Til IDA Codinghell 2023: sikker software

Steven Snedkers billede
Af Steven Snedker den 13. april 2023 - 21:58 [0]

IDA, Ingeniørforeningen i Danmark, havde inviteret til foredrag. Hvordan laver man sikker software?

Hvordan laver man sikker software? Tja, det er der mange opskrifter på og man må hellere få måsen i gear og komme i gang.

"Senest den 18. oktober 2024 skal en række sektorer følge NIS2-direktivet, " fortalte første taler, Karsten Vandrup Dahl. "NIS2 står for Network and Information Security directive 2 og stiller alvorlige og ufravigelige krav til software der driver kritisk infrastruktur og vigtige brancher. Mindre virksomheder er undtaget. Men vil de være underleverandører til større firmaer, så..."

"GDPR fik endelig firmaer til at tage persondatalovgivning alvorligt. Der var bøder til folk, der fejlede. Med NIS2 bliver ledelsen holdt ansvarlig og bøderne vil være store. Så ingen kan undslå sig at lave (mere) sikker software."

Både Dansk Erhverv og Dansk Industri tager direktivet og den kommende lovgivning alvorligt og vi kommer til at se en bred oprustning på it-sikkerhedsfronten det næste stykke tid.

Kultur, ledelse og værktøjer«

Hvordan ser sikker software ud?

Karsten Vandrup Dahl har skrevet lærebogen It-sikkerhed i praksis sammen med András Ács Pedersen, der straks efter tog ordet og fortalte mere specifikt om hvordan man laver mere sikker software.

Man skaffer sig en ledelse, der tager sikkerhed alvorligt og ikke sparer på det. Det skal lovgivningen nu nok sørge for.

Så laver man sig en kultur hvor sikkerhed altid tænkes ind i løsningerne og fx. en person bliver udpeget som sikkerheds-indpisker. Manden m/k der altid ser tingene fra en sikkerhedsvinkel og stiller gode spørgsmål.

Endelig skaffer man sig de software-værktøjer, der gør det lettere at sætte og nå målene og teste at ens software nu er bedre rustet mod angreb.

Software med døden til følge«

Sektorerne omfattet af NIS2 er:

Energi, Transport, Bankvirksomhed, Finansielle markedsinfrastrukturer, Sundhed, Drikkevand, Spildevand, Digital infrastruktur, Offentlig forvaltning, Forvaltning af IKT-tjenester, Rummet, Post, Affaldshåndtering, Kemikalier, Fødevarer, Digitale udbydere, Fremstilling af medicinsk udstyr, elektroniske produkter, maskiner og køretøjer, Forskning.

Men, som sagt, også alle underleverandører. Så det er på høje tid for enhver programmerende at læse op på de kommende krav.

"Vi skrev noget afstemningssoftware til et valg," fortalte næste taler, Michael Zedeler fra Bestbrains. "Hvis vi lavede fejl, ville det kunne betyde krig. Man skal tænke sig rigtig godt om, når man tænker sikkerhed."

Michael gav en interessant øvelse hvor tilhørerne i grupper skulle sæte sig i spidsen for Mit-IDs sikkerhedshold og finde ud af hvilke angreb de helt sikkert ville bruge tid på at beskytte sig imod, hvilke angreb, der kunne regnes for ligegyldige og derefter diskutere alle de tilfælde som ikke faldt klart i den ene eller anden gruppe.

Gamle røvhuller - en trussel mod IT-sikkerheden«

Hvornår kan man være sikker på at softwaren er sikker nok?

Sidst fik alderpræsident (?) Poul-Henning Kamp ordet og talte om hvordan gamle mænd tit kunne finde bløde retræteposter i standardiseringsudvalg og derfra afvise en masse nyt og vigtigt.

Han havde til lejligheden fundet en perlerække af flinke nørder, mange af dem pionerer, der ikke just eftersatte  enkelhed og sikkerhed i deres senkarriere.

Det korte af det lange«

Rigtig mange brancher skal til at tage It-sikkerhed alvorligt. Til oktober 2024 er der reelle smæk til de dovne. Hvis brud på datasikkerheden ikke har straffet dem inden.

Alt i alt en god måde at blive vækket af sin slummer på.

Ændrede min holdning: 
Velargumenteret: 

Tilføj kommentar

Ja, dette er et dumt spørgsmål med et nemt svar, men det er der kun fordi spam-robotter er for dumme til at besvare den slags, mens mennesker ikke er.
👍

Log ind eller registrer dig for at lægge langtidsholdbare, konstruktive kommentarer.
Registrerede brugere får bedre editor og flere likes.