Tænk cybersikkerhed ind i software fra starten – det styrker konkurrenceevnen

Eksperter inden for Security by Design var den 13. marts samlet til konference i Industriens Hus som afslutning på Sb3D-projektet. Deltagerne fik input til, hvordan virksomheder kan blive bedre rustet inden for cybersikkerhed og tænke sikkerhed ind i deres udviklingsproces.

Danmark er blandt de mest digitaliserede lande i verden. Alligevel ligger danske virksomheder i bunden i forhold til, hvor godt de er klædt på inden for cybersikkerhed. Når det halter med cybersikkerheden, skyldes det blandt andet, at det er tidskrævende at tænke sikkerhed ind i udviklingsprocessen, og at det ikke har svært ved at få den fornødne prioritet fra øverste ledelses side.

Den gode nyhed er, at virksomheder, der udvikler software og digitale løsninger, kan opnå store konkurrencefordele ved at arbejde med cybersikkerhed, og at der er hjælp at hente inden for generativ AI, som kan bruges til at finde potentielle sårbarheder og til afrapportering.

Sådan lød nogle af budskaberne, da eksperter inden for Security by Design var samlet til konference i Industriens Hus som afslutning på Sb3D-projektetSecurity by Design in Digital Denmark. Her kom de med input til, hvordan virksomheder kan blive bedre rustet inden for cybersikkerhed og tænke sikkerhed ind i deres udviklingsproces.

Industrien Fond har finansieret Sb3D-projektet, fordi man tror på, at Security by Design kan give konkurrencefordele og styrke virksomhedernes brand.

Vi ved fra en undersøgelse med omkring 1000 CEO’s, at de oplever klare konkurrencefordele, og de siger samtidig, at jo flere sikkerhedstiltag, de laver, des flere konkurrencefordele oplever de også. Det handler meget om at komme i gang og gøre det ud fra en værdibaseret tilgang, hvor man fokuserer på fordele. Det er ikke kun vigtigt i forhold til at leve op til reguleringer. Vi oplever også, at kunderne begynder at stille krav
Nadika Bulathsinhala
Projektleder i cybersikkerhed hos Industriens Fond

Virksomhederne mangler tid og ressourcer

Gert Læssøe Mikkelsen

Gert Læssøe Mikkelsen, PhD, Head of Security Lab, Alexandra Instituttet
Foto: Gorm Branderup

Cybersikkerhed er super væsentlig, men det kommer ikke af sig selv. Det er vigtigt at tænke det ind fra starten, da det er billigere at løse problemerne tidligt i udviklingsprocessen, end at løse dem efterfølgende.

Dette gælder især, hvis software-løsningerne er kommet ud til kunderne, og de også bliver ramt. Desværre bliver det alligevel ofte overset, glemt eller udskudt, lyder det fra Gert Læssøe Mikkelsen, leder af Alexandra Instituttets Security Lab:

“Når virksomhederne ikke gør noget ved det, så kan det bunde i manglende tid, ressourcer og fokus fra ledelsens side. Det udgangspunkt holder nok ikke længere, og vi bliver nødt til at stille nogle krav til virksomhederne.

Som virksomhed er man nødt til at tænke cybersikkerhed ind på tværs af forretning, organisation og teknologi. Et godt udgangspunkt kan være en risikobaseret tilgang, hvor man kigger på sandsynligheden for, at der sker et angreb og konsekvensen af det. Det er samtidig vigtigt, at der er et fælles sprog omkring sikkerhed internt i virksomheden”, forklarer Gert Læssøe Mikkelsen.

 

EU-direktiver og det danske D-mærke

Det er ikke kun fornuftigt at tænke cybersikkerhed ind i udviklingen. Inden længe bliver det også et krav fra EU, der i 2020 besluttede, at der skulle være fokus på cybersikkerhed. 

Det kom der to ting ud af: Det ene er en række direktiver samt en række midler, som man kan søge for at leve op til EU’s Cybersecurity Act.

