Security by design
‘Kvalitetskode’ og sikkerhedssamtale blev lettere med SbD-model
Unikk.me udvikler en platform til at videreformidle helbreds- og livsstilsrelaterede data fra telefoner, smartwatches og andre devices på en måde, så brugerne kan gemme og evt. dele bestemte udsnit af deres data med udbydere af sundheds- og velfærdstjenester, som de selv har valgt.
På papiret er Unikk.me et startup, men virksomheden ledes af erfarne specialister, der alle har arbejdet med software i store firmaer som bl.a. Microsoft. Ikke desto mindre valgte de at deltage i et Sb3D-forløb, som de fik stort udbytte af, fortæller Ole Høyer, der er CIO og medstifter af firmaet.
Sb3D står for Security by Design in Digital Denmark og har til formål at gøre danske virksomheder mere cybersikre, bl.a. ved at udbrede kendskabet til Security by Design, en metode, hvor sikkerheden tænkes ind i alle faser af softwareudviklingsprocessen.
Nye metoder til at udvikle sikkert software
For Unikk.me gjaldt det dels om at få hjælp til at skubbe processen i gang ‘i eget hus’, dels om at få ny viden udefra, fortæller han. ”Det meste af det, vi laver i dag, er jo forældet i morgen, så det gælder hele tiden om at kunne optimere og udskifte med noget smartere eller mere sikkert. Så jeg ville da ikke sige nej til et tilbud om at få lov at lære noget nyt.”
Sikkerhed er et uhyre vigtigt emne for Unikk.me, og Sb3D-forløbet har hjulpet med at systematisere processen for at bearbejde trusler og risici under softwareudviklingen, fortæller Ole Høyer. For ham er code management og risikovurdering to separate discipliner, men dog tæt forbundne, idet begge handler om at lave ”kvalitetskode”, som han kalder det.
Bedre resultater med enkelt sikkerhedsværktøj
”Vi har fået et godt udbytte,” fortæller han. ”Vores sikkerhedsanalyse er blevet skærpet. Vi har fået gode redskaber til sikkerhed, som vi bruger i dag. Vi skal kunne dokumentere, at vores sikkerhedsanalyse og risikovurdering er i orden. Jeg har prøvet andre værktøjer, som tit var uendeligt komplicerede og svære at arbejde med.”
Forenklingen hjælper også i kommunikationen med kunderne. ”Hvis man bliver spurgt, skal man kunne fortælle en historie, som andre kan forstå. Sikkerhed er et svært emne, og mange skipper den tekniske del, fordi de ikke forstår det. Security by Design er en forenklet model, der gør det lettere at kommunikere med andre. Jeg vil absolut gerne anbefale SbD-modellen.”
Dokumentation skal sikre kvaliteten
Også efter afslutning af Sb3D-forløbet driver Unikk.me processen videre. ”Vi skal sikre os, at alle bliver informeret, og at vi har en veldokumenteret proces,” siger Ole Høyer. I hans erfaring er dokumentation essentiel, så organisationen arbejder konsistent.
Ambitionen er, at medarbejdere skal kunne bruge en halv time på at sætte sig ind i, hvordan de udvikler features, der er sikre by design. ”Og så kommer den svære del, nemlig at sikre, at vi holder det høje niveau eller kommer endnu højere op.”
Klar anbefaling af Security by Design
Ole Høyer oplever, at Sb3D-forløbet har gjort det muligt at følge op, og at forløbet har været skræddersyet. ”Der har absolut været fleksibilitet, og indholdet er blevet tilpasset vores behov,” udtaler han.
Især risikovurderingsmodellen oplever han som givtig. ”Hvis nogen spørger os, hvad vi har gjort for at forbedre sikkerheden, så vil jeg svare, at vi har brugt jeres model. Jeg føler mig meget privilegeret, at vi har fået al den viden fra jer, sådan kvit og frit. Det har været inspirerende, synes jeg.”
Sb3D er støttet af Industriens Fond og er et samarbejde mellem DTU Compute, Institut for Datalogi på Aalborg Universitet, Dansk Erhverv, DI – Dansk Industri, Erhvervshus Midtjylland og Alexandra Instituttet.