Vi har tidigare skrivit en artikel på ämnet Security by Design där vi just adresserar hur du kan komma i gång och vad du bör tänka på för att börja jobba mer säkert i systemutvecklingsprocessen. Nu kommer det ytterligare krav på säkerheten i verksamheter. Det nya lagförslaget från EU, Cyber Resilience Act (CRA), är fortfarande i ett tidigt skede i lagstiftningsprocessen. Med det sagt så kommer det löna sig oavsett att redan nu börja ta tag i de lågt hängande frukterna i sin systemutvecklingsprocess. Det finns många saker du kan göra utan att ha alla regler och lagar på plats i syfte att skapa en så säker produkt som möjligt och ligga steget före CRA. Så vad innebär då CRA? Min kollega Henrik, Head of Legal, har sammanfattat vad vi än så länge vet om lagförslaget här, men för att citera honom kort:
“CRA innehåller regler för produkters motståndskraft mot cyberattacker och gäller genom hela produktens livscykel. Det innebär därför att även support och vidareutveckling av produkten måste beakta CRA. Cybersäkerheten kommer alltså att behöva finnas med från ax till limpa; från design och utveckling tills dess att produkten tas bort från marknaden,” menar Henrik Ulander.
Tre nyckelområden
För att lyckas med att bygga in säkerhet redan från början behöver du tänka på tre nyckelområden: är kultur, processer och verktyg.
Kultur
För att bygga en kultur kring säkerhet är det viktigt att förstå att säkerhet inte bara är ett område för säkerhetsexperter. Säkerhet är till för alla, och det är allas ansvar. Eftersom säkerheten i en verksamhet bokstavligt talat är lika stark som den svagaste länken i kedjan betyder det att ett säkerhetstänk måste finnas överallt, hela tiden, och vara integrerat i de vanliga processerna. Ända från idé, till design-fas, och hela vägen till en fungerande tjänst i produktion. Osäker på vart du ska börja? Börja alltid med att öppna en dialog med medarbetare och ledare. Du behöver inte ha alla svar på en gång, men det är en viktig fråga att öppna upp.
Processer
När det gäller säkerhet i stort samt i själva systemutvecklingsprocessen så finns det inte någon ”one size fits all”. Säkerhet behöver hela tiden förfinas och förbättras för att stå emot yttre hot. Processer kring säkerhet kommer vara extremt viktigt att ha på plats om CRA blir verklighet. Processerna gör att du på ett enkelt sätt kan övervaka dina tjänster, ha koll på säkerheten i tredjepartprodukter samt ha koll på att ändringar du gör kan förändra det digitala elementet i produkten – så du måste säkerställa att ändringarna följer kraven i CRA.
Verktyg
Säkerhet inom systemutvecklingsprocessen inkluderar vi en stabil och skalbar arkitektur, med stark motståndskraft mot attacker och som minimerar eventuella följdproblem. Med en säker arkitektur möjliggör du sannolikheten för en mer säker infrastruktur och kod, Security by Design. Ju tidigare i en produktutvecklingsprocess du får in detta, desto säkrare och bättre blir det du skapar. Många verksamheter kommer dock förmodligen hamna i att “lappa och laga”-snurren. På kort sikt kommer detta troligtvis inte utgöra ett större hinder, men på lång sikt kommer det medföra segare utvecklingsprocesser och långsam Feature to Market, för att inte tala om risken det innebär att inte hinna lappa och laga i tid.
Avslutningsvis – ju tidigare du börjar anamma ett säkerhetstänk i utvecklingsprocessen desto bättre – för alla. Många av våra kunder upplever att de har en utmaning i att veta vart de ska börja, och för att veta det så gäller det att ha stenkoll på vart de står idag. Vi hjälper er självklart! Varför inte börja med att komma på vårt event “Säkrare utveckling för alla” den 6 september?