Koden burde jo være sikker fra begyndelsen ... men tre ud af fire applikationer har en sikkerhedsbrist

Klumme: Hvis man lægger sikkerhed ind tidligt i udviklingen, kan man reducere sikkerhedsrisici og de langsigtede udviklingsomkostninger ganske markant. EU-Kommissionen er på vej med en række initiativer, som tænker sikkerhed ind fra starten.

Artikel top billede

(Foto: leolintang / leolintang)

Denne klumme er et debatindlæg og er alene udtryk for skribentens synspunkter.
Vi ser det overalt: Små, mellemstore og store virksomheder, der bliver mere og mere software-drevne og er godt på vej til at udvikle sig til moderne softwarefabrikker.

Det er virksomheder, der konstant jagter nye teknologier og applikationer, så de kan tilpasse sig hurtigt og give kunderne den gode brugeroplevelse – og dermed komme foran konkurrenterne.

Midt i denne virkelighed har vi sikkerhed, som burde løbe som en rød tråd gennem alle områder af forretningen, men som alt for ofte bliver noget, man kommer i tanker om, når udviklingstoget har forladt perronen og accelerer derudaf.

Alene inden for det sidste år har vi set adskillige både private og offentlige virksomheder blive udsat for alvorlige sikkerhedsangreb og databrud, som har efterladt dem uden adgang til forretningskritiske it-systemer eller med følsomme data eksponeret for omverdenen.

Hvad er det, der går galt?

Masser af sårbarheder i applikationerne

En undersøgelse fra CA Technologies Veracode scannede 400.000 applikationer.

Det viste sig, at tre ud af fire applikationer havde mindst én sårbarhed, mens 12 procent af applikationerne indeholdt alvorlige eller meget alvorlige sårbarheder.

At omkring 90 procent af alle cyberangreb udnytter sårbarheder i applikationer er derfor ikke nogen overraskelse.

Med undersøgelsens tal in mente, hvordan kan man så skabe tillid til digitale produkter og services, hvoraf mange altså er relativt sårbare?

Først og fremmest skal virksomhederne integrere sikkerhed i starten af deres applikationsudviklingsproces og hele vejen gennem udviklings- og testcyklussen. Det går også under betegnelsen DevSecOps (Development-Security-Operations).

Virksomheder, der lægger sikkerhed ind tidligt i udviklingen (også kaldet shifting security left) kan reducere sikkerhedsrisici og de langsigtede udviklingsomkostninger ganske markant.

Flere EU-initiativer på vej

EU-Kommissionen er på vej med en række initiativer, som tænker sikkerhed ind fra starten.

Kommissionen foreslår blandt andet, at der laves en EU-certificering, der skal bidrage til at øge markedets tillid til produkter, services og processer inden for cybersikkerhed.

Der er tale om et rammeværktøj, som blandt andet skal omfatte sikre udviklingsmetoder (“shift left approach”).

Jeg byder personligt initiativet velkomment og er overbevist om, at fokus på cybersikkerhed-by-design vil bidrage positivt til øget sikkerhed hos offentlige og private virksomheder, der er på vej til at blive moderne softwarefabrikker.

Der kommer en række nye forordninger til i 2018 – blandt andet PSD2, som blev lanceret i januar, og GDPR, som kommer til maj – og mange virksomheder er midt i en proces, hvor de gør klar til, at deres udvikling og test opfylder de nye regler.

Det er samtidig en oplagt mulighed for at få kigget sin sikkerhedsstrategi efter i sømmene og ”shift security left.” 

Hent rapporten her.

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling. 

Har du en god historie eller har du specialviden, som du synes trænger til at blive delt? 

Læs vores klumme-guidelines og send os noget tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.

Læses lige nu

    Navnenyt fra it-Danmark

    SAP SuccessFactors Partner Pentos har pr. 1. marts 2026 ansat Plamena Cherneva som Seniorkonsulent indenfor SuccessFactors HCM. Hun skal især beskæftige sig med konfiguration og opsætning af SuccessFactors suiten, samt udvikle smarte løsninger til mellemstore danske virksomheder. Hun kommer fra en stilling som løsningsarkitekt indenfor HR IT hos LEO Pharma. Hun har tidligere beskæftiget sig med HR procesdesign, stamdata og onboarding. Nyt job

    Plamena Cherneva

    SAP SuccessFactors Partner Pentos

    Lauren De Ventura,  emagine Expertise A/S, er pr. 1. juli 2026 udnævnt som Chief People Officer, fast del af den globale ledelse og bestyrelsesmedlem. Hun er uddannet HR-ledelse på tværs af konsulent-, staffing- og IT-branchen. Hun beskæftiger sig med skabe rammerne for emagine som et sted, hvor IT-talenter kan opbygge meningsfulde karrierer. Udnævnelse

    Lauren De Ventura

    emagine Expertise A/S

    Trafikstyrelsen har pr. 1. maj 2026 ansat Nihad Hodzic som IT og Digitaliseringschef. Han skal især beskæftige sig med med IT-projekter og digital transformation, herunder især det strategiske løft af Trafikstyrelsens digitale niveau. Han kommer fra en stilling som Kontorchef hos Udviklings og Forenklingsstyrelsen. Han er uddannet i statskundskab og har en lederuddannelse fra MIT Sloan, samt en igangværende Master i IT-Ledelse. Han har tidligere beskæftiget sig med IT-udvikling og større projekter på momsområdet, hvor han har ledet et projekt- og udviklingskontor. Nyt job

    Nihad Hodzic

    Trafikstyrelsen

    IFS Danmark A/S har pr. 1. juni 2026 ansat Lasse Hounsgaard som AI Account Executive. Lasse skal især beskæftige sig med udrulning af IFS.ai Logistics i Norden. Lasse kommer fra en stilling som Manufacturing Account Executive hos Autodesk ApS. Lasse er uddannet cand.merc. i International Virksomhedsøkonomi. Lasse har tidligere beskæftiget sig med digitalisering af danske og nordiske virksomheder. Nyt job

    Lasse Hounsgaard

    IFS Danmark A/S