DK-Cert: Sådan bliver banksystemerne mere sikre

Klumme: Det giver gevinst at tænke sikkerheden ind i systemudviklingen lige fra begyndelsen. Nu kommer bankverdenen med på vognen, skriver Shehzad Ahmad fra DK-Cert i denne klumme.

Artikel top billede

Fremtidens netbanker bliver mere sikre. Det kan blive konsekvensen af en af de mindre omtalte nyheder fra den seneste måned.

Det er i denne tid 10 år siden, at Microsoft begyndte at tage sikkerhed alvorligt.

Firmaet havde dengang med rette ry for at fremstille produkter, der satte brugervenlighed højere end sikkerhed. Programmer som Internet Explorer og IIS (Internet Information Services) var fyldt med alvorlige sikkerhedshuller.

Men med initiativet Trustworthy Computing besluttede Bill Gates at gøre op med de dårlige vaner.

Det mest synlige resultat blev Security Development Lifecycle (SDL), som er et sæt best practices for sikker systemudvikling.
SDL er et stort og komplekst rammeværk. Men det virker. En rapport fra analysefirmaet Forrester udarbejdet på vegne af Microsoft viste for et år siden, at en investering i SDL kan give direkte økonomiske gevinster.

Det skyldes, at software med færre sårbarheder giver færre udgifter til at finde og rette fejl.

Endvidere gør en metodologi som SDL det muligt at få produkter hurtigere på markedet, fordi den afsluttende test finder færre fejl.

Sikker finanssoftware

Den gode nyhed som jeg indledte denne klumme med, kommer fra organisationen Financial Services Roundtable, der består af USA's største finansvirksomheder.

Deres division for teknologi, BITS, har netop udsendt BITS Software Assurance Framework.

Det nye rammeværk er en overordnet beskrivelse af, hvordan finansielle virksomheder kan gøre deres systemudvikling mere sikker.

En god del af indholdet er taget direkte fra SDL.

En vigtig pointe i både SDL og BITS-rammeværket er, at sikkerhed er en væsentlig dimension af ethvert udviklingsprojekt.

Sikkerhed er ikke noget, man klistrer på til sidst, når programmet er skrevet færdigt.

I stedet skal sikkerheden tænkes ind lige fra starten som en integreret del af systemudviklingsprocessen.

Både SDL og BITS-rammeværket kan hentes gratis.

Jeg vil opfordre alle med ansvar for systemudvikling til at kigge dem igennem.

Der er god inspiration at hente - også selvom man ikke driver en udviklingsorganisation med hundredvis af programmører.

Microsoft er blevet meget bedre til sikkerhed

Jeg kom til at tænke på SDL, da jeg så den seneste årsrapport fra det danske sikkerhedsfirma Secunia.

Rapporten viser, hvilke sårbare programmer brugere har installeret.

I 2006 stammede 54 procent af sårbarhederne fra Microsoft-programmer.

I 2011 var tallet faldet til 22 procent - 12 procent for styresystemet og 10 procent fra øvrige Microsoft-programmer.

Meget positivt

Det er meget positivt, at Microsoft i den grad har nedbragt mængden af sårbarheder.

Samtidig er funktionen til automatisk opdatering også med til at sikre, at sikkerhedshuller bliver lukket hurtigere end før.

Men tallene fortæller også en trist historie.

Mængden af sårbarheder er nemlig stigende.

Og den store udfordring ligger nu hos Microsofts konkurrenter og partnere.

De tegnede sig for 78 procent af sårbarhederne på brugernes pc'er.

Nogle softwarehuse har allerede gjort noget ved sagen. Adobe, hvis programmer har været en lige så stor sikkerhedsmæssig katastrofe som Microsofts tidligere var, har indført en sikker udviklingsproces.

Ved at bruge sandkasseteknologi har de effektivt bremset udnyttelsen af sårbarheder i Adobe Reader X. Nu er samme teknologi på vej ind i Flash til Firefox.

Opdatering tager ressourcer

Softwarehusene har imidlertid det problem, at deres programmer ikke opdateres automatisk via den indbyggede funktion i Windows.

Derfor er de nødt til selv at udvikle opdateringsfunktioner.

Det sker også. Men det medfører, at der skal køre endnu flere programmer på pc'en: For hvert eneste installeret program skal der køre et program, som tjekker, om der er kommet opdateringer til det.

Det kan gøre computeren langsommere.

Jeg ville derfor ønske, at der kunne udvikles en fælles infrastruktur for softwareopdateringer.

Desværre har Microsoft tidligere afvist at lukke op for tredjepartsprogrammer i Windows Update.

Indtil det sker, kan jeg anbefale, at man bruger et værktøj til at tjekke, at ens programmer er opdateret.

