Security by design
Hjælp til at passe på cybersikkerheden, når on-premise produktet er installeret hos kunden
”Vi ville gerne sikre os, at det software, vi leverer, møder en vis standard,” udtaler Søren D. Christensen, Director of Implementation hos PDM Technology Group, der har deltaget i et Sb3D-virksomhedsforløb med os.
Sb3D står for Security by Design in Digital Denmark og er et projekt støttet af Industriens Fond. Projektet har til formål at gøre danske virksomheder mere cybersikre, bl.a. ved at udbrede kendskabet til Security by Design, en metode, hvor sikkerheden tænkes ind i alle faser af softwareudviklingsprocessen.
Motivationen for at deltage i forløbet har været klar fra starten: ”Der kommer flere og flere krav fra kunderne omkring sikkerhed,” fortæller Søren D. Christensen. ”Derfor er det også vigtigt at kunne vise dem, at vi faktisk har gjort noget for at imødekomme deres krav.”
Hjælp udefra til de blinde vinkler
I virksomhedsforløbet hjalp vores Principal Security Architect Michael Bladt Stausholm med at få afdækket og vurderet potentielle sikkerhedsrisici. En blind vinkel for PDM Technology Group var, hvilke farer deres on-premises produkt eventuelt kan blive udsat for, når det installeres hos kunderne, fortæller de.
Det oplevede seniorudvikler Bjarne Mortensen som frugtbart. Men han oplevede også at kunne fjerne opgaver fra sin to-do-liste, siger han: ”Vi indså også, at der var nogle potentielle huller i vores sikkerhed, som var mindre vigtige, end vi gik og troede. Fx et sikkerhedshul et sted, hvor der i forvejen er så meget sikkerhed, at det faktisk ikke er nødvendigt at få det lukket.”
”Men der var modsat også områder, vi havde overset, som det var vigtigt at blive opmærksomme på,” supplerer Søren D. Christensen.
Blik udefra hjælper på fælles forståelse internt
Udover at få hjælp til at identificere sikkerhedshullerne oplevede de det som nyttigt at få afdækket forskellige opfattelser af sikkerhedsniveauet internt, især mellem dem, der til daglig beskæftiger sig med produktets sikkerhed og dem, der ikke gør det. ”Udviklerne ved jo godt, at der er sikkerhedshuller, og hvor de er henne, men ledelsen mener, sikkerheden er superduper,” joker Bjarne Mortensen.
Selvom netop dén udfordring nok er ret udbredt i mange virksomheder, oplevede PDM Technology Group at få indsigter, der var unikke for deres virksomhed. ”Jeg synes, risikoworkshoppen var supergod, fordi den var meget konkret og tog udgangspunkt i vores produkt,” understreger Søren D. Christensen.
Risikoworkshop hjalp til at prioritere konkrete opgaver
I det hele taget var risikoworkshoppen værdifuld, oplever Bjarne Mortensen: ”Vi fik debatteret, hvad risikoen er, altså hvor meget en risiko helt konkret betyder. Hvor giver det gevinst at gøre en indsats? Det var det, risikovurderingen hjalp med at afklare, synes jeg.”
Det er Søren D. Christensen enig i: ”Det var fint at få det vurderet, fordi det hjalp os med at prioritere opgaver og indsatser.” Især var han glad for, at risikovurderingsworkshoppen resulterede i en liste med konkrete opgaver og en prioritering af potentielle sikkerhedsrisici, der vægtede indsats og resultater. ”Det var en øjenåbner i forhold til, hvor det giver mening at lægge vores energi.”
Læring på længere sigt om risiko
For PDM Technology Group var risikoworkshoppen også udbytterig i forhold til, hvordan de i fremtiden selv kan blive endnu bedre til at håndtere sikkerhedsspørgsmål. På workshoppen lærte de nemlig metoder til at vurdere risiko, fx hvordan risici kan kategoriseres og kvantificeres, så de bedre kan sammenlignes.
”Det var et værktøj, vi ikke kendte til, og det var godt at lære,” mener Søren D. Christensen. ”Så kan vi fremover selv finde ud af, hvad der er vigtigt at få lukket, og hvad der er ligegyldigt. Det var rigtig godt.”
Cybersikkerhed er forretningskritisk
Begge oplever det som nyttigt at have stiftet nærmere bekendtskab med security by design som metode. ”Der er helt klart noget, vi skal gøre mere ud af og tænke mere igennem i vores fremtidige udvikling og vores fremtidige produkter,” mener Søren D. Christensen.
”Det skal vi have med i baggrunden hele tiden, så vi slet ikke laver huller, men i stedet designer sikkert fra starten af.” Han ønsker, at de i deres programmer og services fremover skal bruge de værktøjer og metoder, de som virksomhed har lært i forløbet.
I sidste instans er cybersikkerhed i hans optik forretningskritisk: ”Hvis vores software er grunden til, at en kunde bliver hacket eller får data stjålet eller låst væk, så har vi ikke bare en sur kunde; det kan være ødelæggende for vores ry i forhold til andre kunder og potentielle kunder. Derfor skal vi sørge for, at det ikke kommer til at ske,” afslutter han.
Sb3D er støttet af Industriens Fond og er et samarbejde mellem DTU Compute, Institut for Datalogi på Aalborg University, Dansk Erhverv, DI – Dansk Industri, Erhvervshus Midtjylland og Alexandra Instituttet.