Et af disse direktiver er EU’s cybersikkerhedsdirektiv, NIS2, som er rettet mod sektorer, som er særligt kritiske (fx fødevarer og energi), hvor man fra EU’s side vil stille krav til cybersikkerhed og lave tilsyn.

“En god nyhed er, at cybersikkerhed med stor sandsynlighed bliver en del af det kommende forsvarsforlig, som skal vedtages efter sommerferien.

Men den rigtig gode nyhed er D-mærket, der er finansieret af Industriens Fond. D-mærket kan nemlig hjælpe virksomhederne i mål med IT-sikkerheden. Og når det er opnået, kan de dokumentere, at de har et stabilt og godt sikkerhedsniveau,” forklarer Joen Magieres, politisk konsulent i Dansk Erhverv.

Mikael Jensen, der er direktør for D-mærket, mener, at det er paradoksalt, at vi er et af de mest digitaliserede lande i Europa, men alligevel scorer meget lavt på cybersikkerhed. Det er noget, vi skal fokusere på at ændre, og derfor er han også rigtig glad for Sb3D-projektet.

“Cybersikkerhed er et vigtigt emne, og jeg ved, at dette projekt har hjulpet virksomhederne med at tænke persondatabeskyttelse og sikkerhed ind i deres udviklingsprocesser. Jeg tror, det vigtigste råd, man kan give virksomhederne, er bare at komme i gang. Det behøver ikke være perfekt fra starten. Og så finde nogen, du kan alliere dig med i virksomheden, så du ikke sidder alene med de næste skridt,” forklarer han.

NIS2-direktivet
Foto: Gorm Branderup

Joen Magieres, politisk konsulent i Dansk Erhverv
Foto: Gorm Branderup

Mikael Jensen, direktør for D-mærket
Foto: Gorm Branderup

Ole Kjeldsen, Teknologi- og Sikkerhedsdirektør, Microsoft Denmark
Foto: Gorm Branderup

Hjælp at hente med AI

Et af de områder, hvor der er store potentialer inden for cybersikkerhed, er generativ AI. Det kan fx bruges til at forstå gammel kode og til at lede efter sårbarheder, mens man skriver koden, forklarer Ole Kjeldsen, der er Teknologi- og Sikkerhedsdirektør hos Microsoft Denmark.

“Desværre spiller generativ AI en kæmpe rolle for dem, der angriber os. Men det kan også bruges til at mindske mængden af succesfulde angreb og effekten af dem. Det kan også bruges til afrapportering, hvilket er en kæmpe lettelse. Det har stor betydning, for alene i EU siger man, at der mangler op mod en halv million cyber-professionelle,” forklarer han.

Afsæt tid til code reviews og opbyg en god sikkerhedskultur

“Der er flere veje til god cybersikkerhed. Noget af det handler om god ‘code management’ og om at gøre op med ‘mismanaged code’, da det udgør en risiko. Det handler især om at afsætte tid til code reviews, som kan lægge fundamentet for en god kultur”, lød opfordringen fra Christian Gram Kalhauge, der er adjunkt på DTU.

“Optimering af design-guides og valg af værktøjer er også en fundamental del af processen. Et godt udgangspunkt for mulige sårbarheder i virksomhederne er OWASP’s top ti liste over sårbarheder web applikationer”, forklarer Michael Rømer Bennike, der er Senior Security Architect i Alexandra Instituttets Security Lab, som har afholdt workshops i projektet og klædt de deltagende virksomheder på til bedre cybersikkerhed.

“Det var vigtigt for os at give virksomhederne nogle ‘hands on’-værktøjer, som de kunne bruge til at opbygge en sikkerhedskultur. For at gøre det nemt brugte vi gamification til at skabe et miljø, hvor udviklerne kunne lege med de her værktøjer,” forklarer han.

Fotos: Gorm Branderup