For at forebygge cyberangreb er det vigtigt at vide, hvor organisationen er sårbar over for de værktøjer, hackerne bruger. Det er derfor et effektivt og anerkendt sikkerhedsværktøj at simulere et angreb for at afprøve, om forsvarsværkerne fungerer og identificere, hvor hullerne måtte være.

Sådan et simuleret angreb kan foregå i samarbejde med en ekstern leverandør, der anvender de samme metoder, værktøjer og teknikker, som en fjendtlig aktør ville bruge. Men det er en øvelse, og det kan derfor sikres, at både organisationen og dens medarbejders integritet beskyttes under og efter testen.

I dag udgiver brancheorganisationer, kunder og faglige organisationer et nyt fælles kodeks, der skal medvirke til, at sikkerhedstest foregår på en etisk forsvarlig måde. Kodekset udgør et sæt retningslinjer for områder, der ikke er reguleret ved lov.

"Når man tester it-sikkerheden med de samme teknikker som hackerne, er det vigtigt, at det er organisationens sikkerhed, og ikke den enkelte medarbejder, der bliver afprøvet. Derfor bakker vi op om, at repræsentanter for både kunde, leverandør og medarbejdersiden er gået sammen om et sæt fælles retningslinjer for, hvordan sikkerhedstest bør foregå forsvarligt," siger Thomas Lund-Sørensen, chef for Center for Cybersikkerhed.

Kodekset opstiller en række enkle spilleregler, som kan anvendes af både de leverandører, der udfører sikkerhedstesten, og de kunder, der bestiller den. Følges kodekset, kan sikkerhedstest gennemføres effektivt og samtidigt forsvarligt for alle involverede parter.

Kodeks for sikkerhedstest er udarbejdet i fællesskab af IT-Branchen, KL og HK, og har opbakning fra følgende organisationer:

Akademikerne, Dansk Erhverv, Dansk Industri, Danske Regioner, IT-Branchen, SMV Danmark samt Digitaliseringsstyrelsen, Erhvervsstyrelsen og Center for Cybersikkerhed