Fremtiden bygges av sikker software

Illustrasjonsbilde med sensorstyrte biler på motorveien

Nasjonal Sikkerhetsmyndighet har nylig lagt ut sin rapport «Helhetlig digitalt risikobilde 2020». Den fremhever flere viktige teknologiske trender som del av økt digitalisering, blant annet: skytjenester, IoT, 5G og «Edge Computing». Alle disse har noe viktig til felles: programvare.

Nye systemer skal utvikles, og gjerne driftes på det åpne Internett, utenfor den trygge tradisjonelle IT-infrastrukturen mange bedrifter har lent seg på i tiår. Tradisjonell IT-sikkerhet har handlet om å sikre systemer ved å sette opp brannmurer, VPN-løsninger og andre nettverksbaserte tiltak for å hindre at hackere kan komme seg frem til systemene.

Moderne applikasjonssikkerhet handler derimot om å bygge systemer som kan motstå direkte angrep. Vellykkede angrep går på bekostning av omdømme, tillit og nattesøvn. Dermed gjelder det å ha rett fokus når en skal utforme sikkerhetsstrategi.

Vi trenger et spesifikt kompetanseløft rundt sikkerhet innen programvareutvikling

Nick Murison, sikkerhetsekspert Miles

I Norge er vi godt rustet for fremtiden, med et digitalisert samfunn og høy kompetanse innen teknologi og utvikling. Men vi trenger et spesifikt kompetanseløft rundt sikkerhet innen programvareutvikling. Vi har dyktige fagmiljø for utvikling, og for sikkerhet. Men utviklere som forstår seg på sikkerhet og sikkerhetsfolk som forstår seg på systemutvikling er ikke lette å finne. Det er ikke lenger nok at organisasjoner har noen som jobber med klassisk IT-sikkerhet. Nå må produktteam utstyres med riktig kompetanse og verktøy samt gode prosesser for smidig og sikker utvikling.

Sikkerhetsteam må forstå seg bedre på moderne utvikling og verdiskapning. Konsepter som DevOps lover økt effektivitet gjennom automatisering og bruk av tverrfaglige team, og har blitt omfavnet av utviklingsmiljø over de siste årene. For å kunne utnytte dette til det fulle må sikkerhet være med på laget, med verktøy og tilnærminger som passer inn i produktutvikling. Organisasjonskulturen må støtte økt samarbeid mellom produkt- og sikkerhetsteam slik at utfordringer oppdages og håndteres tidlig. Mange organisasjoner løser dette ved å opprette et eget team som jobber med sikkerhet i utvikling. Andre dyrker ildsjeler eller såkalte «security champions» innenfor produktteam, som er ansvarlige for å bygge sikkerhet inn i utviklingen.

Det faglige programvaremiljøet i Norge har et godt grunnlag for å løse fremtidens utfordringer, men løsningene må være sikre fra starten. Organisasjoner som prioriterer sikkerhet som en naturlig del av utviklingen kommer til å ha et klart fortrinn i fremtidens digitale samfunn, hvor det blir mindre plass for gammel infrastruktur-tenkning og større behov for åpne skybaserte tjenester. Uten denne innsatsen risikerer bedrifter, og samfunnet generelt, at omdømme og tillit skades.

For ikke å snakke om nattesøvnen.