filtrerar bort dessa före leverans. Om ni ändå ser dem — ifrågasätt processen, det kan tyda på slarvig verifiering.

Ska vi åtgärda alla fynd?

Inte nödvändigtvis. Critical och High ska åtgärdas omgående. Medium bör planeras in inom kvartalet. Low och Informational är ofta rekommendationer om bästa praxis och kan hanteras i ordinarie förvaltning.

Vad gör vi om vi hittar ett fynd i rapporten som redan åtgärdats?

Kontakta oss. Det händer att rapporten skrivs medan er tekniska team samtidigt patchar en känd sårbarhet. Vi verifierar gärna via återtest eller snabbverifiering, och det påverkar sällan fakturan.

Home
Följ oss
Tjänster
Penetrationstester
Penetrationstester
Sårbarhetsskanningar
Sårbarhetsskanningar
Red teaming
Red teaming
Incidenthantering
Incidenthantering
Sårbarhetsskanning med AI
Sårbarhetsskanning med AI
AI Security Testing
AI Security Testing
Kurser
Säker Utveckling
Säker Utveckling
IT-Säkerhetsutbildning
IT-Säkerhetsutbildning
Företaget
Kontakt
Kontakt
Om Oss
Om Oss
Kundcase
Kundcase
Karriär
Karriär
hello@cyloq.se
+46 (0) 10 333 10 33
Till toppen
© 2025 - Cyloq AB - Org.nr: 559401-9027
Privacy Policy
Terms of Service
Cookies Settings