Selv om programvare, nettverk, brukere og virksomheter blir sikrere, ser NSM de samme sårbarhetene gå igjen år etter år. 

Passord som er lette å gjette, er en kritisk sårbarhet. Når passordet er kjent, kan testerne ofte operere som den ansatte. Slik skaffer de seg tilgang til andre tjenester i systemene, sikrer seg høye brukerrettigheter eller kompromitterer til og med virksomhetens domeneadministrator.

- Den digitale motstandskraften i det norske samfunnet må opp. Enkle sikkerhetstiltak kan lukke disse sårbarhetene, men det må prioriteres – også av ledelsen, sier Geir Arild Engh-Hellesvik, avdelingsdirektør, forsvar mot avanserte digitale trusler i NSM. 

Samtidig som det må stilles tydeligere krav til kompetanse og teknologi i norsk forvaltning og næringsliv, jobber NSM sammen med andre land og myndigheter for å legge press på produsenter slik at sikkerhet blir innebygd – og påslått som standard. 

- Leverandørene må bidra til å gjøre digital sikkerhet mindre krevende for brukere av digitale tjenester og produkter. Det er helt nødvendig for at små og mellomstore bedrifter og norske kommuner skal være i stand til å sikre egen digital infrastruktur, sier Engh-Hellesvik.

NSMs inntrengingstestere utfører tester etter anmodning fra virksomheter som er underlagt sikkerhetsloven fordi de forvalter nasjonale sikkerhetsinteresser. Praktiske undersøkelser av logiske, tekniske, menneskelige, administrative og fysiske forhold bidrar til å avsløre sårbarheter og forbedringspunkter.