ANNONCE

PRM / IoT-sikkerhed kræver forståelse for teknik, forretning og organisation

23. september 2020 10:40 | Af: Ritzau Info
 

En ny undersøgelse, som Alexandra Instituttet har foretaget, viser, at flere virksomheder oplever, at IoT-sikkerhed spiller en central rolle for deres produkt og forretningsgrundlag. Dog kan det være vanskeligt at finde det rette niveau for IoT-sikkerheden.

Pressemeddelelse fra Alexandra Instituttet

Flere virksomheder ser sikkerhed som en afgørende parameter, når de kobler deres produkter til nettet. Dels har de fokus på at skabe en driftssikker løsning. Dels er de bevidste om de forretningsmæssige potentialer og risici, der er forbundet med IoT-produkterne. Dog kan det være vanskeligt at finde det rette niveau for IoT-sikkerheden.

Som én virksomhed siger:

“Du skal være foran, men heller ikke så langt foran, at du priser dig selv ud af det her. Vi skal passe på, at vi hverken bliver valgt fra, fordi det er for dyrt, eller ikke kan byde på opgaver, fordi sikkerheden ikke lever op til kravene.”

Citatet stammer fra en undersøgelse, som Alexandra Instituttet har foretaget. På baggrund af desk research og interviews med 27 danske virksomheder har de lavet en modenhedsanalyse af virksomhedernes arbejde med IoT-sikkerhed. Her ser man på de tekniske, organisatoriske og forretningsmæssige faktorer, der tilsam-men er afgørende for sikkerheden i virksomhedernes IoT-produkter.

Der findes en række anbefalinger og analyser på området, men der er endnu ikke lavet en afdækning af, hvordan udfordringerne omkring IoT-sikkerhed håndteres i danske virksomheder. Indsigterne fra undersøgelsen er derfor afgørende for det fremadrettede arbejde med at hæve IoT-sikkerhedsniveauet i Danmark.

Del af ny værdikæde

Virksomhederne oplever, at IoT-sikkerhed spiller en central rolle for deres produkt. Salgstalerne om de nye muligheder med IoT falder ganske enkelt til jorden, hvis ikke de kan svare på kundens spørgsmål om, hvordan produktet er sikret. For at kunne få lov til at sælge de nye funktioner og produkter, skal de have styr på IoT-sikkerheden.

En anden ting, som undersøgelsen peger på, er at virksomhederne også ser en mulighed for positiv brandingværdi i sikkerhed. Dog fylder den negative brandingværdi mindst lige så meget hos virksomhederne. De nævner gentagne gange, at de er bange for, at det er deres produkter, der bliver hacket og misbrugt. En del af forklaringen bag denne frygt er, at ens virksomhed med IoT bliver en del af en ny værdikæde. Den sensor eller det IoT-produkt, man leverer, kan derfor også blive en bagdør ind til hele kundens system. Som en siger:

“Hvis man kan udnytte en adgang til sådan nogle systemer, så kan man jo skade på et andet niveau end tidligere og få nogle ting til at stoppe eller gå ned. Vi har også et vist ansvar for, at når vi går ud i markedet med nogle connectede devices, så leverer vi også en fornuftig sikkerhed. Om der så er compliancekrav nu eller ej, så er vi nødt til at tage det med i vores risikovurdering.”

Savner standarder

Derfor søger virksomhederne at øge deres viden om IoT-sikkerhed, men de savner en standard, de kan læne sig op ad. IoT er nyt terræn, og der er endnu ikke sket en standardisering på området. Der er ikke noget facit, og det gør, at kunder og leverandører er usikre på, hvad der er godt nok. De fleste bruger derfor meget tid på dialogen med interne og eksterne interessenter om, hvornår sikkert er sikkert nok.

Som én formulerer det: “En standard kan give referencer, så vi kan sige til vores kunder, at det her er ikke bare to mand i vores virksomhed, der har fundet på at implementere et eller andet sikkerhed.”

Bristen i IoT-systemet kan ligge steder, man slet ikke havde tænkt på. Fordelen ved at kunne styre tusindvis af enheder i stedet for fx at servicere dem manuelt, skal hele tiden holdes op imod risikoen for, at systemet hackes og udnyttes. Jo mere IoT fylder i forretningen, des større risiko er der også for virksomheden. At udnytte forretningspotentialet kræver derfor også, at man har risikostyringen på plads.

