Mindre virksomheder får hjælp til at øge cybersikkerheden

It-systemer Software og programmering System- og datasikkerhed

DTU Compute skal sammen med seks partnere hjælpe danske softwarevirksomheder til at tænke it-sikkerhed ind i produktudviklingen helt fra begyndelsen.

Vores digitale liv er fantastisk. Vi kan købe ind online, åbne hoveddøren med vores telefon og tracke alle vores løbeture. Vi er blevet vant til, at vores oplysninger ligger i skyen, så vi altid kan komme til dem. Al den bekvemmelighed kræver dog, at sikkerheden er i top, så andre ikke kan misbruge oplysningerne. Samtidig stiller EU øgede lovkrav om sikkerhed og beskyttelse af persondata. It-sikkerhed bliver derfor en stadig vigtigere konkurrenceparameter.

En undersøgelse har dog vist, at små og mellemstore virksomheder i Danmark mangler viden om cybersikkerhed. I stedet for at udvikle sikre applikationer fra starten, bliver de nødt til at hyre konsulenter senere til at hjælpe med it-sikkerheden i deres produkter. Det kan sætte danske virksomheder bagefter på det internationale marked.

De næste tre år skal Sektion for Formal Methods fra DTU Compute og seks andre partnere i projektet ”Sb3D - Security by Design in Digital Denmark” med støtte fra Industriens Fond hjælpe danske virksomheder med at integrere sikkerhed i den måde, som de digitale løsninger designes, skabes og vedligeholdes på.

“Førende firmaer som Microsoft, Facebook, Amazon og NASA anvender metoder og værktøjer til at konstruere sikre og pålidelige softwaresystemer og -løsninger. Det kan dog føles som at skyde gråspurve med kanoner for et lille dansk firma," siger sektionsleder for Formal Methods og lektor Alberto Lluch Lafuente. 

“Ved at tænke sikkerhed ind fra starten kan firmaerne langt nemmere vurdere deres behov, og vi kan hjælpe med at udvikle værktøjer, der passer på deres niveau,” siger han.  

Tyve virksomhedsforløb

Der er stor forskel på kravet til niveauet af it-sikkerhed i virksomheder. I projektet skal DTU og partnerne derfor vise, hvordan mindre virksomheder forholdsvis let og billigt kan implementere cybersikkerhed i designet af deres produkter, ligesom man skal undervise i de mest sikre, avancerede teknikker til virksomheder, der fx arbejder inden for kritisk national infrastruktur som sygehusvæsenet, beredskab og forsyningsvirksomheder.

"Det skal være så realistisk som muligt for virksomhederne. For vi kan selvfølgelig ikke komme og sige, at de fuldstændigt skal ændre den måde, de arbejder på. Vi skal finde veje til let at integrere avancerede it-sikkerhedsløsninger uden at ændre virksomhedernes processer totalt"
Alberto Lluch Lafuente

Forskerne kommer også helt tæt på arbejdsgangen gennem 20 virksomhedsforløb. Her skal de se, hvordan it-sikkerhed kan bygges ind i udviklingen af nye produkter og services uden store ændringer i de nuværende processer. Derudover vil et panel af virksomheder rådgive forskerne undervejs.

Det skal være så realistisk som muligt for virksomhederne. For vi kan selvfølgelig ikke komme og sige, at de fuldstændig skal ændre den måde, de arbejder på. Vi skal finde veje til let at integrere avancerede it-sikkerhedsløsninger uden at ændre virksomhedernes processer totalt,” siger Alberto Lluch Lafuente.

Han peger på, at projektets partnere supplerer hinanden godt. Til daglig arbejder sektionen Formal Methods med at anvende og udvikle avancerede løsninger baseret på computer-science, matematik og logik til at nå de højeste niveauer af it-sikkerhed. Mens de andre partnere har stor erfaring i forbedring og tilpasning af softwareudviklingsprocesser. 

Masterclass og netværksgrupper

Videndelingen vil ske gennem skriftligt materiale, masterclasses og workshops, så den enkelte medarbejder lærer at tænke it-sikkerhed ind i produktudvikling, drift og vedligeholdelse af produkter og services. Gennem netværksgrupper opdelt efter brancher og emner kan virksomheder dele viden og erfaringer med hinanden også efter, at projektet er slut.

Parterne vil derudover undersøge, om Danmark kan lave en mærkningsordning for “Security by Design” med softwareprodukter og -service, der opfylder myndighedernes regler for cybersikkerhed.

“På den måde vil folk kunne vælge it-produkter og -services på samme måde, som vi vælger økologiske og etiske produkter i supermarkedet,” siger Alberto Lluch Lafuente.


 

Security by Design in Digital Denmark

  • Treårigt projekt, hvor seks projektdeltagere samarbejder om at hjælpe og uddanne danske virksomheder til at tænke sikkerhed ind i hele designprocessen med softwareudvikling.
  • Begrebet kaldes Security by Design (SbD) og handler om at integrere sikkerhed i den måde, som de digitale løsninger designes, skabes og vedligeholdes på.
  • Deltagere: DTU Compute - sektionen Formal Methods, Institut for Datalogi på Aalborg Universitet, Dansk Erhverv, Dansk Industri, Erhvervshus Midtjylland, Alexandra Instituttet (projektleder) og Industriens Fond.
  • Budget: 10,4 millioner kroner fra Industriens Fonds cybersikkerhedsprogram
  • DTU’s masteruddannelse ’Safe and Secure by Design’ fokuserer i øvrigt på en række af de proaktive metoder og teknikker, som internationalt førende software- og hardwarefirmaer anvender til at konstruere sikre og pålidelige software systemer og løsninger.

Kilder: Alexandra Instituttet og Industriens Fond samt DTU Compute