Pressemeddelelse fra Alexandra Instituttet
9 virksomheder er i gang med et forløb i projektet ““, hvor de får styrket deres cybersikkerhed gennem sparring, værktøjer og rådgivning. Der begynder allerede at tegne sig et mønster af virksomhedernes tilgang til sikkerhed og deres udfordringer med det. Vi ser i denne artikel på nogle af de erfaringer, de har gjort sig, som kan hjælpe andre virksomheder med at styrke deres cybersikkerhed.
En ad-hoc tilgang
For virksomhederne er det især en udfordring at få sikkerhed tænkt ind i alle faser af softwareudviklingsprocessen, og oftest indgår sikkerhed ikke som en struktureret del af processerne.
Ofte er der ingen faste processer eller konkrete procedurer for, hvordan håndteringen af sikkerhed skal foregå. I praksis er det derfor op til den enkelte medarbejder at sørge for sikkerheden med de kompetencer og ressourcer, som vedkommende måtte have. Som det er i dag, er håndteringen af sikkerhed altså ad hoc og personafhængig i de fleste virksomheder. Sikkerhed bliver dermed en eftertanke og risikerer at blive nedprioriteret, når deadline nærmer sig, resultater skal leveres og timerne er ved at være sluppet op.
Skal niveauet hæves, er der brug for, at virksomhederne løbende stopper op og bruger tid på at granske sikkerheden i de løsninger, de arbejder på. Det kan dog være svært at afsætte ressourcer til i et miljø, som ofte er presset i forhold til at levere nye features og produkter hurtigst muligt. Virksomhederne oplever et krydspres mellem effektivitet og sikkerhed – som en virksomhed formulerer det:
“Det er jo svært, fordi det skal indarbejdes i et tog, der kører 160 km/t, men samtidig er det ikke svært, når det er noget, man ved skal gøres, for at man overhovedet kan levere løsningen.”
Overordnet ser vi en tendens til en reaktiv tilgang, hvor virksomhederne ikke får tilrettelagt en klar strategi for sikkerhed i udviklingsprocesserne. Dermed bliver det også svært for virksomhederne at vurdere, hvorvidt produkterne er sikret tilstrækkeligt:
“Et tilbagevendende problem er at vurdere, om et produkt er sikkert. Altså hvor sætter man barren for, hvad alle produkter skal leve op til?”
Øgede kundekrav
Som det er lige nu, kommer fokus på sikkerhed først og fremmest fra kundernes efterspørgsel. Det betyder, at virksomhederne ofte kommer til at lave nok til at imødekomme de krav – og så ikke mere end det.
Men dels betyder det, at der ikke nødvendigvis er en rød tråd i tiltagene, og at man derfor risikerer, at ressourcerne ikke bruges optimalt. Dels er kunderne ikke nødvendigvis de bedste til at opstille sikkerhedskriterierne.
Virksomhederne ville stå stærkere, hvis de havde en dybere forståelse af, hvad det reelt kræver at gøre et system sikkert og dermed kunne sætte retningen og niveauet for sikkerheden. Oftest ønsker kunderne, dybest set, at være sikre på, at det de nu køber også er sikkert. I den afklarende dialog mangler virksomhederne værktøjer, som kan hjælpe til en bredere og mere nuanceret forståelse af sikkerhed, og at det ikke er enten eller:
“Så når de siger, de vil have noget, der er sikkert, så er det et spørgsmål om graden, for hvor meget skal vi lægge i det? Der er tit problemer med at forstå, hvilke krav man stiller, og hvor sikkert man egentlig vil have det.”
Men at der overhovedet tales om og stilles krav til sikkerheden er i sig selv et skridt i den rigtige retning, hvilket understøtter behovet for at udvikle bedre processer og værktøjer til at indarbejde sikkerhed i udviklingsprocesserne. Virksomhederne giver generelt udtryk for, at sikkerhed i stigende grad bliver kritisk for deres forretning og de ydelser og produkter, de gerne vil tilbyde deres kunder. Udover at der generelt i samfundet er et stigende fokus på cybersikkerhed, oplever virksomhederne altså også et konkret behov for at kunne imødekomme de krav, der er ved at opstå i markedet:
“For nylig kom en af de store virksomheder og siger til os, at nu vil de gerne have, at vi udfylder denne blanket om, hvordan vi er rustet på sikkerhedsområdet. Så dem besvarede vi så godt, som vi kunne, men vi fik øjnene op for, at det nok bliver et større og større tema fremadrettet.”
Security by Design – men hvordan?
Når vi taler med de danske softwarevirksomheder, står det klart, at der i stigende grad er fokus på sikkerhed som afgørende for forretningen, men at mange samtidig kæmper med, hvordan det skal gribes an – strategisk, såvel som i det daglige arbejde.
Virksomhederne savner værktøjer, guidelines og best practices til, hvordan de konkret kan integrere sikkerhed i deres udviklingsprocesser. Ligeledes er der brug for værktøjer, som kan understøtte virksomhedernes dialoger med kunderne, da der på begge sider af bordet hersker tvivl om, hvornår noget kan siges at være ’sikkert’.
Hvor sikkerhed hos mange er sket reaktivt og ad hoc, oplever flere og flere virksomheder vigtigheden af en styret og proaktiv tilgang til sikkerhed. Mange er derfor klar til at investere i nye strukturer og arbejdsgange, og det er netop, hvad vi arbejder med i “Security by Design in Digital Denmark”, hvor vi gennem virksomhedsforløb og netværksaktiviteter udvikler og afprøver initiativer, som har til formål at hjælpe danske softwarevirksomhederne med at få sikkerhed ind som en naturlig del af udviklingsprocessen.
Ud fra de erfaringer, vi gør os i Sb3D-projektet, vil vi lancere en række værktøjer og vise konkrete virksomhedscases, som andre kan lade sig inspirere af. For at være blandt de første til at få adgang til værktøjerne skal man holde øje. Har I spørgsmål til projektet, eller hvordan I kan få bedre styr på jeres sikkerhed, så tag fat i Mads Schaarup Andersen for at høre mere.
Kontakt: Mads Schaarup Andersen, mads.andersen@alexandra.dk
Tilmeld dig på: https://alexandra.dk/sb3d-security-by-design/
Projektet Security by Design in Digital Denmark (Sb3D) skal sikre, at Security by Design (SbD) er normen for software udviklet i Danmark. Med en bevilling på 10,4 millioner kr. fra Industriens Fonds cybersikkerhedsprogram skal vi løfte cybersikkerheden i dansk erhvervsliv ved at højne cybersikkerhedsniveauet i virksomhedernes digitale løsninger.
Sb3D er et samarbejde mellem DTU Compute, Institut for Datalogi på Aalborg Universitet, Dansk Erhverv, Dansk Industri, Erhvervshus Midtjylland, Alexandra Instituttet og Industriens Fond.
Læs hele pressemeddelelsen på Via Ritzau her: https://via.ritzau.dk/pressemeddelelse/hvornar-er-man-cybersikker-nok?releaseId=13652174
** Ovenstående pressemeddelelse er videreformidlet af Ritzau på vegne af tredjepart. Ritzau er derfor ikke ansvarlig for indholdet **
