Micro Technic: Vores kunder efterspørger sikre IoT-produkter – ikke IoT-sikkerhed

Det er mulighederne med IoT, der får Micro Technics kunder til at lyse op. Når snakken falder på sikkerheden, falmer kundernes entusiasme. De forventer, at der fra dag ét er styr på sikkerheden som en del af løsningen. Derfor er det blevet Micro Technics opgave altid at levere sikre IoT-systemer – altså systemer der indeholder sikkerhed fra start og ikke som tilkøb eller ekstra bonus. Man kan med andre ord ikke forvente, at der er en ekstra gevinst ved at markedsføre IoT-løsninger på IoT-sikkerhed.

-Pas på med at snakke IoT-sikkerhed. Det kan du ikke sælge. Jeg tror aldrig, jeg har brugt begrebet IoT-sikkerhed overfor en kunde. Men vi snakker meget om sikre IoT-løsninger, når vi er ude og møde kunderne. Det er IoT-delen, der kan sælges til rigtig mange og sikkerhedsdelen ikke til nær så mange. Glæden ved at løse problemet med IoT er større, forklarer Anders Qvistgaard Sørensen, der er R&D Manager hos Micro Technic.

Sikre produkter er under konstant pres

Med sikre IoT-produkter menes, at man som leverandør har lige så godt styr på IoT-produktet som sikkerhedsdelen. Og netop de to vinkler kræver, at udviklerteamet skal holde sig konstant opdateret på nye trusler og teknikker på niveau med nye komponenter og muligheder med IoT-produkterne. Det var den indsigt, der fik Micro Technic til at melde sig ind i CIDI – Cybersecure IoT in Danish Industries - som en del af deres kompetenceudvikling med andre danske virksomheder.

- Vi begynder at se flere og flere krav indenfor sikkerhed både lovgivningsmæssigt og kunder, der stiller krav til produkter og leverandører. Danske virksomheder skal være klar til at møde de krav og dermed markedsføre sig på sikre IoT-produkter. Nu har virksomhederne i en årrække tænkt cybersikkerhed som sikring af deres virksomheds data i it-afdelingen, men nu gælder cybersikkerhed også for deres digitale produkter, siger Gert Læssøe Mikkelsen. Han er leder af Security Lab ved Alexandra Instituttet, som kører flere projekter med fokus på produkters sikkerhed.

Virksomhederne skal ifølge Gert have nye kompetencer i spil og gerne helt fra idefasen på et fagligt og organisatorisk plan. Med tiltag som CIDI giver Industriens Fond danske virksomheder adgang til eksperters viden, der kan hjælpe både på et teknisk og organisatorisk plan og samtidig samle erfaringer på tværs af virksomheder.

En del af noget større

Det var overskriften om netværk for sikkerhed, der trak i Micro Technic. Det var et ønske om at kunne snakke med, bidrage og få viden ud af et netværk af andre danske virksomheder.

-Vi gik ind i CIDI, fordi vi klart arbejder mere og mere bevidst med sikkerhed. Som et trinbræt til at få nogle at sparre med og lytte til andres udfordring. IoT-sikkerhed er jo ikke nyt men alligevel lidt nyt. Man kan godt blive en smule i tvivl om, hvorvidt ens fokuspunkter og problemer er de samme som andres. Er de unikke, eller glemmer jeg at kigge på nogle bestemte parametre? siger Anders Qvistgaard Sørensen.

Han understreger, at IoT-sikkerhed ikke kun er for de få. Alle har brug for at have et sikkerhedsmindset med, når man vælger udstyr eller selv udvikler udstyr. Det er en konstant risikovurdering i et udviklingshus. Ifølge Anders skal man øge bevidstheden om, at sikkerhed er noget, man hele tiden skal snakke om.

- CIDI har helt sikkert givet os nogle værktøjer og skubbet til vores måde at tænke på, og det, vi har lært der, er en del af den udvikling, der er i vores bevidsthed om sikkerhed. Vi havde stået dårligere uden CIDI. Mest på bevidstheden og i dialog med kunder og måden, vi udvikler på og også på noget helt konkret, hvor vi kommer til at lave forbedringer, siger han.

- Men vi involverer os også i mange andre IoT-sikkerhedstiltag, for jeg tror ikke på, at vores udstyr er sikkert pga. en kodegennemgang. Der er så mange faktorer, og det spiller ind på mange planer. Det er dem, vi skal holde øje med.

Tal ind til kundens behov

Selvom kunderne ikke lyser helt op, når snakken falder på sikkerheden, så skaber det alligevel en værdi. Den værdi skal udpensles for kunden, og det virker, hvis man forklarer de risikofaktorer, der har betydning for kunden. 

- Som en del af projektet har vi lavet sikkerhedsreviews af produktet helt ned på kodeniveau. Et sikkerhedsreview skal man lave af to grunde. For selv at blive klogere på, hvor sikkert produktet er, men også for at have en tredjepart til at kigge på ens produkt og dermed vise kunderne, at man tør lade andre vurdere ens produkt, siger Gert Læssøe Mikkelsen.

Det vigtige her er, at reviews ikke bare klistres på til sidst, men at man tænker sikkerhed og risici fra start og hele vejen i gennem udviklingen også kaldet Security by Design.

Anders Qvistgaard Sørensen er enig. Derfor har han et godt råd til andre virksomheder.

-Udpensl risiskofaktorer for kunden ved at forstå de faktorer, der er vigtige for kunden. Eksempelvis i bankverdenen, hvor sikkerhed er en funktion. Du snakker om sikkerhed før noget andet. Andre brancher har ikke det fokus først, så hvis du ikke kan konkretisere sikkerhed i forhold til kundens behov, går gassen af ballonen. Mange kunder er tunnelsynede i forhold til, hvad IoT kan. Og så forventer de sikre IoT-produkter. Det er en vigtig pointe, siger Anders Qvistgaard Sørensen.