Case: AGRAMKOW
Kundekrav og lovkrav skød sikkerhedseventyr i gang
AGRAMKOW
AGRAMKOW udvikler, producerer og markedsfører væskefylde-, test- og dataopsamlingsløsninger til applianceproducenter. Virksomhedens kunder er producenter af køle- og airconditionanlæg over hele verden.
”Det var egentlig kundeforespørgsler, der satte det i gang,” konstaterer Rune Lei, der arbejder som Software Manager hos AGRAMKOW, der udvikler, producerer og markedsfører væskefylde-, test- og dataopsamlingsløsninger til applianceproducenter.
”Flere og flere af vores kunder efterspurgte en eller anden form for dokumentation omkring, hvordan vi håndterede cybersikkerheden i vores software,” uddyber hans kollega Jeppe M. Andersen, der arbejder som softwarearkitekt. AGRAMKOW er nemlig en del af en stor tysk organisation, hvor der er tiltag i gang, der drives af EU’s Cyber Resilience Act (CRA), som træder i kraft i 2024.
"Det tager tid at blive sikker"
Security by design virkede abstrakt og uoverkommeligt
Inden Sb3D-projektet havde security by design virket lidt abstrakt, erkender han.
”Vi gjorde selvfølgelig, hvad vi kunne, men vi havde ikke faste procedurer eller en målestok for sikkerheden.”
Den strukturerede proces hjalp dem med at identificere det, de ønskede at forbedre.
”Inden forløbet havde vi faktisk ikke så godt indblik i, hvad vi gerne ville gøre bedre, for vi vidste ikke helt præcist, hvor vores mangler lå,” indrømmer han. ”Nu ved vi lige præcis, hvad vi skal arbejde videre med, og det virker relativt overkommeligt.”
Selvevaluering var en øjenåbner
AGRAMKOW fik meget ud af software maturity-modellen. ”Lige så snart vi begyndte at evaluere os selv, kunne vi jo godt se, at vi havde nogle udfordringer i udviklingen,” udtaler Rune Lei.
”Jeg tror, det var det, der rykkede mest,” supplerer hans kollega. ”Der gik ligesom et lys op for os med hensyn til, hvor vi var henne, hvad vi manglede, og hvad den rigtige vej fremad er.”
“Det er urealistisk at ville gøre alt på én gang, pointerer Jeppe M. Andersen, og modellen hjalp dem med at bestemme de punkter, de ville arbejde med, og udvælge de næste aktiviteter.
Påpasselige puf fra konsulenterne
”Konsulenterne fra Alexandra Instituttet har været meget påpasselige med direkte sige, at vi skulle gøre noget specifikt,” siger Rune Lei. ”Det har mere været små skub i den rigtige retning og forslag til, hvordan vi kunne gøre.”
Dén tilgang tiltaler ham: ”Det er jo virksomheden selv, der skal tage ansvar og beslutte, hvordan vi ville håndtere det. Ellers får man ikke forankret viden og ansvar i virksomheden. Og så ville vi få et uendelighedsprojekt, hvor konsulenterne konstant skulle være med på sidelinjen.”
Bred opbakning, også når det er lidt træls
Ledelsen hos AGRAMKOW har været gode til at bakke op om at afsætte de nødvendige ressourcer til projektet, fremhæver Jeppe M. Andersen.
”Det har været nødvendigt, at ledelsen var med på, at vi brugte tid på det. Sådan er det jo med sikkerhed: Det tager altid tid at være sikker.”
Hans kollega er enig og understreger vigtigheden af, at de både har fået allokeret de nødvendige personer og den fornødne tid til at gennemføre projektet.
Men hvad så, når implementeringen går i gang?
”Jeg tror, udviklerne vil synes, det er lidt træls, ligesom alt andet IT-sikkerhed,” forudsiger Jeppe M. Andersen. ”Men de vil acceptere det: Der har været fuld forståelse for det; alle er helt med på, at det er nødvendigt. Folk er engagerede og interesserede og synes, det er spændende. Og alle har gode ideer. Det gør det let for os, at der er så stor opbakning.”
SbD er både en indstilling og en praksis
”Vi har skullet vænne os til overhovedet at tænke i sikkerhed fra starten,” lyder Jeppe M. Andersens analyse. Lige nu er vi på et niveau, hvor SbD mere er selve tankegangen, og vi er ved at kigge på deciderede procedurer. Men nu ved vi, hvor vi skal kigge.”
”Lige nu sætter vi noget i gang i software-afdelingen, der ikke nødvendigvis påvirker IT eller projektgruppen eller produktionsområder eller resten af virksomheden,” nuancerer Rune Lei. ”På længere sigt skal vi finde ud af, hvilke tiltag skal gå på tværs af virksomheden.”
Ny rolle skal sikre fortsat udvikling
AGRAMKOW har sågar udviklet en en ny rolle, beretter han. ”Jeppe har påtaget sig ansvaret med at finde ud af, hvordan vi kommer videre.”
”Jeg skal holde mig opdateret med nye generelle ændringer inden for sikkerhed og udvikling som nye procedurer og ny lovgivning,” fortæller Jeppe M. Andersen. ”Og sørge for, at vi i udviklergrupperne har procedurer, vi følger, og værdier, vi opretholder.”
Styrker tilbuddet til kunderne
”Det giver direkte værdi, at vi kan lave security white papers og specifikationer, som vi kan kommunikere ud til kunder,” betoner han. ”Vi overvejer at blive sikkerhedscertificerede. Det ville give værdi at fortælle vores kunder, at vi har bestemte procedurer for at håndtere deres data sikkert, og at vores software virker som forventet.”
Men udover at gøre produktet mere sikkert i forhold til hackerangreb og datalækager, skulle procedurerne også gerne gøre produktet mere stabilt i kundernes produktionslinjer, forklarer han. ”Det skal man ikke undervurdere.”
For hans kollega giver den forhøjede sikkerhed for alvor værdi, når AGRAMKOW klart kan beskrive for deres kunder, hvilke fordele der er ved at vælge netop dem som leverandør.
Sb3D-forløb har accelereret udviklingen
Rune Lei har en stærk mening om udbyttet af Sb3D-forløbet:
”Det er ikke et udbytte, vi kunne undvære; det er et krav.” For ham har det været virkeligt værdifuldt at få konsulentbistand og have en sparringspartner. ”Vi kunne sikkert godt være nået i mål på andre måder, men det ville have taget meget længere tid,” gætter han.
”Det har været superfedt forløb og meget værdifuldt for os. Både Rune og jeg er 100% glade for, at vi har deltaget,” slår Jeppe M. Andersen fast. ”Det var det helt rigtige.”
”Jeg synes, Sb3D-forløbet har været meget positivt,” samstemmer Rune Lei. ”Vi har fået indspark og hjælp til, hvordan kommer vi i gang, og hvor det er bedst at starte. Der er blevet sat i gang i en masse, som vi selv har arbejdet videre med.”