Case: Logos Payment Solutions
For Logos handler security by design også om teknisk gæld
Logos Payment solutions
Logos Payment Solutions er specialiseret i udvikling og produktion af selvbetjeningsautomater, betalingsløsninger, industrielle styringer samt backend-systemer sammensat til sammenhængende og innovative løsninger.
For firmaet var der behov for en generel omstrukturering af kodebasen for at fjerne så mange fejl som muligt.
”Vi startede med et af vores kernebiblioteker, der er bredt ud over hele vores produktportefølje,” fortæller Casper Thorø Vium Pedersen, Embedded Software Developer hos Logos Payment Solutions.
Sb3D-konsulent Christian Gram Kalhauge, der til daglig er adjunkt ved DTU Compute, analyserede firmaets biblioteker for at identificere lavthængende frugter og højne kodekvaliteten. Rådgivningen har givet både ro i maven og en anledning til at få sat øget fokus på cybersikkerheden helt fra starten i udviklingsprocessen hos Logos Payment Solutions.
”Der er stor værdi i at se, at Christian er kommet frem til mange af de samme værktøjer og angrebsvinkler i forholdt til best practice og industristandarder, som vi har tænkt på,” siger Casper Thorø Vium Pedersen. ”Så vi ser selvfølgelig frem til, at det kan blive prioriteret og implementeret.”
Security by design fremtidssikrer udviklingen
Som navnet antyder, handler security by design om at tænke sikkerhed ind fra starten af udviklingsprocessen og er dermed en procesorienteret tilgang, pointerer Sb3D-projektleder Sebastian Holmgaard Christophersen, Strategic Programme Manager ved Alexandra Instituttet.
Hos Logos Payment Solutions handler det således ikke bare om at modernisere kode, men også om at opgradere arbejdsmetoder fra det sidste årti til det næste årti og gøre sig relevante i fremtiden, perspektiverer Christian Gram Kalhauge.
I fremtiden vil der være fokus på softwareverifikation og på, at sikkerhedsværktøjerne indgår i udviklingsprocessen.
”Det er ikke nok bare at vise, at softwaren virker; du skal også kunne bevise det,” understreger Christian Gram Kalhauge.
Et sådant bevis kan for eksempel være en certificering:
”D-mærket er en certificeringsordning for virksomheder, der vil demonstrere, at de har styr på sikkerheden i deres softwareudvikling,” fortæller Sebastian Holmgaard Christophersen. ”Og security by design er et element i D-mærket.”
Man skal være bevidst om den teknologiske bevisbyrde, når man starter nye softwareprojekter, samstemmer Casper Thorø Vium Pedersen. ”Det er en del af udviklingsprocessen, som skal tænkes ind fra dag ét. Jeg kan ikke bare overlade det til en testafdeling, der kigger på det i morgen.”
Lyder det tungt? Det synes han ikke:
”Hvis du laver de indledende øvelser og faktisk tænker over, hvad der skal til for at være opdateret i forhold til de nye processer, bliver du mere effektiv og hurtigere til at udvikle i fremtiden,” afslutter han.
Logos Payment Solutions
Teknisk gæld – et typisk dansk problem?
Fordi danske virksomheder historisk set har været digitale frontløbere, er teknisk gæld et ret udbredt fænomen, fortæller Sb3D-projektleder Sebastian Holmgaard Christophersen.
”Så vi bliver nødt til at tage højde for, at mange virksomheder har et legacy-system eller teknisk gæld, når vi arbejder med security by design.”
Det er præcis den situation, Logos Payment Solutions står i.
”Vores historie er en succeshistorie om teknisk gæld,” siger Casper Thorø Vium Pedersen. Mens de har haft travlt med at levere, har teknologien forandret sig, og sådan bliver det også fremover, spår han. Så der skal moderniseres og fjernes fejl, mens der fortsat skal leveres.
”Teknisk gæld og legacy code er pain points i det danske udviklingsmiljø, hvor mange firmaer er blevet en succes og har eksisteret i snart 20 år,” pointerer Christian Gram Kalhauge.
”Værktøjerne har ændret sig dramatisk, og det at være fremtidssikret og fremsynet som firma kan være rigtig svært, hvis man ikke også gør det til en del af kodeprocessen.”
For succesfuld kode kan være et tveægget sværd, fortsætter han. ”Det er både det, der giver dig en fordel over for dine konkurrenter, men det kan også holde dig tilbage og forhindre dig i at innovere i samme hastighed som dem.”
Det er en del af udfordringen i Sb3D-projektet, supplerer Sebastian Holmgaard Christophersen.
”Vi er ved at undersøge, hvordan vi kan arbejde med security by design i en dansk kontekst. Vi skal identificere og afprøve de bedste metoder og værktøjer, som kan indpasses i den virkelighed, virksomhederne befinder sig i. Det er vigtigt, at vi får etableret et strategisk blik på sikkerhed som en afgørende konkurrenceparameter.”