Alexandra Instituttet

IoT-sikkerhed kræver forståelse for teknik, forretning og organisation

Del

En ny undersøgelse, som Alexandra Instituttet har foretaget, viser, at flere virksomheder oplever, at IoT-sikkerhed spiller en central rolle for deres produkt og forretningsgrundlag. Dog kan det være vanskeligt at finde det rette niveau for IoT-sikkerheden.

Flere virksomheder ser sikkerhed som en afgørende parameter, når de kobler deres produkter til nettet. Dels har de fokus på at skabe en driftssikker løsning. Dels er de bevidste om de forretningsmæssige potentialer og risici, der er forbundet med IoT-produkterne. Dog kan det være vanskeligt at finde det rette niveau for IoT-sikkerheden. 

Som én virksomhed siger:

”Du skal være foran, men heller ikke så langt foran, at du priser dig selv ud af det her. Vi skal passe på, at vi hverken bliver valgt fra, fordi det er for dyrt, eller ikke kan byde på opgaver, fordi sikkerheden ikke lever op til kravene.”

Citatet stammer fra en undersøgelse, som Alexandra Instituttet har foretaget. På baggrund af desk research og interviews med 27 danske virksomheder har de lavet en modenhedsanalyse af virksomhedernes arbejde med IoT-sikkerhed. Her ser man på de tekniske, organisatoriske og forretningsmæssige faktorer, der tilsam­men er afgørende for sikkerheden i virksomhedernes IoT-produkter. 

Der findes en række anbefalinger og analyser på området, men der er endnu ikke lavet en afdækning af, hvordan udfordringerne omkring IoT-sikkerhed håndteres i danske virksomheder. Indsigterne fra undersøgelsen er derfor afgørende for det fremadrettede arbejde med at hæve IoT-sikkerhedsniveauet i Danmark. 

Del af ny værdikæde

Virksomhederne oplever, at IoT-sikkerhed spiller en central rolle for deres produkt. Salgstalerne om de nye muligheder med IoT falder ganske enkelt til jorden, hvis ikke de kan svare på kundens spørgsmål om, hvordan produktet er sikret. For at kunne få lov til at sælge de nye funktioner og produkter, skal de have styr på IoT-sikkerheden. 

En anden ting, som undersøgelsen peger på, er at virksomhederne også ser en mulighed for positiv brandingværdi i sikkerhed. Dog fylder den negative brandingværdi mindst lige så meget hos virksomhederne. De nævner gentagne gange, at de er bange for, at det er deres produkter, der bliver hacket og misbrugt. En del af forklaringen bag denne frygt er, at ens virksomhed med IoT bliver en del af en ny værdikæde. Den sensor eller det IoT-produkt, man leverer, kan derfor også blive en bagdør ind til hele kundens system. Som en siger:

Hvis man kan udnytte en adgang til sådan nogle systemer, så kan man jo skade på et andet niveau end tidligere og få nogle ting til at stoppe eller gå ned. Vi har også et vist ansvar for, at når vi går ud i markedet med nogle connectede devices, så leverer vi også en fornuftig sikkerhed. Om der så er compliancekrav nu eller ej, så er vi nødt til at tage det med i vores risikovurdering.”

Savner standarder

Derfor søger virksomhederne at øge deres viden om IoT-sikkerhed, men de savner en standard, de kan læne sig op ad. IoT er nyt terræn, og der er endnu ikke sket en standardisering på området. Der er ikke noget facit, og det gør, at kunder og leverandører er usikre på, hvad der er godt nok. De fleste bruger derfor meget tid på dialogen med interne og eksterne interessenter om, hvornår sikkert er sikkert nok.

Som én formulerer det: ”En standard kan give referencer, så vi kan sige til vores kunder, at det her er ikke bare to mand i vores virksomhed, der har fundet på at implementere et eller andet sikkerhed.”

Bristen i IoT-systemet kan ligge steder, man slet ikke havde tænkt på. Fordelen ved at kunne styre tusindvis af enheder i stedet for fx at servicere dem manuelt, skal hele tiden holdes op imod risikoen for, at systemet hackes og udnyttes. Jo mere IoT fylder i forretningen, des større risiko er der også for virksomheden. At udnytte forretningspotentialet kræver derfor også, at man har risikostyringen på plads. 

Ansvaret ligger ikke kun i it-afdelingen

Det leder os så videre til, hvor ansvaret for IoT-sikkerhed bedst placeres. 

Hvor klassisk it-sikkerhed typisk ligger i it-afdelingen, er IoT-sikkerhed en mere hybrid størrelse, som ofte går på tværs af de eksisterende organiseringer. Men som med andre funktioner er der brug for, at nogen i virksomheden ejer IoT-sikkerheden, tager ansvaret og danner sig et overblik over risikoen. Sikkerhed er aldrig absolut, og man skal som virksomhed tage stilling til, hvilke risici man kan leve med – en  beslutning der bør være forankret i ledelsen. 

Der er stor forskel på, hvordan virksomhederne i praksis håndterer og placerer opgaven med IoT-sikkerhed. Hvor nogle søger at håndtere mest muligt internt, har andre tiltro til, at deres underleverandører har helt styr på sikkerheden, men flere mangler forudsætningerne for at indgå i en dialog omkring det. Hos de mere modne virksomheder skabes en organisering, hvor produktets sikkerhed udvikles og evalueres i løbet af udviklingsprocessen.

