Cybersikkerhed i produkter

Senest opdateret d. 22/8-2016
DELTA
Resultatkontrakt 2016-2018 under temaerne Informations- og Kommunikationsteknologi og Produktionsteknologi
Thomas Bech Hansen
Executive Vice President

I 2020 forventes det, at ca. 50 milliarder produkter er forbundne til internettet. De store fordele i at forbinde produkter online medfører dog en sårbarhed over for potentielt misbrug. Da produkter i dag kan tilgås og distribueres over hele verden, skabes der i globaliseringens navn en sikkerhedsrisiko for såvel producenten, forbrugeren og potentielt for nationer. DELTA vil udvikle og tilbyde services, som assisterer udviklere og sikrer, at produkter lever op til gældende sikkerhedsstandarder.

1. Markeds- og samfundsbehov

I dag taler vi om sikkerhed på hjemmesider, overtagelse af Pc’er/mobiltelefoner og uhindret adgang til data i større systemer. Men hvad sker der, når 50 milliarder produkter er sluttet til internettet i 2020? Det skønnes allerede i dag, at 70 % af alle elektriske apparater er styret via software/services[1] samtidig med, at 80 % af den digitale infrastruktur er privatejet[2]. Truslen mod spionage, hacking, terror og fjendtlig overtagelse af apparater og infrastruktur bliver endnu mere reel i takt med, at flere enheder bliver koblet til cyberspace – og dermed adgang til at gøre fysisk skade på mennesker og samfund. Misbrugte eller forkert sensordata kan skabes ikke bare via hacking, men ved fysisk sabotage, som kan give uoverskuelige konsekvenser i sikkerhedskritiske anvendelser.

Tidligere var det kun blandt fagfolk, at sikkerhed havde betydning. Nu er relevansen nået helt ud til forbrugerne i dagligdagen fx fjernsyn, som overvåger samtaler[3], via sundhedsudstyr[4] og i biler[5], som alle kommer på nettet og kan overtages. Samtidigt optager det i stigende grad industrien[6], hvor truslen er erkendt og stigende[7]. Hvis ikke produkter (og infrastruktur) er robuste mod misbrug, kan det have vitale følger for den daglige drift, men også deres markeds tillid. Markedet begynder at efterspørge/stille krav om sikkerhed i produktet[8], men det forventes, at der over en 2-5 årig periode også bliver stillet krav til cybersikkerhed i produktet. (Konkret ONS/FDA, EU Direktiv, NATO, Digitaliseringsstyrelsen, nyt 27001 direktiv).

Det vil i særdeleshed være den produktudviklende del af dansk industri, som er målgruppe for aktiviteten. Primært virksomheder, som allerede eller i perioden sætter deres produkter på internettet. Dernæst de relaterede aktører hertil, fx dem som leverer netværks- og IT-løsninger, systemdesignere og SW udviklere, som er i berøring med såvel infrastruktur og produkter, fx energisektoren og andre store infrastrukturer, som gøres intelligente. Industrifokus vil især rettes mod særligt sikkerhedskritiske produktkategorier, fx medico, energi, forsyning, infrastruktur, militær/space, automotive.

I Danmark er der stort fokus på, at infrastruktur og IT-løsninger skal være sikre. Men der findes kun få løsninger og viden omkring, hvordan udviklingen af produkter gøres sikre. Det er her DELTA kan udvikle den teknologiske service igennem udvikling, formidling og opbygning af rådgivnings/test ydelser, som kan hjælpe virksomheder med at udvikle produkter, der lever op til internationale krav om øget sikkerhed. De færreste virksomheder har interne ressourcer til at kunne løfte en så videntung opgave, og særligt for SMV-segmentet er denne opgave uoverskuelig.

2. Ny teknologisk serviceydelse, kompetence og teknologi

I samarbejde med videnpartnere og industrien vil der efter aktivitetsperioden kunne udbydes følgende eksempler på teknologiske services:

  • Rådgivning om enklere/værdiskabende implementering af ISO 27001 i mindre og umodne virksomheder.
  • Rådgivning om best practice for udvikling af sikre elektronikprodukter (cybersikkerhed, privacy, datasikkerhed, hacking).
  • Efteruddannelse af virksomheder i forhold til Cybersikkerhed i produkter.
  • Etablering af Nordisk Screening Center for Produktcybersikkerhed for udveksling af viden og best practice.
  • Udbud af anerkendt sikkerhedstjek i samarbejde med Digitaliseringsstyrelsen.
  • Udbud af risiko assesments.
  • Rådgivning om nationale og internationale standarder for sikkerhed.
  • Service for ”Extreme Product Hacking” – netværk af antihackere, som kan finde produktets svage sider.

