Hvornår er man cybersikker nok?

Del

9 danske virksomheder har gjort sig nogle erfaringer, som andre kan lære af.

9 virksomheder er i gang med et forløb i projektet finansieret af Industriens Fond ”Security by Design in Digital Denmark”, hvor de får styrket deres cybersikkerhed gennem sparring, værktøjer og rådgivning. Der begynder allerede at tegne sig et mønster af virksomhedernes tilgang til sikkerhed og deres udfordringer med det. Vi ser i denne artikel på nogle af de erfaringer, de har gjort sig, som kan hjælpe andre virksomheder med at styrke deres cybersikkerhed.


En ad-hoc tilgang
For virksomhederne er det især en udfordring at få sikkerhed tænkt ind i alle faser af softwareudviklingsprocessen, og oftest indgår sikkerhed ikke som en struktureret del af processerne.

Ofte er der ingen faste processer eller konkrete procedurer for, hvordan håndteringen af sikkerhed skal foregå. I praksis er det derfor op til den enkelte medarbejder at sørge for sikkerheden med de kompetencer og ressourcer, som vedkommende måtte have. Som det er i dag, er håndteringen af sikkerhed altså ad hoc og personafhængig i de fleste virksomheder. Sikkerhed bliver dermed en eftertanke og risikerer at blive nedprioriteret, når deadline nærmer sig, resultater skal leveres og timerne er ved at være sluppet op.

Skal niveauet hæves, er der brug for, at virksomhederne løbende stopper op og bruger tid på at granske sikkerheden i de løsninger, de arbejder på. Det kan dog være svært at afsætte ressourcer til i et miljø, som ofte er presset i forhold til at levere nye features og produkter hurtigst muligt. Virksomhederne oplever et krydspres mellem effektivitet og sikkerhed – som en virksomhed formulerer det:

”Det er jo svært, fordi det skal indarbejdes i et tog, der kører 160 km/t, men samtidig er det ikke svært, når det er noget, man ved skal gøres, for at man overhovedet kan levere løsningen.”

Overordnet ser vi en tendens til en reaktiv tilgang, hvor virksomhederne ikke får tilrettelagt en klar strategi for sikkerhed i udviklingsprocesserne. Dermed bliver det også svært for virksomhederne at vurdere, hvorvidt produkterne er sikret tilstrækkeligt:

”Et tilbagevendende problem er at vurdere, om et produkt er sikkert. Altså hvor sætter man barren for, hvad alle produkter skal leve op til?”

Øgede kundekrav
Som det er lige nu, kommer fokus på sikkerhed først og fremmest fra kundernes efterspørgsel. Det betyder, at virksomhederne ofte kommer til at lave nok til at imødekomme de krav – og så ikke mere end det.

Men dels betyder det, at der ikke nødvendigvis er en rød tråd i tiltagene, og at man derfor risikerer, at ressourcerne ikke bruges optimalt. Dels er kunderne ikke nødvendigvis de bedste til at opstille sikkerhedskriterierne.

Virksomhederne ville stå stærkere, hvis de havde en dybere forståelse af, hvad det reelt kræver at gøre et system sikkert og dermed kunne sætte retningen og niveauet for sikkerheden. Oftest ønsker kunderne, dybest set, at være sikre på, at det de nu køber også er sikkert. I den afklarende dialog mangler virksomhederne værktøjer, som kan hjælpe til en bredere og mere nuanceret forståelse af sikkerhed, og at det ikke er enten eller:

”Så når de siger, de vil have noget, der er sikkert, så er det et spørgsmål om graden, for hvor meget skal vi lægge i det? Der er tit problemer med at forstå, hvilke krav man stiller, og hvor sikkert man egentlig vil have det.”

Men at der overhovedet tales om og stilles krav til sikkerheden er i sig selv et skridt i den rigtige retning, hvilket understøtter behovet for at udvikle bedre processer og værktøjer til at indarbejde sikkerhed i udviklingsprocesserne. Virksomhederne giver generelt udtryk for, at sikkerhed i stigende grad bliver kritisk for deres forretning og de ydelser og produkter, de gerne vil tilbyde deres kunder. Udover at der generelt i samfundet er et stigende fokus på cybersikkerhed, oplever virksomhederne altså også et konkret behov for at kunne imødekomme de krav, der er ved at opstå i markedet:

”For nylig kom en af de store virksomheder og siger til os, at nu vil de gerne have, at vi udfylder denne blanket om, hvordan vi er rustet på sikkerhedsområdet. Så dem besvarede vi så godt, som vi kunne, men vi fik øjnene op for, at det nok bliver et større og større tema fremadrettet.”

Security by Design – men hvordan?
Når vi taler med de danske softwarevirksomheder, står det klart, at der i stigende grad er fokus på sikkerhed som afgørende for forretningen, men at mange samtidig kæmper med, hvordan det skal gribes an – strategisk, såvel som i det daglige arbejde.

Virksomhederne savner værktøjer, guidelines og best practices til, hvordan de konkret kan integrere sikkerhed i deres udviklingsprocesser. Ligeledes er der brug for værktøjer, som kan understøtte virksomhedernes dialoger med kunderne, da der på begge sider af bordet hersker tvivl om, hvornår noget kan siges at være ’sikkert’.