Modenhed er afgørende

Generelt er der forskel på, hvordan virksomhederne sikrer, at de har adgang til de nødvendige kompetencer inden for IoT-sikkerhed. Nogle prioriterer at have IoT-sikkerhedsfaglige medarbejdere in-house. Andre har valgt at outsource hele eller dele af udviklingen, mens andre igen sørger for at opgradere deres viden i tilstrækkelig grad til at kunne indgå i dialog med underleverandører og kunder. 

Det viser sig i undersøgelsen, at jo mere virksomhederne ved, des mere ved de også, hvad de ikke ved. Efterhånden som virksomhederne bliver mere modne, vil de derfor atter begynde at benytte sig af out- og insourcing for på den måde at sikre ekspertviden på særligt kritiske og komplekse områder. 

Fakta: Fire tilgange til IoT-sikkerhed 

Hvad der ses som et passende sikkerhedsniveau for den enkelte løsning, og hvordan virksomhederne arbejder med at opnå dette, fordeler sig på fire tilgange: optimistisk, gradvist, integreret og styret. Modellen er dels et værktøj til selvevaluering, dels et dialogredskab til udviklingen af IoT-sikkerhed som indsatsområde. 

OPTIMISTISK: For os er sikkerhed et nødvendigt onde, som især handler om, at vores kunder er bekymrede. Vi har valgt nogle erfarne underleverandører, og vi har tillid til, at de leverer et sikkert produkt.

GRADVIST: Vi følger de anbefalinger, vi får fra konsulenter og underleverandører og har sørget for den basale sikkerhed. Det bliver først nødvendigt med større sikkerhedstiltag, når vi skal til at skalere produktet.

INTEGRERET: Sikkerhed er forretningskritisk for os, og vi vurderer løbende, om vores produkter er sikre nok. Vi arbejder med at ensarte IoT-sikkerhed på tværs af organisationen men savner en standard, vi kan læne os op ad.

STYRET: Sikkerhedslandskabet udvikler sig hele tiden, og vi prioriterer at være på forkant. Sikkerhed er en driver for at opnå det, vi gerne vil med IoT. Vi har fælles modeller for sikkerhed, og alle beslutninger er forankret i ledelsen.

Fakta om projektet 
Analysen er foretaget i regi af Cybersecure IoT in Danish Industry (CIDI), der er et projekt under Industriens Fond. Projektet har til formål at hjælpe danske virksomheder med at sætte IoT-sikkerhed på den strategiske dagsorden og opnå en konkurrencefordel med bedre digitale produkter.

Klik her for at læse rapporten og her for at få en oversigt over de fire tilgange. 

Nøgleord

Billeder

Information om Alexandra Instituttet

Alexandra Instituttet
Alexandra Instituttet
Åbogade 34 · Njalsgade 76, 3. sal
8200 Aarhus N · 2300 København S

+45 70 27 70 12https://alexandra.dk

100 eksperter under ét tag 

Alexandra Instituttet hjælper offentlige og private virksomheder med at anvende den nyeste it-forskning og -teknologi. Vores udgangspunkt er samfundsmæssige problemstillinger og behov for at omsætte den nyeste forskning til innovative løsninger. 

Hos os finder du stærke kompetencer inden for blandt andet computer graphics, kunstig intelligens, internet of things, big data, it-sikkerhed, interaktionsdesign og smarte produkter. 

Vi arbejder i et tværfagligt miljø og er et hold af højtkvalificerede specialister, der hurtigt kan forstå din organisations og dine brugeres problemstillinger.

 
 

Følg pressemeddelelser fra Alexandra Instituttet

Skriv dig op her, og modtag pressemeddelelser på e-mail. Indtast din e-mail, klik på abonner, og følg instruktionerne i den udsendte e-mail.

Flere pressemeddelelser fra Alexandra Instituttet

Ny rapport: Hvor går det galt, når 80% af alle kunstig intelligens-projekter ikke bliver til noget?8.10.2020 11:44:47 CESTPressemeddelelse

Det succesfulde AI-projekt starter med en god idé. Det er afgørende, men ikke alt… Mens virksomheder forventer, at de skal bruge energi på at få den helt rigtige idé, så er færre klar over, at den egentlige udfordring oftere er at have nok data i god kvalitet og at få organisationen med på projektet. Det er en af konklusionerne i en ny rapport fra Alexandra Instituttet om anvendt kunstig intelligens, der er skrevet på baggrund af 22 danske virksomheders erfaringer med at bruge teknologien.

Virtuel konference: Digitale teknologier som løftestang for grøn omstilling5.10.2020 09:59:01 CESTPressemeddelelse

Den grønne omstilling sker ikke af sig selv. Den skal have et stort skub af os alle – politikere, borgere og virksomheder. Men kan dette skub få medvind fra digitale teknologier? Det er vi i InfinIT overbeviste om! Derfor dedikerer vi en hel dag til den agenda og spørger nogle af landets førende eksperter; Hvordan kan it tjene som løftestang for den grønne omstilling – og hvordan leder vi os derhen, hvor det rent faktisk sker?

I vores nyhedsrum kan du læse alle vores pressemeddelelser, tilgå materiale i form af billeder og dokumenter samt finde vores kontaktoplysninger.

Besøg vores nyhedsrum