Bevilling på ti millioner skal styrke danske virksomheders it-sikkerhed

Projektet “Security by Design in Digital Denmark” er et samarbejde mellem DTU Compute, Institut for Datalogi på Aalborg Universitet, Dansk Erhverv, Dansk Industri, Erhvervshus Midtjylland, Alexandra Instituttet og Industriens Fond.

Målsætningen med projektet er at gøre danske virksomheder bedre til at tænke sikkerhed ind i hele processen med softwareudvikling. Uden at det kommer på tværs af deres tradition for at udvikle agilt lige fra start til levering og vedligehold. Begrebet hedder Security by Design (SbD) og handler om at integrere sikkerhed i den måde, som de digitale løsninger designes, skabes og vedligeholdes på. 

- Software udgør i stigende grad motoren i virksomheders drift. Derfor er det afgørende, at softwareløsningerne er sikre. Vi kan se, at mange mindre softwarevirksomheder har brug for mere viden og bedre værktøjer til at styrke sikkerheden i deres løsninger. Ved at lave sådan et initiativ kan vi finde ud af, hvordan vi får løftet niveauet og får formidlet nogle værktøjer til både softwareleverandører og de konsulenthuse, som virksomhederne går til, når de skal have udviklet software. Vi skal have gjort sikkerhed til en naturlig del af udviklingsprocessen, forklarer Mads Schaarup Andersen fra Alexandra Instituttets Security Lab.

Følg projektets resultater eller meld din virksomhed til forløbet.

Cybersikkerhed er en naturlig del af softwareprodukters livscyklus

At der er behov for en indsats omkring virksomheders arbejde med sikkerhed understøttes af en forundersøgelse, som Alexandra Instituttet gennemførte sidste år for Industriens Fond. Den viste, at flere SMV’er er bevidste om, at SbD er en del af morgendagens dagsorden, og at de har større eller mindre initiativer i gang. Men den viste også, at mange SMV’er bevidst outsourcer it-sikkerhed til konsulenter og udviklingshuse, fordi de hverken har ressourcerne eller tilstrækkeligt med opgaver til selv at have dedikerede og specialiserede it-sikkerhedsmedarbejdere internt i virksomheden.

Virksomhederne efterspørger derfor i højere grad specialiseret rådgivning, der kan løfte hele organisationen frem for uddannelse af enkelte medarbejdere. Det ønske skal det nye projekt imødekomme.

- Det handler grundlæggende om at tænke sikkerhed ind i alle faser af udviklingen samt i livscyklussen for softwareprodukter. Dermed går sikkerhed fra at være noget, man påklistrer et færdigt produkt, til at være et hovedelement i hele processen. Med initiativet her kan vi få gjort sikkerhed til en fast del af virksomheders udviklingsproces, siger Tim Sloth Jørgensen, der er programchef for Industriens Fonds cybersikkerhedsindsats. Han peger på, at det samtidig vil være med til at løfte konkurrenceevnen:

- Det vil kunne give mange virksomheder et automatisk løft op ad sikkerhedsstigen, hvis vi kan få styr på sikkerheden i softwaren allerede, når vi udvikler eller integrerer softwaren, og det vil dermed være med til at styrke konkurrenceevnen. Vi ser et kæmpe vækst- og eksportpotentiale for de leverandører og udviklingshuse, der udvikler sikker software til virksomheder i Danmark og udlandet, siger Tim Sloth Jørgensen fra Industriens Fond.

Projektet kommer til at bestå af en række virksomhedsforløb, hvor virksomheder får adgang til viden om, hvordan de implementerer sikkerhed i hele softwareudviklingsprocessen.

Samtidig vil der blive oprettet et panel for SbD. Panelet vil være den centrale sparringspartner, som løbende kvalificerer, at tilgange og metoder til arbejdet med SbD er relevant for dansk erhvervslivs behov og interesser. Panelet sikrer samtidig, at den opbyggede viden kan komme en større gruppe af virksomheder og rådgivere til gavn.

Panelet vil derfor være tværfagligt og bl.a. bestå af projektpartnere samt repræsentanter for danske styrkepositioner og øvrige relevante initiativer og virksomheder med relevans for SbD.

Undersøgelse: Virksomheder skal prioritere sikkerhed i softwareudviklingen

En forundersøgelse, som Alexandra Instituttet lavede for Industriens Fond sidste år, viste, at især mindre danske virksomheder – såvel leverandører som aftagere – er udfordret og ofte ikke har ressourcerne til selv at tage højde for sikkerheden i den software, som de udvikler og anvender.

Der mangler best practices på området, og mange leverandører fortæller, at der ikke er rum til at dedikere en medarbejder til Security by Design (SbD) eller til sikkerhed i det hele taget. De vælger i stedet at trække på eksterne konsulenter, når der stilles krav til sikkerheden. 

Mange ser et stort potentiale i SbD, men situationen er i dag fastlåst ved, at leverandørerne venter på en efterspørgsel på SbD fra kunderne, mens kunderne forventer, at leverandørerne tager ansvar for at drive udviklingen frem.

SbD handler ikke kun om tekniske kompetencer, men også om processer og procedurer. At lykkes med SbD kræver derfor, at virksomhederne gør en målrettet indsats for at skabe nogle grundlæggende ændringer. Det er afgørende, at ledelsen bakker op om dette projekt og allokerer ressourcer til det. 

Industriens Fonds Cybersikkerhedprogram:

Gennem en særlig indsats arbejder Industriens Fond målrettet på at styrke danske virksomheders arbejde med cybersikkerhed. Det sker på tre fokusområder. Cybersikkerhed skal være et særligt konkurrenceparameter for danske digitale løsninger og produkter. Cybersikkerheden i små og mellemstore virksomheder skal løftes. Og danske virksomheder skal have bedre adgang til cybersikkerhedskompetencer.

Læs mere: www.cyberindsats.dk