Vad kostar ett penetrationstest? Priser och faktorer
.webp)
Kort svar: typiska prisintervall
Priset på ett penetrationstest varierar beroende på vad som ska testas och hur komplex miljön är. Men här är några ungefärliga prisintervaller:
- Enklare webbapplikation: 30 000–60 000 kr
- Normal omfattning (webbapp, API eller intern miljö av medelstor komplexitet): 60 000–150 000 kr
- Omfattande infrastruktur eller red team-övning: 150 000–500 000+ kr
Siffrorna kan variera. Det exakta priset sätts alltid utifrån ett definierat scope, det är det enda sättet att ge ett pris som faktiskt speglar vad testet kräver. Använd vår priskalkylator för ett första estimat, eller begär offert så återkommer vi med en konkret kostnad.
Vad är det man betalar för?
Ungefär 90 procent av priset på ett penetrationstest är tid. Tid för en erfaren testare att metodiskt gå igenom era system, testa logik, kombinera sårbarheter och tänka som en angripare.
Det är det som skiljer ett penetrationstest från en automatiserad sårbarhetsskanning. En skanning kör ett script och ger dig en lista. Ett penetrationstest kräver att en människa aktivt försöker ta sig in, och det går inte att skynda på.
Resten av priset täcker verktyg och licenser, rapportskrivning och en genomgång med er efter leverans. Rapporten är ett konkret dokument era utvecklare och IT-team kan använda direkt. Den beskriver varje fynd med teknisk detalj, risknivå och konkreta åtgärdsförslag, vilket tar tid att skriva ordentligt.
Kortfattat: ni betalar för kompetens, tid och en rapport som håller.
Faktorer som styr priset
Priset påverkas av ett antal variabler. Här är de viktigaste:
- Scope — antal tillgångar som ska testas: Fler endpoints, mer kod, fler servrar. En webbapplikation med tio funktioner tar kortare tid än en med hundra. Det är den enskilt viktigaste faktorn.
- Testtyp — black box, grey box eller white box: Black box-test, där testaren inte har tillgång till källkod eller intern dokumentation, kräver mer tid för kartläggning och är därmed dyrare. Grey box, där testaren har begränsad information, är det vanligaste upplägget och brukar ge bäst balans mellan djup och kostnad. White box ger testaren full tillgång och lämpar sig bäst för kodgranskning och säkra utvecklingsprojekt.
- Komplexitet: En single-page application av enkel karaktär kostar mindre än en komplex mikrotjänstarkitektur med många kopplingar mellan tjänster. Samma gäller nätverk — ett platt kontorsnät är annorlunda än en segmenterad miljö med Active Directory, VPN och molntjänster.
- Om exploitering ingår: Att identifiera en sårbarhet är en sak. Att faktiskt utnyttja den och visa hur långt en angripare kan gå är en annan, och det kräver mer tid.
- Rapportformat och djup: En kortare sammanfattning för ledningen kostar mindre att producera än en fullständig teknisk rapport anpassad för ett säkerhetsteam.
- Återtest efter åtgärder: Om ni vill att Cyloq verifierar att ni faktiskt åtgärdat fynden tillkommer en kostnad för det. Se mer under vanliga frågor.
Priskalkylator — så uppskattar ni kostnaden själva
Vill ni få ett prisestimat utan att behöva boka ett möte? Vår priskalkylator ger er ett riktmärke baserat på vad som ska testas, testtyp och ungefärlig komplexitet.
Kalkylatorn är inte en bindande offert, men den ger er en realistisk bild av vad ni kan förvänta er att budgetera. Om scope är oklart, exempelvis om ni är osäkra på hur stor er miljö faktiskt är, hjälper vi gärna till att definiera det i ett scopingmöte.
Fasta priser eller timbaserat?
Cyloq jobbar med fasta priser baserade på ett definierat scope. Det finns en anledning till det.
Timbaserade modeller lägger risken på kunden. Om testet tar längre tid än förväntat, för att miljön visade sig vara mer komplex, eller för att testaren sprang på ett spår värt att följa, betalar ni mer än ni budgeterat för. Det skapar osäkerhet som gör det svårt att planera.
Med ett fast pris vet ni exakt vad testet kostar innan det börjar. Om testet visar sig kräva mer tid än planerat är det vårt problem att hantera, inte ert. Behöver omfattningen utökas diskuterar vi det med er i förväg, aldrig i efterhand.
Det kräver att scope är väldefinierat från start, vilket är precis därför vi alltid börjar med ett scopingmöte. Se det som ett tekniskt möte för att se till att ni betalar för rätt sak.
Billigaste inte alltid bäst
Det finns leverantörer som erbjuder penetrationstest för 10 000–15 000 kr. I de flesta fall är det en automatiserad skanning med en tunn rapport på köpet.
Det är inte ett riktigt penetrationstest. En skanning hittar kända sårbarheter i kända versioner av kända mjukvaror. Det den inte hittar är logikbrister, felaktiga behörighetskontroller, kombinations-attacker eller de typer av brister som faktiskt används i riktiga intrång.
Att betala för ett test som inte hittar det som spelar roll är helt onödigt.
Några saker att kontrollera innan ni väljer leverantör:
- Certifieringar. OSCP är branschstandard för offensiv säkerhetstestning. Fråga vilka certifieringar testarna har.
- Referenser. Begär kontaktuppgifter till tidigare kunder i liknande bransch eller miljö.
- Stickprov på rapport. Be om ett anonymiserat exempel på en tidigare rapport. En bra rapport är konkret, teknisk och faktiskt åtgärdbar. En dålig rapport är en lista med CVSS-poäng utan sammanhang.
Ta action
Använd priskalkylatorn eller begär offert
Vet ni ungefär vad som ska testas? Använd kalkylatorn för ett första riktmärke.
Är scope oklart, eller vill ni hellre prata igenom det med någon? Boka ett scopingmöte, det är kostnadsfritt, tar 30 minuter och ger er ett konkret prisförslag.