Artikel top billede

(Foto: Dan Jensen)

It-sikkerhed begynder i produktudviklingen: Al udvikling bør helt naturligt også omfatte it-sikkerhedsspecialister,

Klumme: Sikkerhed er ikke tænkt ind i produktudviklingen af IoT-enheder fra starten af. Det kommer ofte til sidst – og mange producenter forventer sågar, at kunderne selv står for sikkerheden.

Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.

Flere og flere enheder bliver koblet til internettet dagligt, og udviklingen inden for Internet of Things (IoT) har i den grad taget fart de seneste år.

Således beretter McKinsey Global Institute, at der bliver forbundet 127 nye enheder til internettet hvert sekund, mens analyseinstituttet Gartner spår, at markedet for IoT-teknologien vil vokse til omkring 31 milliarder forbundne enheder i 2025.

IoT gør livet lettere for både virksomheder og private forbrugere på en lang række områder.

Det gælder alt fra sensorer i industrivirksomhedernes produkter til termostater, varmepumper, videokameraer, kaffemaskiner mv. i vores hjem, der konstant bliver mere og mere digitale.

De mange nye IoT-enheder øger angrebsfladerne markant, da enhver enhed er en potentiel indgang for cyberkriminelle.

Problemets kerne er, at sikkerhed ikke er tænkt ind i produktudviklingen fra starten af. Det kommer ofte til sidst – og mange producenter forventer sågar, at kunderne selv står for sikkerheden.

I mit daglige arbejde oplever jeg, at der inden for blandt andet udvikling af apps og software hersker en beta-kultur, hvor produkterne bliver lanceret tidligt – ofte som prøveklude for, at producenterne kan blive klogere på kundernes behov, feedback og generelle reaktioner.

Fra et innovationsperspektiv er denne tilgang effektiv og sikrer hurtigere produktlanceringer, brugerinvolvering mv., men i et it-sikkerhedsmæssigt perspektiv er det langt fra optimalt, for at sige det mildt.

Alt kan angribes

Mennesker, der arbejder med produktudvikling, er kreative, innovative og visionære problemknusere, som elsker at skabe nye smarte produkter, der løser udfordringer og opfylder behov, vi ikke engang vidste eksisterede.

De lægger deres energi og hjerteblod i de visionære udviklingsprojekter, og cybersikkerhed er sjældent det første, de tænker på, når morgendagens produkter til virksomheder og private husholdninger skal udvikles.

Det er mere reglen end undtagelsen, at sikkerhed først bliver tænkt ind i mange produkter lige før, de skal på markedet eller – endnu mere grelt – efter produkterne har været udsat for succesfulde angreb.

Derudover stiger antallet af angrebsflader markant.

Tag for eksempel en smartpen, der kan digitalisere håndskrift på et splitsekund. Der ligger tusindvis af udviklingstimer og et hav af visionære overvejelser bag et produkt som dette, der gør livet nemmere for mange virksomheder og forbrugere til daglig.

Men med pennen følger også en hel række angrebsmuligheder.

Pennen indeholder firmware, som kan være én vej ind. Dernæst er pennen måske tilsluttet en medfølgende app.

Det kan være endnu en sårbarhed. Appen ligger selvfølgelig på en smartphone, tablet og sikkert også en pc, der hver især udgør en sikkerhedsrisiko.

Endelig er data fra pennen typisk gemt et sted i skyen - måske i leverandørens eller i kundernes eget cloudmiljø, hvilket selvfølgelig er endnu en potentiel vej ind for ubudne gæster.

Det samme gælder den smarte badevægt eller smartwatchet, men også mange virksomhedsløsninger – ja sågar har et amerikansk kasinos akvarium med digitalt styret temperatur og fodringsmekanisme vist sig at være en vej ind for ubudne gæster.

Der er brug for et paradigmeskifte

Manglende fokus på sikkerhed i produktudvikling betyder ganske enkelt, at virksomhederne – både de, der udvikler produkter og de, som bruger produkterne – altid vil halte bagefter hackerne i et evigt kapløb om at finde og lukke sikkerhedshuller.

Det gælder alt fra firmware, indlejret software, styresystemer, standardsoftware mv.

Derfor ser vi et behov for et paradigmeskifte, hvor man supplerer løbende patching, sikkerhedsopdateringer mv. med et fokus på rent faktisk at forhindre angreb ved at indtænke it-sikkerhed helt fra produktudviklingens begyndelse.

Når man tager et holistisk perspektiv på trusselmodelleringen, skal man klarlægge, hvilke direkte og indirekte sammenhænge produkterne kommer til at indgå i, og om de åbner døre til kritisk data.

Samtidig kan det være en stor fordel at tilknytte et PSIRT (Product Security Incident Response Team), som giver besked ved nyopdagede sårbarheder og håndterer sikkerhedsaspekter hurtigt og effektivt.

Med paradigmeskiftet skal virksomhederne overgå til en proaktiv orientering, hvor udviklingsafdelingerne helt naturligt også omfatter it-sikkerhedseksperter og -specialister, der kan sikre produkterne helt fra konceptstadiet.

Kun på den måde kan både producenter, deres kunder og forbrugere være sikre på, at deres mange enheder er sikre fra den dag, de ruller ud fra fabrikken.

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.

Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?

Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.




CIO
Årets CIO 2022: Nu skal Danmarks dygtigste CIO findes - er det dig? Eller kender du en, du vil indstille?