Et IT-sikkerhedstjek er en struktureret gennemgang af jeres sikkerhedsniveau på otte konkrete områder, fra Microsoft 365-baseline til lækkede medarbejder-credentials. Denne side forklarer hvad et tjek dækker, hvordan det udføres, og hvad I konkret modtager i rapporten.
Et IT-sikkerhedstjek er ikke en penetrationstest, og det er heller ikke en compliance-audit. Det er en praktisk gennemgang af de områder, hvor danske SMV'er typisk har huller. Det er det vi har observeret gentaget hos kunder de seneste år. Målet er at give jer et faktabaseret billede af jeres nuværende sikkerhedsniveau, og en prioriteret liste over hvad I bør gøre ved det.
Vi tilbyder tjekket i to varianter. Det gratis eksterne tjek kigger udefra på jeres domæne, eksponering og lækkede credentials. Det kan I selv starte på /gratis-sikkerhedstjek. Det uddybende konsulent-tjek går dybere ind i Microsoft 365-konfiguration, backup, patch-status og processer, og leverer en dansk rapport med ledelses-summary og handlingsplan, prissat efter omfang.
De otte områder nedenfor er destilleret fra CFCS' anbefalinger, D-mærkets kriterier og hverdagen hos SMV'er, vi har gennemgået. Listen er ikke udtømmende, men hvis I har styr på alle otte, er I langt forbi gennemsnittet for en dansk SMV.
MFA-dækning på alle konti, hærdning mod CIS-baselines, audit-log aktiveret, anti-phishing og safe-links konfigureret, conditional access-politikker gennemgået.
Hvorfor: M365 er angrebsflade nr. 1 for danske SMV'er.
DNS-konfiguration, SPF, DKIM, DMARC, DNSSEC og certifikat-status. Vi tjekker om jeres domæne kan misbruges til phishing i jeres navn, og om mail-leverancen er konfigureret korrekt.
Hvorfor: et stort flertal af danske SMV-domæner mangler korrekt DMARC-beskyttelse.
Hvad ser en angriber fra internettet? Åbne porte, eksponerede services, gamle certifikater, glemte subdomæner og kendte sårbarheder på eksterne IP'er. Scanning via Shodan og vores egne workers.
Hvorfor: glemt eksponering er en hyppig årsag til indbrud.
Hvor mange af jeres medarbejder-emails er dukket op i kendte databrud? Er der aktive infostealer-malware-kompromitteringer? Vi krydstjekker mod Have I Been Pwned og Hudson Rock's Cavalier-database.
Hvorfor: genbrugte passwords er en af de hyppigste indgangsveje.
Findes der backup af kritiske data? Er den isoleret fra produktion (3-2-1-princippet)? Hvornår er der sidst lavet en faktisk restore-test? Vi gennemgår setup og dokumentation.
Hvorfor: backup uden restore-test er bare optimisme.
Status på OS-patches, tredjeparts-software og kendte CVE'er på jeres enheder og servere. Hvor lang tid går der typisk fra en patch er udgivet til den er rullet ud hos jer?
Hvorfor: uopdaterede systemer er nem mad for opportunistiske angreb.
Hvilken awareness-træning har medarbejderne fået? Bliver der kørt phishing-simuleringer? Hvad er klikraten? Vi gennemgår processer, ikke individuelle resultater.
Hvorfor: 90+ % af indbrud starter med et menneske der klikker forkert.
Findes der en IR-plan? Hvem ringer I til kl. 23 en fredag, når noget brænder? Er kontaktveje dokumenteret og afprøvet? Er der aftalt eskaleringsvej til CFCS og evt. Datatilsynet?
Hvorfor: første timer efter en hændelse afgør skaden.
Et uddybende konsulent-tjek følger fire faste trin. Det gratis eksterne tjek dækker kun trin 2 (automatiseret scanning udefra) og får en kort rapport på e-mail uden konsulent-gennemgang.
Kort opstartsmøde på 20-30 minutter. Vi afgrænser omfang ud fra jeres miljø (antal brugere, M365-tenant, on-prem, hybrid) og aftaler hvilke adgange vi skal bruge til hvilke systemer.
Automatiseret scanning via vores 6 Cloudflare workers (HIBP, Shodan, Hudson Rock, Ahrefs, schema-checker, ransomware.live) og manuel review af M365-konfiguration, backup-konsol og patch-status.
Alle fund klassificeres efter alvorlighed (høj, mellem, lav) og kontekst. Vi noterer hvilken angrebsvektor det åbner for, og om det kan udnyttes alene eller kun i kombination med andre svagheder.
Dansk rapport med 1-siders ledelses-summary, gennemgang af alle 8 områder og en prioriteret handlingsplan med tids- og ressourceestimat pr. punkt. Rapporten gennemgås på et 30-minutters møde.
Eksempler på typiske fund fra et konsulent-tjek, her anonymiseret som "Kunde A" med domænet kunde-a.dk. Rapporten beskriver hvert fund med placering, alvorlighed, konsekvens og konkret handling.
kunde-a.dkDomænet har SPF og DKIM, men ingen DMARC-record. Det betyder, at angribere kan sende phishing-mails der ser ud til at komme fra jeres domæne, uden at modtagende mail-servere afviser dem. Anbefaling: implementer DMARC i p=none-tilstand i 2 uger, derefter p=quarantine, og på sigt p=reject.
