Artikel top billede

(Foto: leolintang / leolintang)

Koden burde jo være sikker fra begyndelsen ... men tre ud af fire applikationer har en sikkerhedsbrist

Klumme: Hvis man lægger sikkerhed ind tidligt i udviklingen, kan man reducere sikkerhedsrisici og de langsigtede udviklingsomkostninger ganske markant. EU-Kommissionen er på vej med en række initiativer, som tænker sikkerhed ind fra starten.

Denne klumme er et debatindlæg og er alene udtryk for skribentens synspunkter.
Vi ser det overalt: Små, mellemstore og store virksomheder, der bliver mere og mere software-drevne og er godt på vej til at udvikle sig til moderne softwarefabrikker.

Det er virksomheder, der konstant jagter nye teknologier og applikationer, så de kan tilpasse sig hurtigt og give kunderne den gode brugeroplevelse – og dermed komme foran konkurrenterne.

Midt i denne virkelighed har vi sikkerhed, som burde løbe som en rød tråd gennem alle områder af forretningen, men som alt for ofte bliver noget, man kommer i tanker om, når udviklingstoget har forladt perronen og accelerer derudaf.

Alene inden for det sidste år har vi set adskillige både private og offentlige virksomheder blive udsat for alvorlige sikkerhedsangreb og databrud, som har efterladt dem uden adgang til forretningskritiske it-systemer eller med følsomme data eksponeret for omverdenen.

Hvad er det, der går galt?

Masser af sårbarheder i applikationerne

En undersøgelse fra CA Technologies Veracode scannede 400.000 applikationer.

Det viste sig, at tre ud af fire applikationer havde mindst én sårbarhed, mens 12 procent af applikationerne indeholdt alvorlige eller meget alvorlige sårbarheder.

At omkring 90 procent af alle cyberangreb udnytter sårbarheder i applikationer er derfor ikke nogen overraskelse.

Med undersøgelsens tal in mente, hvordan kan man så skabe tillid til digitale produkter og services, hvoraf mange altså er relativt sårbare?

Først og fremmest skal virksomhederne integrere sikkerhed i starten af deres applikationsudviklingsproces og hele vejen gennem udviklings- og testcyklussen. Det går også under betegnelsen DevSecOps (Development-Security-Operations).

Virksomheder, der lægger sikkerhed ind tidligt i udviklingen (også kaldet shifting security left) kan reducere sikkerhedsrisici og de langsigtede udviklingsomkostninger ganske markant.

Flere EU-initiativer på vej

EU-Kommissionen er på vej med en række initiativer, som tænker sikkerhed ind fra starten.

Kommissionen foreslår blandt andet, at der laves en EU-certificering, der skal bidrage til at øge markedets tillid til produkter, services og processer inden for cybersikkerhed.

Der er tale om et rammeværktøj, som blandt andet skal omfatte sikre udviklingsmetoder (“shift left approach”).

Jeg byder personligt initiativet velkomment og er overbevist om, at fokus på cybersikkerhed-by-design vil bidrage positivt til øget sikkerhed hos offentlige og private virksomheder, der er på vej til at blive moderne softwarefabrikker.

Der kommer en række nye forordninger til i 2018 – blandt andet PSD2, som blev lanceret i januar, og GDPR, som kommer til maj – og mange virksomheder er midt i en proces, hvor de gør klar til, at deres udvikling og test opfylder de nye regler.

Det er samtidig en oplagt mulighed for at få kigget sin sikkerhedsstrategi efter i sømmene og ”shift security left.” 

Hent rapporten her.

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling. 

Har du en god historie eller har du specialviden, som du synes trænger til at blive delt? 

Læs vores klumme-guidelines og send os noget tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.