Cybersikkerhed er en central parameter for den danske opstartsvirksomhed ERNIT. Virksomheden har udviklet en virtuel sparegris, der lærer børn at spare op ved hjælp af IoT-teknologi. 

Ideen til ERNIT blev skabt en nytårsaften for godt fire år siden, da virksomhedens grundlæggere, der alle er familiefædre, drøftede, hvordan de kunne give deres børn den bedst mulige økonomiske start på livet. De havde selv sparegrise som børn, men da al betaling i dag foregår via kreditkort eller mobilen, kunne de se, at deres børn ikke havde de samme opsparingsvaner.

Det fik de tre iværksættere til at konstruere en IoT-løsning, der består af en app, der er koblet op til en fysisk sparegris med elektronik i. Hver gang forældre, bedsteforældre eller en anden overfører penge, lyser sparegrisen op og kommer med lyde, så barnet kan se, hvordan det går med deres opsparingsmål. Ønskerne kan de indtaste i app’en – det kan være alt fra en ny cykel, dukke eller en fodbold.  

”Netop legen og det, at vi gør en triviel opgave som opsparing til et spil og en konkurrence, er en central del af ERNIT. Sparegrisen er med til at motivere og med til at fortælle børn, at penge faktisk eksisterer,” fortæller Søren Nielsen, direktør i ERNIT og den ene af de tre grundlæggere.

(Foto: ERNIT)

Følsomme dataområder kræver høj troværdighed

I kraft af at ERNIT's produkt henvender sig til børn og har med deres penge at gøre, stiller ERNIT's kunder og samarbejdspartnere ekstra høje krav til sikkerheden omkring produktet. Derfor henvendte ERNIT sig til Nordic IoT Centre for at få lavet en sikkerhedsscreening.

”Vi skal bruge sikkerhedsscreeningen og UL-2900-1 godkendelsen til at øge trygheden og tilliden til produktet blandt vores slutbrugere, bankerne, som vi samarbejder med, og investorerne, som har skudt penge i ERNIT. Vores produkt involverer både penge og børn. Dette er nogle af de mest følsomme dataområder, som kræver meget høj troværdighed omkring produktet,” forklarer Søren Nielsen.

Sikkerhedsscreening skaber troværdighed omkring produktet

De to samarbejdende GTS-institutter i Nordic IoT Centre, FORCE Technology og Alexandra Instituttet, foretog sikkerhedsscreeningen af ERNITs’ sparegris ud fra UL 2900-1 standarden. Standarden er p.t. den mest operationelle standard at screene fysiske IoT-devices ud fra, eftersom der ikke findes en tilsvarende og velegnet europæisk standard.

Nordic IoT Centres rolle som uvildig tredjepart har stor betydning for ERNIT:

”Det er vigtigt for os at få en uvildig tredjepart til at lave en sikkerhedsscreening af vores produkt for at skabe maksimal tryghed i forhold til produktet. Vi tror på, at en sikkerhedsscreening udført af en uvildig tredjepart skaber større troværdighed omkring produktet, end hvis den var udført af os selv. Det kan hjælpe med at lukke de huller, der kan være. For vi er heller ikke ufejlbarlige,” fortæller Søren Nielsen. 

En grundig gennemgang af produktet

Selve sikkerhedsscreeningen bestod af tre dele.

• Først foretog FORCE Technology en verificering af ERNIT’s self-assessment, hvor produktdokumentationen og produktets tiltænkte brug (intended use) blev gennemgået. Hvad skal produktet bruges til, i hvilken sammenhæng bruges det, og er der firewall før produktet er typiske spørgsmål, der bliver undersøgt. Derefter validerede FORCE Technology ERNIT’s Risk Management Report. Rapporten beskriver, hvilke risici, der er ved produktet, og hvordan ERNIT arbejder på at reducere risikoen.
   
• Det næste skridt var en mere fysisk test af produktets sikkerhed. Her udsatte FORCE Technology den elektronisk sparegris for flere forskellige test, såsom sårbarhedstest, infektionstest og krypteringstest. Undervejs blev det tjekket, om produktet havde vira eller malware, og om det var sårbart over for cyberangreb.
   
• Afslutningsvis foretog Alexandra Instituttets Security Lab et kode-review, hvor vi analyserede produktets source-kode for at finde kode-stumper med fejl i, der skulle rettes. Vi kiggede både på, om ERNIT’s egen kode var skrevet fornuftigt, og om der var kendte sårbarheder i de eksterne kodestumper, som de også bruger. Kode-reviewet blev udført af en fagperson, som er specialist i netop det kodesprog, der er brugt i produktet.

Undervejs i forløbet var der en god dialog mellem Nordic IoT-Centre og ERNIT for at få afdækket og besvaret forskellige aspekter af de ting, der blev undersøgt. Når virksomheder får lavet en sikkerhedsscreening af deres produkt, skal de være klar på at afsætte tid til at besvare spørgsmål, der måtte dukke op undervejs for eksempel til dokumentationsmaterialet.

Se film

Se ERNIT's film om den digitale sparegris.

Klare salgsfordele

Mange danske virksomheder mangler et sikkerhedscertifikat at henvise til, når de skal sælge deres IoT-produkter, for kunderne vil forvisses om, at IoT-produkterne er sikre i brug og har et højt beskyttelsesniveau mod vira og hacker-angreb.
For ERNIT er der tydelige salgsfordele forbundet med at få en cybersikkerhedsgodkendelse, ikke mindst fordi den kan være med til at differentiere virksomheden fra konkurrenterne:

”En UL2900-1 sikkerhedsgodkendelse af vores produkt vil give os klare konkurrencemæssige fordele i forhold til vores konkurrenter. I vores salgsarbejde bliver vi ofte mødt med spørgsmål vedrørende produktets sikkerhed, og vi er sikre på, at hvis vi kan fremvise en UL2900-1 sikkerhedsgodkendelse, vil det åbne nye døre og føre til et øget salg af ERNIT produktet,” siger Søren Nielsen.

European Cybersecurity Act i støbeskeen

Flere danske virksomheder oplever problemer med splittelse af krav i forbindelse med eksport. Altså at deres IoT-produkt bliver mødt af ét sæt cybersikkerhedskrav hos en kunde i ét land, og et andet sæt af krav hos den næste kunde i et andet land. Derfor er det essentielt, at der bliver etableret en fælles certificeringsordning på tværs af EU baseret på internationale standarder. 

På europæisk plan arbejder FORCE Technology aktivt sammen med Dansk Standard for få udfærdiget en europæisk certificeringsmodel (Cybersecurity Act) for cybersikkerhedsscreening. Indtil denne model er vedtaget, vil standarder som UL-2900-1 blive benyttet til sikkerhedsgodkendelse.