Til enkeltstående pc'er er der gode, gratis løsninger, som oven i købet er danskudviklede.

Der findes også løsninger til at tjekke alle computerne på en virksomheds netværk.

Sikre udviklingsmetoder vil ikke fjerne alle sårbarheder. Men de kan nedbringe antallet af alvorlige sårbarheder og hjælpe til, at fejlene findes og rettes hurtigere.¨

DK-CERT (www.cert.dk) er det danske Computer Emergency Response Team.

I samarbejde med tilsvarende CERT'er over hele verden indsamler DK-CERT information om internetsikkerhed. DK-CERT udsender advarsler og tager imod anmeldelser af sikkerhedsrelaterede hændelser på internettet.

DK-CERT er en tjeneste fra UNI-C, en styrelse under Undervisningsministeriet.

Shehzad Ahmad opdaterer en gang om måneden Computerworlds læsere med de seneste tendenser inden for it-sikkerhed.

Computerworld Events

Vi samler hvert år mere end 6.000 deltagere på mere end 70 events for it-professionelle.

Ekspertindsigt – Lyt til førende specialister og virksomheder, der deler viden om den nyeste teknologi og de bedste løsninger.
Netværk – Mød beslutningstagere, kolleger og samarbejdspartnere på tværs af brancher.
Praktisk viden – Få konkrete cases, værktøjer og inspiration, som du kan tage direkte med hjem i organisationen.
Aktuelle tendenser – Bliv opdateret på de vigtigste dagsordener inden for cloud, sikkerhed, data, AI og digital forretning.

Sikkerhed | Højbjerg, Aarhus

Cyber Security Summit 2026 - Aarhus

Lær om organisationers evne til at modstå, håndtere og komme videre efter alvorlige digitale hændelser, herunder ledelsesansvar, forretningskritiske afhængigheder og de valg, der afgør, om plan B holder, når systemer eller leverandører svigter.

Digital transformation | Aarhus

AI i det offentlige - Aarhus

Hør hvordan offentlige AI-løsninger skaleres til stabil drift med reel effekt. Få erfaringer, arkitekturvalg og styringsgreb fra frontløbere. Lær at bygge fælles AI-infrastruktur med ansvarlighed, sikkerhed og compliance.

Digital transformation | Køge

Derfor skal du videre fra Dynamics AX – og sådan gør du

Computerworld giver klar viden om vejen videre fra Dynamics AX. Du ser forskellen mellem AX og moderne cloud-ERP og får et konkret beslutningsgrundlag for næste skridt. Tilmeld dig og få styr på skiftet til Dynamics 365 FO eller BC.

Se alle vores events inden for it

Navnenyt fra it-Danmark

Pinksky ApS har pr. 1. maj 2026 ansat Jeppe Spanggaard, 29 år,  som Rådgivende konsulent, Partner. Han skal især beskæftige sig med Digitalisering med Microsoft-platformen. Han kommer fra en stilling som Microsoft 365 & SharePoint Specialist hos Evobis ApS. Nyt job

Jeppe Spanggaard

Pinksky ApS

WITRICS A/S har pr. 1. juli 2026 ansat Tim Meicker som Sales & Marketing Manager. Han skal især beskæftige sig med marketingstrategi, salgsaktiviteter, samt virksomhedens kommercielle vækst. Han kommer fra en stilling som projektansat hos WITRICS A/S. Han er uddannet BA (hons) Strategic Management og MBA fra Syddansk Universitet. Nyt job

Tim Meicker

WITRICS A/S

Lauren De Ventura,  emagine Expertise A/S, er pr. 1. juli 2026 udnævnt som Chief People Officer, fast del af den globale ledelse og bestyrelsesmedlem. Hun er uddannet HR-ledelse på tværs af konsulent-, staffing- og IT-branchen. Hun beskæftiger sig med skabe rammerne for emagine som et sted, hvor IT-talenter kan opbygge meningsfulde karrierer. Udnævnelse

Lauren De Ventura

emagine Expertise A/S

TDC Erhverv har pr. 1. maj 2026 ansat Peter Bjerregaard Harden som Senior Vice President (SVP), Enterprise Sales. Peter skal især beskæftige sig med at drive transformationen mod at blive en førende, kundecentreret partner inden for Cloud, Cyber og integrerede ICT-løsninger. Peter kommer fra en stilling som Country Manager hos Google Cloud Danmark. Peter er uddannet Cand. Merc (AU), HD, Organisation og Ledelse (CBS), Bestyrelsesuddannelse (CBS). Peter har tidligere beskæftiget sig med at opbygge Google Cloud i Danmark samt roller hos Microsoft, Salesforce og i management consulting. Nyt job