Ansvaret ligger ikke kun i it-afdelingen

Det leder os så videre til, hvor ansvaret for IoT-sikkerhed bedst placeres.

Hvor klassisk it-sikkerhed typisk ligger i it-afdelingen, er IoT-sikkerhed en mere hybrid størrelse, som ofte går på tværs af de eksisterende organiseringer. Men som med andre funktioner er der brug for, at nogen i virksomheden ejer IoT-sikkerheden, tager ansvaret og danner sig et overblik over risikoen. Sikkerhed er aldrig absolut, og man skal som virksomhed tage stilling til, hvilke risici man kan leve med – en beslutning der bør være forankret i ledelsen.

Der er stor forskel på, hvordan virksomhederne i praksis håndterer og placerer opgaven med IoT-sikkerhed. Hvor nogle søger at håndtere mest muligt internt, har andre tiltro til, at deres underleverandører har helt styr på sikkerheden, men flere mangler forudsætningerne for at indgå i en dialog omkring det. Hos de mere modne virksomheder skabes en organisering, hvor produktets sikkerhed udvikles og evalueres i løbet af udviklingsprocessen.

Modenhed er afgørende

Generelt er der forskel på, hvordan virksomhederne sikrer, at de har adgang til de nødvendige kompetencer inden for IoT-sikkerhed. Nogle prioriterer at have IoT-sikkerhedsfaglige medarbejdere in-house. Andre har valgt at outsource hele eller dele af udviklingen, mens andre igen sørger for at opgradere deres viden i tilstrækkelig grad til at kunne indgå i dialog med underleverandører og kunder.

Det viser sig i undersøgelsen, at jo mere virksomhederne ved, des mere ved de også, hvad de ikke ved. Efterhånden som virksomhederne bliver mere modne, vil de derfor atter begynde at benytte sig af out- og insourcing for på den måde at sikre ekspertviden på særligt kritiske og komplekse områder.

Fakta: Fire tilgange til IoT-sikkerhed

Hvad der ses som et passende sikkerhedsniveau for den enkelte løsning, og hvordan virksomhederne arbejder med at opnå dette, fordeler sig på fire tilgange: optimistisk, gradvist, integreret og styret. Modellen er dels et værktøj til selvevaluering, dels et dialogredskab til udviklingen af IoT-sikkerhed som indsatsområde.

OPTIMISTISK: For os er sikkerhed et nødvendigt onde, som især handler om, at vores kunder er bekymrede. Vi har valgt nogle erfarne underleverandører, og vi har tillid til, at de leverer et sikkert produkt.

GRADVIST: Vi følger de anbefalinger, vi får fra konsulenter og underleverandører og har sørget for den basale sikkerhed. Det bliver først nødvendigt med større sikkerhedstiltag, når vi skal til at skalere produktet.

INTEGRERET: Sikkerhed er forretningskritisk for os, og vi vurderer løbende, om vores produkter er sikre nok. Vi arbejder med at ensarte IoT-sikkerhed på tværs af organisationen men savner en standard, vi kan læne os op ad.

STYRET: Sikkerhedslandskabet udvikler sig hele tiden, og vi prioriterer at være på forkant. Sikkerhed er en driver for at opnå det, vi gerne vil med IoT. Vi har fælles modeller for sikkerhed, og alle beslutninger er forankret i ledelsen.

Fakta om projektet
Analysen er foretaget i regi af Cybersecure IoT in Danish Industry (CIDI), der er et projekt under Industriens Fond. Projektet har til formål at hjælpe danske virksomheder med at sætte IoT-sikkerhed på den strategiske dagsorden og opnå en konkurrencefordel med bedre digitale produkter.

Klik her for at læse rapporten og her for at få en oversigt over de fire tilgange.

Læs hele pressemeddelelsen på Via Ritzau her: https://via.ritzau.dk/pressemeddelelse/iot-sikkerhed-kraever-forstaelse-for-teknik-forretning-og-organisation?releaseId=13600531

** Ovenstående pressemeddelelse er videreformidlet af Ritzau på vegne af tredjepart. Ritzau er derfor ikke ansvarlig for indholdet **

ANNONCE

ANNONCE
Del din kommentar
Forsiden lige nu