Sårbarhetsrapport: profesjonell sikkerhetsanalyse for SMBer, levert på 3 dager
Mellom helt gratis verktøy og 30 000 kr-pentester har norske SMBer ikke hatt et reelt valg. Det forandrer vi i dag, med en signert, lesbar sårbarhetsrapport til 1 990 kr, levert på tre arbeidsdager.
Hvorfor de gratis verktøyene ikke holder
Mustvedt Sentinel har 12 gratis verktøy i dashbordet. Du kan skanne ditt eget domene, sjekke om e-posten din er i en lekkasje, teste SSL-konfigurasjonen, kjøre URL-forensikk. Alt sammen helt gratis, ingen lockin.
Men gratis verktøy har en innebygd antakelse: at noen skal lese resultatet og vite hva det betyr. En SSL-rapport som sier «Cipher suite TLS_RSA_WITH_AES_128_CBC_SHA still enabled» er meningsfullt for en utvikler. For en daglig leder med åtte ansatte og en webside laget av et lokalt byrå for fire år siden, er det støy.
Vi har sett det samme mønsteret om og om igjen. Kunder logger inn, kjører noen skann, ser røde tall, og lukker fanen. Ingenting blir bedre.
Hva en Sårbarhetsrapport faktisk er
Sårbarhetsrapporten er en signert PDF på 8 til 14 sider, levert til e-posten din innen tre arbeidsdager. Den inneholder:
- 30 tekniske sjekkpunkter: DNS, SSL/TLS, e-post-autentisering (SPF, DKIM, DMARC), sikkerhetshoder, eksponerte filer, dark web-treff, lekkasje-databaser
- Offensiv recon med profesjonelle verktøy: Nmap (port-skann), Nikto (kjente sårbarheter), testssl.sh (kryptografi-analyse), gobuster (skjulte stier) og theHarvester (e-poster og subdomener som ligger åpent tilgjengelig)
- En to-minutters oppsummering på første side, lesbar uten teknisk bakgrunn
- Detaljerte fix-instruksjoner du kan jobbe ut fra selv, sende direkte til utvikleren eller webbyrået ditt, eller la meg i Mustvedt Sentinel ta jobben på timebasis
- En prioritert handlingsplan: hva må fikses denne uken, hva kan vente, hva er valgfritt
Rapporten skrives av en ekte person, ikke en automatisk generator. Hvert funn leses, kontekstualiseres og rangeres manuelt før det havner i PDF-en. Det er forskjellen mellom å få 47 sider med tekniske parametre og en rapport som faktisk hjelper deg å fatte beslutninger.
Slik foregår det, steg for steg
Hele prosessen er fem steg over tre arbeidsdager.
Dag 0, bestilling: Du fyller ut et skjema med domenet ditt, kontaktinfo og en samtykke-erklæring. Du betaler med kort (Stripe) eller Vipps. Jeg får varsel umiddelbart, det samme gjør du.
Dag 1, passive sjekker: Jeg kjører alle de 30 passive sjekkpunktene som ikke treffer serveren din. DNS-poster, SSL-sertifikater, e-post-konfigurasjon, sikkerhetshoder, dark-web-databaser. Hvert funn gjennomgås manuelt.
Dag 2, offensiv recon: De aktive verktøyene kjøres mot domenet ditt. Dette er det som skiller en rapport som faktisk speiler en angripers perspektiv fra en ren passiv skann. Du ser hva som er synlig fra utsiden, og hvilke porter, tjenester og kjente sårbarheter som er eksponert.
Dag 3, leveranse: Du får PDF-en på e-post. Den er signert, så du kan verifisere at den kommer fra meg.
Etter leveranse, 14 dagers oppfølging: Du kan stille spørsmål på e-post i to uker etter at du har mottatt rapporten. Jeg svarer samme dag.
Du trenger ikke IT-avdeling
Rapporten er bygd for SMB-virkeligheten der det enten ikke finnes IT-folk i bedriften, eller der den ene som forstår systemene allerede har for mye annet å gjøre.
Første side er en oppsummering du leser på to minutter, uansett om du har teknisk bakgrunn eller ikke. Du finner ut hva som må fikses, hva det betyr, og hvilken risiko som ligger der.
Resten av rapporten er detaljerte fix-instruksjoner. Noe kan du gjøre selv: rotere passord, slå på to-faktor, oppdatere innstillinger. Resten kan sendes rett til utvikleren eller webbyrået du allerede bruker. Instruksjonene er ferdige til handover.
Trenger du hjelp til selve implementeringen, kan jeg ta jobben på timebasis. Vanlige oppdrag er passordrotering, sikkerhetshoder, e-post-autentisering, SSL-konfig og fjerning av eksponerte filer. Det er aldri et krav for å motta rapporten, og du står helt fritt til å bruke en annen leverandør eller gjøre det selv.
Hvorfor 1 990 kr nå
Ordinær pris er 4 990 kr eks. mva. Frem til jeg har levert de første rapportene og bygget en case-portfolio, kjører jeg et lanseringstilbud på 1 990 kr. Det er ikke en «psykologisk pris» som forsvinner etter to dager, det er en reell rabatt mens jeg samler tilbakemeldinger og forfiner leveransen.
Bestiller du nå, gjelder 1 990 kr selv om prisen senere justeres tilbake. Du betaler med kort eller Vipps, og du får faktura via Stripe.
Når bør du vurdere det?
Sårbarhetsrapporten er bygd for situasjoner der du står med ett av disse spørsmålene:
- Du vet ikke om domenet ditt har grunnleggende sikkerhet på plass, og du har ingen i organisasjonen som vet det heller.
- En kunde, revisor, partner eller forsikringsselskap har bedt om sikkerhetsdokumentasjon.
- Du har lest at SMBer er hovedmål for ransomware nå, og du vil vite hvor du faktisk står.
- Du har vurdert en pentest, men 30 000 kr-fakturaen stoppet deg.
I alle disse tilfellene koster det 1 990 kr og tre dagers ventetid å få et tydelig svar.
Hva med Sentinel-abonnement?
Sårbarhetsrapporten er en engangsleveranse, ikke et abonnement. Den gir deg et øyeblikksbilde av hvor du står akkurat nå. Hvis du vil ha kontinuerlig overvåkning av domenet, e-posten og dark web etterpå, har Mustvedt Sentinel et PLUSS-abonnement til 179 kr/mnd som tar over fra dag fire. Velger du det innen 30 dager etter rapporten, trekker vi 1 490 kr fra første års abonnement, slik at du i praksis ikke betaler dobbelt.
Men du forplikter deg ingenting når du bestiller rapporten. Mange kunder kommer til å kjøpe en rapport en gang i året som dokumentasjon, og ikke abonnere mellom. Det er helt greit.
Bestilling
Du finner skjemaet på /rapport. Du oppgir domenet, navnet ditt, e-post og bekrefter at du eier domenet (de aktive verktøyene krever skriftlig samtykke for å være lovlige å kjøre). Deretter betaler du med kort eller Vipps, og jeg starter.