UTVIKLING

Kravene til sikkerhet øker – produktteamet trenger sikkerhetsutviklere!

Et team med én eller flere utviklere som arbeider spesifikt med cybersikkerhet, kan være raskere på ballen dersom en sikkerhetshendelse inntreffer, skriver Henrik Walker Moe i denne kronikken.

Henrik Walker Moe, temaeier sikkerhet og manager i Bekk, tar til orde for at utviklingsteam må tilføres mer kompetanse innen cybersikkerhet.
Henrik Walker Moe, temaeier sikkerhet og manager i Bekk, tar til orde for at utviklingsteam må tilføres mer kompetanse innen cybersikkerhet. Foto: Bekk
Av Henrik Walker Moe i Bekk
17. mars 2023 - 14:15

Dette debattinnlegget gir uttrykk for skribentens meninger. Ønsker du selv å bidra i debatten, enten med et debattinnlegg eller en kronikk, les retningslinjene våre her.

I fjor høst brøt hackere seg inn i Haugesunds kommunale pensjonskasse, som forvalter 3,5 milliarder kroner. Løsepengevirus har kostet norsk næringsliv over 1 milliard kroner, skriver NRK Beta. Vi i Norge er blant de fremste innen digitalisering av samfunnet i verden, og derfor er vi også mest eksponert for risiko for uønskede cybersikkerhetshendelser.

Tar vi i betraktning det politiske klimaet i Europa, er det økt interesse fra stater og aktører som ønsker å påvirke Norge og norske interesser. Vi i sikkerhetsmiljøet i Bekk har tidligere meldt fra om behovet for sikkerhetsutviklere, og vi bruker utropstegn – fordi det haster! Det haster å løfte bunnivået på cybersikkerhet!

Sikkerhetsutviklere til unnsetning

Alle produktteam bør sette søkelys på cybersikkerhet, slik at vi i Norge kan møte den stadig økende trusselen mot norske virksomheter med forebyggende tiltak. Et tverrfaglig produktteam består gjerne av flere fagpersoner som tilfører teamet spisskompetanse innen ulike områder, og nå er en god tid til å vurdere om man har tilstrekkelig fokus og kompetanse på cybersikkerhet.

Vi mener en sikkerhetsutvikler gir produktteamet den nødvendige kapasiteten og spisskompetansen som behøves til å heve bunnivået på cybersikkerhet i teamet og gjøre forebyggende tiltak i produktet – uten å spenne bein på verken produktutvikling eller brukerbehov.

Produktteamene må få inn sikkerhetskompetanse

Et team med én eller flere utviklere som arbeider spesifikt med cybersikkerhet, kan være raskere på ballen dersom en sikkerhetshendelse inntreffer og dersom sikkerhetsoppgaver må gjøres. Når det først går galt, må du være i stand til raskt å omstille deg og foreta utbedrende tiltak. Jo lengre tid det tar, jo mer skade kan hackere gjøre.

Utviklere er produktteamets førstelinjeforsvar mot hackere når det gjelder å forebygge, og med et ad-hoc-fokus på cybertrusler vil det antageligvis bety økt risiko for skjult sikkerhetsgjeld i produktet.

Sikkerhetsgjeld må nedbetales jevnlig

For å unngå at sikkerhetsgjelden vokser ut av kontroll, er det viktig at utviklerne i produktteamet kontinuerlig betaler ned gjelden, både i produktet og i dets leverandørkjede. Til forskjell fra teknisk gjeld er denne skjulte sikkerhetsgjelden mulig farligere å prioritere ned, fordi du kan ha hackere på innsiden allerede nå, eller være sårbar, uten å vite det. 

Leverandørkjeden har fått mer oppmerksomhet fra trusselaktørene i det siste og er en flanke vi må beskytte. NSM skriver i Risiko 2023: 

«Lange og uoversiktlige leverandørkjeder utgjør fortsatt en sårbarhet som trusselaktører vet å utnytte. De siste årene har vi sett mange eksempler på at leverandørkjedeangrep [...] får omfattende konsekvenser.»

På en dårlig dag fører teknisk gjeld til at produktet går i stykker, mens en tilsvarende dårlig dag for sikkerhetsgjeld i verste fall kan gi katastrofale følger for hele virksomheten. Derfor kan man si at renten på sikkerhetsgjeld er høyere enn rentene på teknisk gjeld og derfor bør prioriteres høyere enn man gjør i dag.

Prioriter cybersikkerhet og gammel sikkerhetsgjeld

Vi mener at spisskompetanse på cybersikkerhet må inn i produktteamet, og sikkerhetsgjelden må nedbetales jevnlig. Sikkerhetsutviklere gir teamet den nødvendige kapasiteten og kompetansen til å forebygge og beskytte norske verdier fra aktører med skumle hensikter.

Cybersikkerhetsekspert, Mikko Hyppönen, mener at bedrifter må tenke nytt når det gjelder IT-sikkerhet.
Les også

IT-sikkerhetsekspert: – KI-revolusjonen har ikke skjedd ennå, den har akkurat begynt

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.