Lignende ydelser findes på IT-området, men eksisterer i dag ikke i Danmark på produktsiden, bl.a. da der endnu ikke er fuldt udviklede standarder. Forankringen i GTS-nettet vil være medvirkende til at sikre en national og uvildig tilstedeværelse af viden og services. Netop emnet taget i betragtning, er der brug for fortrolighed, neutralitet og uafhængighed for at have dialogen med virksomheder, da det kan have vital betydning for virksomhedens tillid i markedet og konkurrenceevne, hvis det rygtes, at de er svage på cybersikkerhed.

Videnmedarbejdere med sikkerhedskompetence er en mangelvare. DTU[9] uddanner i dag 20 nye dimittender om året – og totalt set 40-100 på landsplan. Disse bliver opslugt af myndigheder, større virksomheder og internationale konsulentvirksomheder. Det er ikke nok til, at mindre danske virksomheder kan få adgang til viden på en økonomisk tilgængelig måde og dermed en barriere for vækst og innovation.

3. Centrale aktiviteter

For at etablere dette serviceudbud skal der gennemføres følgende centrale elementer af videnopbygning, -hjemtagning og – formidling:

  • Deltage i lovgivning og standardisering, hvoraf der skabes viden om implementérbare sikkerhedslovgivninger.
  • Etablering af lokalt testcenter for cybersikkerhed i produkter (i samarbejde med EU’s Research C©enter i Milano og ENISA).
  • Formidle viden og kompetencer i samarbejde med Center for Dansk Cybersikkerhed (fokus på avancerede cybersikkerhedsudfordringer).
  • Implementering af sikkerhedsprocesser i produktudvikling igennem testforløb for at skabe demonstrationscases for mindre virksomheder.
  • Formidle, påvirke og nationalt samarbejde omkring åbne standarder for sikkerhed i forhold til Nationale, NATO og EU direktiver på vej.
  • Etablering af National Council a la hollandsk model på tværs af produktudviklere, universiteter og myndigheder.
  • Implementere ny viden i uddannelsesforløb på både universiteter og tekniske skoler, da der i dag er for få uddannede med kompetencer inden for cybersikkerhed.

 4. Mulige samarbejdspartnere

  • Offentlige sikkerhedstjenester fx FE, PET, Center for Cybersikkerhed og Digitaliseringsstyrelsen er centrale for de krav, som i fremtiden vil blive stillet.
  • Branche og interesseorganisationer fx DI ITEK, Dansk Erhverv, Atlantsammenslutningen og Innovationsnetværket CFIR er centrale samarbejdspartnere for at nå ud til industrien og afdække behov og problemstillinger.
  • Myndigheder fx Erhvervsstyrelsen, Sikkerhedsstyrelsen og andre vil skulle implementere krav og blive mødt med behov fra industrien.
  • Internationale sikkerhedsorganisationer, fx FDA, EU’s Research Center i Milano vil være vigtige for videnhjemtagning.
  • Rådgivende og andre virksomheder som beskæftiger sig med sikkerhed: fx COPITS, Siscon vil være sparringspartnere i udvikling af sammenhængende rådgivningsydelser.
  • Uddannelsesinstitutioner, fx DTU Compute, SDU og Forsvarsakademiet har forskningsaktiviteter på dette felt.

Nøgleord

18 kommentarer

Herunder er indlæg og kommentarer fra interessenter på aktiviteter og aktivitetsforslag.

Paul Feng (Directør, COPAC ApS)
Fredag d. 8/5-15 kl. 11:48

Medical instrument data will be an interesting research sector for DELTA.

Mvh,
Paul,

Thomas Bech Hansen (Executive Vice President, DELTA)
Tirsdag d. 12/5-15 kl. 06:57

Dear Paul,
Thank you for the suggestion on medical devices as a focus area. For sure medical devices and data are one of the more sensitive / critical areas when it comes to cybersecurity.
Br
Thomas

Daniel Bachmann (CEO, IoT Denmark A/S)
Fredag d. 8/5-15 kl. 12:02

Det lader klart til at der med den mangfoldige udvikling der er indenfor området Internet of Things, er behov for mange steder at se på lovgivningen og væsentlige ændringer hertil.
Alt fra sikkerhed, som digital brug af opsamlet data til bl.a. alarmering og godkendelser er emner der trænger til alvorlige renovationer og gen-overvejelser.

