En del av NSMs arbeid med forebyggende sikkerhet er å teste sikkerhetsfunksjonalitet og -tiltak. Dette gjøres blant annet ved inntrengingstesting av objekter og informasjonssystemer av nasjonal viktighet. Formålet er å teste om sikkerhetstiltakene en virksomhet har implementert er effektive, for eksempel fysiske barrierer rundt og i objektet, adgangskontroll, sensorer, tilgangsstyring av virksomhetens IKT-infrastruktur og sikring av tjenester publisert på internett. Virksomheter underlagt sikkerhetsloven kan anmode NSM om inntrengingstesting av digitale og fysiske sikkerhetstiltak. For øvrige virksomheter tar NSM sikte på å etablere en kvalitetsordning for tilbydere av inntrengingstester.

Innhenting av informasjon fra åpne kilder, om virksomheten, objektet eller informasjonssystemet virksomheten ivaretar, inngår som en del av forberedelsene til inntrengingstester. Når test-teamet får et fotfeste i virksomhetens infrastruktur, fortsetter informasjonsinnhentingen. NSMs erfaring tilsier at virksomhetene skjermer systemteknisk informasjon for dårlig, og at det er for lite forståelse for hvorfor denne typen informasjon bør begrenses til personell med tjenstlig behov. NSM anbefaler virksomhetene å være varsomme med å eksponere informasjon som kan utnyttes av trusselaktører til å forberede og utvikle et angrep. Dette kan for eksempel være:

  • Informasjon om virksomheten, ansatte, funksjoner og brukerroller som kan utnyttes til å målrette angrep
  • Informasjon om hvilke produkter og versjoner som benyttes, hvordan produktene brukes og hvilke sikkerhetstiltak som er iverksatt, gjør det mulig å studere produktenes sårbarheter og slik kunne finne den mest hensiktsmessige måten å utnytte disse på i forkant
  • Informasjon om hvilke produsenter, leverandører og distribusjonsnettverk virksomheten benytter, kan utnyttes til å kompromittere produkter før de når frem