“Hvordan skal softwaresikkerhed håndteres i produktion, drift og
service for vores produkt?” er spørgsmål der ofte dukker op i
dialogen om industrielle computere og ikke mindst om Internet of
Things” siger Mads Doré Hansen, Product Manager hos udviklingshuset
Prevas.
Desværre er det spørgsmål som ikke er lige til at svare på, da det
afhænger helt af det sikkerhedsniveau man ønsker at opnå, de
muligheder produktets hardware og software tilbyder, hvorledes en
serviceorganisation er struktureret osv. Det er mange åbne
spørgsmål, som kræver at der laves noget specifikations- og
studiearbejde for at afdække grænsefladerne mellem produktion,
service, organisation og teknik – for derigennem at finde de
løsninger der bedst løser den sikkerhedsudfordring man som
produktejer kigger ind i. “Prevas oplever i stigende grad at der
kommer flere kundekrav om højere sikkerhedsniveau samtidig med at
myndighedskravene skærpes og her kan Prevas igen gøre en forskel
med vores kompetencer, størrelse, erfaring og processer” fortsætter
Mads Doré Hansen.
På produktionssiden skal der tages stilling til nøglegenerering,
håndtering og download. Her er det væsentligt at beslutte sig for
sikkerhedsniveauet internt i organisationen, da det er her der er
de største muligheder for at kompromittere sikkerheden på den
samlede produktportefølje og ikke kun på et produkt.
Selve driftssikkerheden for et produkt bindes ofte op på
secure-boot, secure-update og netværkssikkerhed. Her findes der
mange standard softwarekomponenter man kan trække på, dog skal
disse håndteres korrekt for ikke at åbne sikkerhedshuller. Samtidig
må sikkerheden på produktet ikke sløve den brugermæssige oplevelse
af produktet, hvorfor afvejninger af krypteringsmetoder og
implementering pludselig bliver meget væsentlige.
“I forhold til service, kommer man ikke udenom at sikkerhed kan
besværliggøre servicemedarbejderens arbejde. En “fælles”
servicenøgle for alle produkter vil forenkle servicen, men det vil
altid vil udgøre et sikkerhedsproblem. Man er derfor nødt til at
overveje en sikkerhedsinfrastruktur for at lette
servicemedarbejderens hverdag”, udtaler Mads Doré Hansen fra
Prevas.
Disse og mange andre overvejelser er efterhånden blevet hverdag
hos Prevas, der således har opbygget mange kompetencer indenfor
dette felt og løbende rådgiver danske industrivirksomheder indenfor
kryptografi og sikkerhed på industri- og brugerprodukter