Thomas Bech Hansen (Executive Vice President, DELTA)
Tirsdag d. 12/5-15 kl. 06:59

Kære Daniel,
tak for dine refleksioner. Du har ret, at meget af den traditionelle tilgang til regler og rammer skal efterses, når trusler mod Cyberangreb på produkter og systemer øges.
bedste hilsner
Thomas

Jørgen Andersen (CEO, Green Tech Center A/S)
Fredag d. 8/5-15 kl. 16:42

Green Tech Center i Vejle er et nationalt demonstrations og kommercialiseringscenter som hjælper grønne teknologi levendører ud på markedet i Danmark og udlandet. Vi arbejder meget med Smart Grid produkter som skal sikre to-vejs dialog mellem det lokale el/varme grid og bygningers CTS/BMS anlæg, varmepumper m.v. Her er sikker kommunikation og hærværk meget vigtig og relevant viden for vores virksomheder når de arbejder med nye smart grid ready teknologier. Så vi vil gerne understøtte dette arbejde.

Thomas Bech Hansen (Executive Vice President, DELTA)
Tirsdag d. 12/5-15 kl. 07:01

Kære Jørgen,

Tak for din gode pointe om, at f.eks. Smart Grid og vores infrastruktur i det hele taget er kritiske områder, sårbare for angreb.

Jeg glæder mig til at se, hvor langt I er nået i Vejle.
bedste hilsner
Thomas

Claus Amtrup Andersen (Direktør, EURISCO ApS)
Mandag d. 11/5-15 kl. 14:24

I relation til Cybersikkerhed i produkter er der specielt 2 områder som vi gerne ser styrket.
1. Etablering af Nordisk Screening Center for Produktcybersikkerhed for udveksling af viden og best practice.
2. Rådgivning om nationale og internationale standarder for sikkerhed.

Begge disse tiltag vil kunne styrke en national produktudvikling, hvor danske virksomheder kan være på forkant med højteknologiske sikkerhedsprodukter, hvor troværdighed er nøgleordet.

Thomas Bech Hansen (Executive Vice President, DELTA)
Tirsdag d. 12/5-15 kl. 07:03

Kære Claus,
Tak for to meget konkrete forslag til, hvor du ser fokus bør være. Screening Centret er en rigtig god idé - og særligt at kigge på det samlet set i Norden, da det er samme udfordring vi i alle landene møder - samt skal løse det i samarbejde, også for at have kritisk masse i viden om product cybersikkerhed.
bedste hilsner
Thomas

Tom Togsverd (Underdirektør, DI)
Tirsdag d. 12/5-15 kl. 13:32

Dette projekt er yderst relevant. DI ITEK har peget på manglende myndighedskrav f.eks. ved godkendelse af pacemakere, som det ville være katastrofalt at kunne hack'e. Og med IoT på fremmarch er der et ekstra behov for at sikre produkter og systemer mod hackning og andre former for cyber-misbrug.

Thomas Bech Hansen (Executive Vice President, DELTA)
Tirsdag d. 12/5-15 kl. 14:20

Kære Tom,
Tak for din kommentar og fine kobling til IoT området, hvor dette særligt vil blive en udfordring. DELTA har med glæde kunnet konstatere, at DI ITEK har været tidligt ude med fokus på Cybersikkerhed og anvist de steder, hvor der er behov for indsatser.
bedste hilsner
Thomas

John Michael Foley (Adm. direktør - CEO, COPITS - Center for Private-Public ICT)
Onsdag d. 13/5-15 kl. 10:40

Tak til DELTA for dette fremragende initiativ. Det kan kun gå for langsomt med at få etableret det beskrevne testcenter. Danmark kan virkelig blive foregangsland og banebrydende på dette særdeles vigtige område. Specielt er det vigtigt at finde frem til de kriterier m.m., der skal benyttes ved de omtalte screeninger. Endvidere må screening centeret ikke blive et forsinkende led. Tillige foreslås, at der indgås et tæt samarbejde med EU's Research Center, der kunne blive det sted, hvor ekspertise og erfaringer samles på EU niveau. Som dansk medlem af EU's Network and Information Security Platform (NISP) vil jeg gerne bidrage og hjælpe til at DELTA's projekt bærers videre i internationalt regi. Held og lykke med projektet, som sagt kan kan kun gå for langsomt med at få centeret gjort operativt. Behovet er helt klart til stede.

Thomas Bech Hansen (Executive Vice President, DELTA)
Torsdag d. 14/5-15 kl. 09:53

Kære John,
Tak for opbakningen - og ikke mindst forslag til forbedring og de internationale relationer. Endeligt tak for tilbud om at bidrage fremadrettet i skabelsen, det bliver helt afgørende, at de centralt placerede personer kan træde sammen og sikre, at udviklingen får retning og fart.
Mvh
Thomas

Mille Østerlund (programchef, KEA)
Onsdag d. 13/5-15 kl. 13:21

Dette er et vigtigt fokusområde som vi på KEA Digital gerne bidrager til at udfolde. Som en del af regeringens strategi for cyber- og it-sikkerhed er der nedsat et nationalt netværk, hvor vi blandt andet skal se på uddannelses- og forskningsmæssige behov. Allerede nu mangler der medarbejdere med spidskompetencer inden for it-sikkerhed, og behovet for kvalificeret arbejdskraft inde for dette område vil vokse de kommende år. Hvis vi skal kunne dække kompetence- og uddannelsesbehovet, er der brug for at vi arbejder tæt sammen om denne dagsorden på tværs af universiteter, erhvervsakademier, virksomheder og organisationer. Dette projekt har potentialerne til at være medskaber af et sådant tættere samarbejde.

