Kundekrav og lovkrav skød sikkerhedseventyr i gang
På 8 måneder har softwareudviklerne hos AGRAMKOW fået sat security by design øverst på dagsordenen og ved præcis, hvilke næste skridt de nu skal i gang med for at komme helt i mål.
Beumer producerer logistik-systemer, eksempelvis til bagagehåndtering. Nogle af de systemer har services, der er koblet på nettet, andre ikke. Men selvom deres udgangspunkt derfor ikke som sådan er at udvikle IoT-produkter, men at producere og levere de bedste logistik-systemer, så skal sikkerheden være i højsædet, når systemerne bliver brugt i knudepunkter som eksempelvis lufthavne. For det betyder, at sabotage af systemerne i værste fald vil kunne lukke trafik ned i en rum tid.
Gevinsten ved at deltage i udviklingsforløbet har for Beumer især været, at de er blevet guidet til, hvilke standarder man kan bruge, hvordan. At få større viden om de forskellige standarders forcer, har givet dem en øget klarhed i deres kommunikation med kunderne.
Selvom det langt fra altid er et decideret krav, at systemerne skal overholde bestemte standarder, er det punkter, der tilfredsstiller et ønske og behov hos kunderne.
”Oftere og oftere oplever vi, at kunderne forud for at indgå en aftale med os, sender os et spørgeskema på 200-300 spørgsmål om sikkerhed. Spørgsmålene er sjældent en kopi af standarderne, men der er så mange overlap, og plukket så tilpas meget hist og pist, at vi kan se, at det nogenlunde passer med rammerne i standarderne. Så vi kan se, at det er de forventninger der er – at vi kan leve op til kravene i standarderne”, forklarer Claus.
”Forestil dig, at bagagehåndteringen i en lufthavn pludselig ikke kan sende bagagen de rette steder hen. Der vil ikke gå længe før, at det bliver et logistisk kaos. Selv i mindre målestok kan rod med systemerne gøre skade – et større firma, der håndterer levering og returforsendelser af varer kan blive lagt ned af kundehenvendelser, hvis det ikke fungerer”, pointerer Claus Riber, Senior Manager, SW Cyber Security ved Beumer.
På det halvandet år, hvor han har været ved Beumer, er fokus på sikkerhed kun blevet større. Derfor deltog de i et virksomhedsforløb, hvor de fik adgang til ekspertviden, konkrete værktøjer, netværk, workshops og masterclasses.
Nogle gange ser vi kontrakter, hvor der ikke har stået meget i forhold til sikkerhed. Der har måske været ukonkrete formuleringer om at forhindre angreb fra hackere, hvor kravene er mere eller mindre umulige at opfylde – risikoen for et vellykket angreb kan aldrig elimineres helt, men vi kan modvirke og mindske sandsynligheden for, at det sker!
Der hjælper det os, at vi har nogle konkrete krav, vi kan blive enige om, at vi opfylder.
Senior Manager
SW Cyber Security
Claus anbefaler, at man sætter sig ind i de standarder, der gælder for ens område.
Derudover anbefaler han:
Tal med andre om, hvordan de er kommet i gang, gerne ved at deltage i et netværk. Der kan man få indblik i – også – de blødere sider af arbejdet med sikkerhed.
Start arbejdsgrupper op internt i virksomheden med repræsentanter fra forskellige teams, hvor I kan drøfte og gennemgå krav og undersøge, hvordan I bedst får dem implementeret. Engager i den forbindelse nogle ambassadører til at promovere sikkerhedstankegangen.
Skab awareness om jeres sikkerhedsarbejde ved at holde interne seancer, hvor både interne og eksterne oplægsholdere kan fortælle om vigtigheden af arbejdet.
Læg ikke ansvaret for sikkerheden ved én person, og slet ikke en, der sidder for langt fra virkeligheden. Implementeringerne skal ikke bare virke i teorien, men også når de møder systemerne og hverdagen.
Få sikkerhedsarbejdet gjort håndgribeligt. Det ses ofte som en klods om benet, som noget ekstra man skal gøre, der kommer på tværs af funktionaliteten i systemerne. Men de skal ikke tænkes separat, de skal virke i samspil fra starten. Dette råd er særligt relevant, fordi der naturligt er et stigende behov for flere og flere features, uanset hvilke risici der følger med. Derfor skal det tænkes sammen fra starten. Features, der kun kan lade sig gøre, hvis det åbner for en høj risiko, er sikkerhedsmæssigt uansvarligt.
Lad være med at opfinde for meget selv, men læn jer op af best practice. Det sparer jer både tid og fejlslutninger. Man har sjældent det fulde billede – noget kan måske se fint ud umiddelbart, men hvordan man vedligeholder sikkerheden i systemer, man selv har opfundet, kan ende med at blive en kompleks opgave.
For Beumer handler sikkerhed naturligvis om, at de kan levere sikre produkter til deres kunder, men det handler lige så meget om troværdighed og tillid – at man kan have tillid til, at man er godt stillet med et logistik-system fra dem. Der skal ikke mange uheldige tilfælde til, før man bliver fravalgt som producent. Derfor anbefaler Claus også, at man kommer i gang med de gode råd – hellere i går end i dag!
Vi tilbyder udviklingsforløb i samarbejde med Industriens Fond. De har til formål at hjælpe danske produktionsvirksomheder med at udvikle IoT-sikkerhed.
Sådan er andre virksomheder blevet bevidste om deres trusselsbillede og fundet svar på, hvor de skulle sætte ind for at styrke it-sikkerheden i deres løsninger:
På 8 måneder har softwareudviklerne hos AGRAMKOW fået sat security by design øverst på dagsordenen og ved præcis, hvilke næste skridt de nu skal i gang med for at komme helt i mål.
Vil du sælge IoT-produkter, skal du have styr på sikkerheden. Så kort kan det siges ifølge Micro Technic, der oplever stor efterspørgsel på sikre IoT-løsninger. Derfor er det vigtigt at være orienteret, opdateret og deltage i netværk. Og netop derfor deltog de i et IoT-sikkerhedsforløb.
Enkotec indsamler og bearbejder data fra deres maskiner via en cloudløsning. Et kursusforløb i IoT-sikkerhed har givet dem overblik over mulige risici.
Ⓒ 2024 - Alexandra Instituttet A/S
CVR Nr. 24 21 33 66