Tre Global Reader/User-konti har ikke MFA aktiveret, heraf én med Exchange-mailbox. Conditional access-politik tillader login uden krav om MFA fra alle lokationer. Anbefaling: aktiver MFA på alle konti og tilføj conditional access-politik der kræver MFA ved alle interaktive logins.
14 af jeres medarbejder-emails er dukket op i databrud i perioden 2021-2025 (kilder: LinkedIn-læk 2021, MyFitnessPal 2018, m.fl.). Anbefaling: tving password-reset for de pågældende brugere, aktiver MFA, og overvej en awareness-mail om at undgå genbrug af privat-passwords i arbejds-sammenhæng.
Audit-loggen er aktiveret, men retention er sat til standard 90 dage. Ved en hændelse opdaget efter 90 dage er beviset væk. Anbefaling: udvid retention til 1 år (P1) eller 10 år (P2) afhængigt af licens og NIS2-krav.
Rapporten indeholder også en samlet sikkerhedsscore, sammenligning med branchen og en udfasningsplan, hvis der er kritiske fund. Vi sender et eksempel på den fulde rapportstruktur, hvis I ønsker det. Skriv til cyberbeskyttelse@netdk.com.
Tjek-kadencen afhænger af, hvad der er sket siden sidst, og af hvilke krav I står overfor fra revisor, forsikring eller NIS2-tilsyn.
Ekstern domæne-scanning, credential-tjek og angrebsflade-kortlægning bør køre månedligt. Det er inkluderet i alle Netdks pakker (Basis 599 kr/md, Pro 1.999 kr/md, Enterprise 4.999 kr/md). Pro+ får derudover daglig CVE-scanning på enheder via RoboShadow-agent.
Én gang om året bør I have en konsulent gennemgåe alle 8 områder. Det giver jer en opdateret status til ledelse, revisor og cyberforsikring, og opfanger ændringer i miljøet, nye medarbejdere og nye trusler. Krav i flere D-mærkede og ISO 27001-certificerede setups.
Et ekstra tjek er fornuftigt efter en hændelse (databrud, mistanke om kompromittering), før revisions-besøg, ved leverandørskift, ved fusion eller opkøb, og når I gennemgår væsentlige ændringer (nyt ERP, ny lokation, hybrid-migrering).
Fem spørgsmål vi oftest får fra SMV-ledere, der overvejer et IT-sikkerhedstjek.
Det gratis tjek er en automatiseret ekstern scanning. Det kigger på jeres domæne udefra: SPF/DKIM/DMARC, certifikat, åbne porte og om jeres medarbejder-emails er dukket op i kendte databrud. Resultatet sendes på e-mail.
Et konsulent-tjek går dybere: en konsulent gennemgår Microsoft 365-baseline, backup og restore-test, patch-status på enheder, awareness-niveau og IR-plan. Konsulent-tjekket leverer en dansk rapport med ledelses-summary og prioriteret handlingsplan. Pris afhænger af omfang og gives som fast tilbud efter et kort kortlægnings-møde.
Det gratis eksterne tjek tager 2-10 minutter at gennemføre. Resultatet er klar samme dag. Et uddybende konsulent-tjek tager typisk 3-5 arbejdsdage fra opstart til færdig rapport, afhængigt af virksomhedens størrelse og hvor hurtigt vi får adgang til relevant data (M365 audit-log, asset-liste, eksisterende politikker). Selve kunde-tiden er typisk 1-2 timer fordelt på et kick-off-møde og en gennemgang af rapporten.
Det gratis eksterne tjek kræver ingen adgang. Det scanner kun det, som er offentligt tilgængeligt fra internettet. Et konsulent-tjek kræver læse-adgang til de systemer, vi gennemgår: typisk Microsoft 365 (Global Reader eller Security Reader-rolle), backup-konsol og evt. en kort gennemgang sammen med jeres IT-ansvarlig. Vi anvender altid least privilege og dokumenterer alle adgange. Adgange fjernes umiddelbart efter tjekket er afsluttet.
Et uddybende konsulent-tjek prissættes efter omfang: antal brugere, M365-miljøets kompleksitet, eventuelle on-prem-systemer og særlige compliance-krav (NIS2 væsentlig enhed, ISO 27001-forberedelse, cyberforsikrings-revision). I får altid et fast prisestimat efter et kort kortlægnings-møde, før vi går i gang. Ingen overraskelser. Et månedligt managed setup med kontinuerlig scanning starter ved 599 kr/md (Basis-pakken).
Ekstern scanning bør køre månedligt. Det er inkluderet i alle Netdks pakker fra 599 kr/md. Et uddybende konsulent-tjek bør udføres årligt for at opfange ændringer i miljøet og dokumentere status til ledelse, revisor og cyberforsikring. Derudover anbefales et ad hoc-tjek efter større hændelser (databrud, mistanke om kompromittering), ved leverandørskift, før revisions-besøg og når I gennemgår væsentlige ændringer i jeres IT-miljø.
Indtast domæne og kontaktinfo, så sender vi resultatet af det gratis eksterne tjek på e-mail samme dag, og vender tilbage med tilbud på uddybende konsulent-tjek hvis I ønsker det.
Eller ring direkte: 70 23 57 70 · Man-fre 08:00-16:00 · Marøgelhøj 9A, 8520 Lystrup