Thomas Bech Hansen (Executive Vice President, DELTA)
Torsdag d. 14/5-15 kl. 09:56

Kære Mille,
Tak for indspark - og det fokus, som du også sætter på kompetencesiden, hvor vi er langt under kritisk masse i Danmark, når vi ser de potentielle trusler øges. Derfor er uddannelsesaspektet særligt vigtigt at få medtænkt - tak for den pointe.
Mvh
Thomas

Anders Pall Skött (Seniorkonsulent, Innovationsnetværket for Finans IT / CFIR)
Onsdag d. 13/5-15 kl. 15:22

Der er stort behovet for kompetencer, viden og teknologi indenfor cyber- og informationssikkerhed. Det gælder ikke mindst inden den finansielle sektor og finansiel teknologi, da betalinger, følsomme person- og virksomhedsdata med videre ofte er mål for sikkerhedsbrister eller cyberangreb. Der er behov for et fælles sprog og en større sikkerhedsmæssig forståelse af måder at mindske og håndtere risikoen og skabe en sikker anvendelse af teknologi for at beskytte borgere og forbrugere.

Derfor er it-sikkerhed, cybercrime og cybersikkerhed et fokusområde for CFIR og Innovationsnetværket for Finans IT. Vi arbejder på en national styrkelse af kompetence og forskning på området med universiteter, GTSer, organisationer og virksomheder. Derfor ser vi det som et glædeligt initiativ at både DELTA, DBI og Alexandra Instituttet er kommet med forslag indenfor cybersikkerhed og cybercrime.

DELTA og Alexandra Instituttet er partnere i innovationsnetværket for Fi-nans IT og vi har gode konkrete erfaringer med Alexandra Instituttets arbejde indenfor bl.a. it-sikkerhed og identitet og DELTA indenfor produktudvikling.Vi håber derfor, at der etableres et eller flere projekter indenfor cybersikkerhed, gerne i samarbejde mellem de relevante GTS og Innovationsnetværk. Vi bidrager og deltager gerne.
Nogle af de konkrete anbefalinger vi har til arbejdet med cybersikkerhed er #1 at sørge for en infrastruktur, der modstår dDoS-angreb bedre så dyr eller katastrofal nedetid undgås. #2 at sørge for en arkitektur, der modstår Advanced Persistent Threats (APT) bedre så utilsigtet data-eksponering og svindel undgås internt fra. #3 at sørge for sikkerhedsmodeller, der modstår hacking bedre så malware angreb mod fx bankers og offentliges hjemmesider mv. undgås. #4 sørge for krav til device og operativ systemer, der modstår malware bedre for at så samfundsproblemer som spam, ulovlig fildeling, botnets, osv. undgås.

Thomas Bech Hansen (Executive Vice President, DELTA)
Torsdag d. 14/5-15 kl. 09:59

Kære Anders,
tak for tilkendegivelsen og udbygning med gode faglige pointer. Vores fokus er på produktsiden af cybersikkerheden - som et led i det samlede trusselsbillede - og ofte overset i forhold til den mere klassiske IT side. Innovationsnetværket er et oplagt opdrejningspunkt for at øge og sprede viden herom og hilser samarbejdet velkommen!
bedste hilsner
Thomas

Kristian Baasch Thomsen
Onsdag d. 13/5-15 kl. 18:00

Et godt og meget relevant initiativ. Nutids produkter er designet i henhold til standarder, hvor man har fuld kontrol over den embedded software - der er ingen ekstern forbindelse til f.eks. vaskemaskinen eller komfuret. Standarderne tager også højde for Remote Operations og Functional Safety. Med ekstern forbindelse og kommunikation opstår muligheden for at overtage styringen af produktet og dermed potentielt også for at overtage sikkerhedskritiske Functional Safety dele af den embedded software. Fremtidens IoT produkter skal være designet så de fortsat er sikre, også når sikkerheden er etableret ved brug af sensorer, uP og embedded software (functional safety) og produktet samtidig er IoT.

Thomas Bech Hansen (Executive Vice President, DELTA)
Torsdag d. 14/5-15 kl. 10:00

Kære Kristian,
Vi er glade for dine input og konkretisering af udfordringen på produktniveau. Særligt i kombination med IoT udvikling, øges behovet for sikkerhed - også på produktniveau.
bedste hilsner
Thomas