Hvor sikkerhed hos mange er sket reaktivt og ad hoc, oplever flere og flere virksomheder vigtigheden af en styret og proaktiv tilgang til sikkerhed. Mange er derfor klar til at investere i nye strukturer og arbejdsgange, og det er netop, hvad vi arbejder med i ”Security by Design in Digital Denmark”, hvor vi gennem virksomhedsforløb og netværksaktiviteter udvikler og afprøver initiativer, som har til formål at hjælpe danske softwarevirksomhederne med at få sikkerhed ind som en naturlig del af udviklingsprocessen.

Ud fra de erfaringer, vi gør os i Sb3D-projektet, vil vi lancere en række værktøjer og vise konkrete virksomhedscases, som andre kan lade sig inspirere af. For at være blandt de første til at få adgang til værktøjerne skal man holde øje. Har I spørgsmål til projektet, eller hvordan I kan få bedre styr på jeres sikkerhed, så tag fat i Mads Schaarup Andersen for at høre mere.

Kontakt: Mads Schaarup Andersen, mads.andersen@alexandra.dk

Tilmeld dig på: https://alexandra.dk/sb3d-security-by-design/

Projektet Security by Design in Digital Denmark (Sb3D) skal sikre, at Security by Design (SbD) er normen for software udviklet i Danmark. Med en bevilling på 10,4 millioner kr. fra Industriens Fonds cybersikkerhedsprogram skal vi løfte cybersikkerheden i dansk erhvervsliv ved at højne cybersikkerhedsniveauet i virksomhedernes digitale løsninger.

Sb3D er et samarbejde mellem DTU Compute, Institut for Datalogi på Aalborg Universitet, Dansk Erhverv, Dansk Industri, Erhvervshus Midtjylland, Alexandra Instituttet og Industriens Fond.

Billeder

Information om Alexandra Instituttet

Alexandra Instituttet
Åbogade 34 · Rued Langgaards Vej 7
8200 Aarhus N · 2300 København S

+45 70 27 70 12https://alexandra.dk

100 eksperter under ét tag 

Alexandra Instituttet hjælper offentlige og private virksomheder med at anvende den nyeste it-forskning og -teknologi. Vores udgangspunkt er samfundsmæssige problemstillinger og behov for at omsætte den nyeste forskning til innovative løsninger. 

Hos os finder du stærke kompetencer inden for blandt andet computer graphics, kunstig intelligens, internet of things, big data, cybersikkerhed, interaktionsdesign og smarte produkter

Vi arbejder i et tværfagligt miljø og er et hold af højtkvalificerede specialister, der hurtigt kan forstå din organisations og dine brugeres problemstillinger.

 
 

Følg pressemeddelelser fra Alexandra Instituttet

Skriv dig op her, og modtag pressemeddelelser på e-mail. Indtast din e-mail, klik på abonner, og følg instruktionerne i den udsendte e-mail.

Flere pressemeddelelser fra Alexandra Instituttet

AR-teknologi træner mejerister fra hele Norden i digital beslutningsstøtte15.9.2022 09:51:21 CEST | Pressemeddelelse

Alexandra Instituttet har i samarbejde med FORCE Technology og Kold College i Odense bygget en digital tvilling af et pasteuriseringsanlæg, som står for varmebehandling i et mejeri. Det gør op med den traditionelle måde at interagere med produktionen. I stedet for at du styrer maskinen via en skærm med knapper, så kan du gå rundt i produktionen i augmented reality og tage status på maskinernes tilstand.

Digitalt værktøj sparer tid og øger kvaliteten hos hjemmeplejefirmaer3.8.2022 14:00:43 CEST | Pressemeddelelse

Manglende overblik og koordinering er blandt de største tidsrøvere for hjemmeplejesektoren. En it-løsning, der er udviklet af Alexandra Instituttet med inddragelse af en række hjemmeservicevirksomheder, gør det langt nemmere at flytte rundt på aftalerne med borgerne. Virksomhederne har dermed kunnet vinke farvel til gule sedler, overtegnede whiteboards og et puslespil af udprintede vagtplaner.

Vi vil hylde produktionsvirksomheder, der har fremmet bæredygtighed gennem øget digitalisering – er det jer?18.5.2022 13:42:47 CEST | Pressemeddelelse

Vi vil gerne bringe jeres gode historier frem i lyset, så I produktionsvirksomheder, der allerede er godt i gang med digitalisering og bæredygtighed, kan inspirere andre virksomheder. En datadrevet bæredygtig omstilling af produktionsindustrien er ikke bare en nødvendighed, hvis vi skal reducere CO2-udledningen med 70% i 2030, det kan samtidig styrke virksomhedernes vækst og konkurrenceevne. Hvis vi får de gode historier frem i lyset, vil andre tænke ”hvis de kan, så kan jeg også” og dermed spredes ringene i vandet.

I vores nyhedsrum kan du læse alle vores pressemeddelelser, tilgå materiale i form af billeder og dokumenter samt finde vores kontaktoplysninger.

Besøg vores nyhedsrum