Produktcyber-säkerhet i en föränderlig värld
Intervju med Alexander Tollet
I en värld där digitalisering och uppkopplade system växer i rasande fart, blir produktsäkerhet och cybersäkerhet allt mer avgörande. Vi satte oss ner med Alexander Tollet, expert på området och senior säkerhetskonsult på HiQ, för att få hans insikter om vad företag behöver tänka på när det gäller produktsäkerhet.
Vilka är de största utmaningarna med produkt-
och cybersäkerhet idag?
– Den största utmaningen är att få företag att förstå att cybersäkerhet inte bara handlar om tekniska lösningar eller enskilda produkter – det måste genomsyra hela deras organisation. Cybersäkerhet måste integreras i varje aspekt av hur företaget utvecklar produkter, hanterar sina leverantörer och stöttar sina kunder. Det är viktigt att företag inser att säkerhet inte är en isolerad del av utvecklingsprocessen, utan en kontinuerlig, strategisk fråga som kräver att alla delar av verksamheten – från ledning till utvecklingsteam – arbetar utifrån samma säkerhetstänk.
Det handlar alltså inte bara om att skydda mjukvaran, utan om att säkra hela ekosystemet – från hårdvara och molntjänster till nätverk och tredjepartskomponenter. Företagen måste bygga in säkerhet i varje led, säkerställa att leverantörer uppfyller samma säkerhetskrav och att kunder får stöd i hur de ska använda produkterna på ett säkert sätt.
Finns det fler aspekter man behöver ta in?
– Om företagets kunder omfattas av någon cybersäkerhetslagstiftning, eller om de själva har ett välfungerande cybersäkerhetsarbete, kommer de också att ställa krav på sina leverantörer att ha fungerande säkerhetsrutiner på plats. Det blir avgörande för att kunna fortsätta leverera till dessa kunder och upprätthålla affärsrelationen.
Att inte ha ett heltäckande säkerhetsarbete kan alltså få allvarliga konsekvenser för företaget om en säkerhetsincident inträffar. Brist på integrerad säkerhet kan leda till stora ekonomiska förluster, skador på varumärket och rättsliga påföljder. Därför är ett proaktivt och systematiskt säkerhetsarbete avgörande för företagets överlevnad och framgång.
Man pratar ofta om ”Security by Design” i det här
sammanhanget. Vad innebär det konkret för företag
som utvecklar produkter?
– Security by Design är en metod där säkerheten är en grundläggande del av hela produktutvecklingsprocessen, från koncept till leverans och vidare genom hela produktens livscykel.
Med det här tankesättet blir säkerhet en central del av produktutvecklingen från allra första början. För företag som utvecklar produkter betyder det att säkerheten inte får vara något som adderas i efterhand, utan måste vara en integrerad del av hela processen. Det innebär att man systematiskt identifierar och hanterar potentiella säkerhetsrisker tidigt, vare sig det gäller att skydda datakommunikation, säkra användaråtkomst, eller att se till att alla komponenter i produkten är säkra.
Ett centralt verktyg är standarden ISA/IEC 62443, som vi ofta arbetar med. Den används både för att säkerställa att företagets organisation och produkter följer säkerhetskraven. Genom att implementera säkerhet i både interna processer och produktutveckling, täcker företag de grundläggande säkerhetskrav som krävs för att skydda både deras verksamhet och deras produkter. På så sätt kan man undvika de svårigheter och kostnader som uppstår när säkerhet försöker läggas till i efterhand.
Hur arbetar HiQ med att stötta företag i deras
säkerhetsarbete?
– HiQ kan stödja företag genom hela utvecklingsprocessen när det gäller produktsäkerhet och cybersäkerhet. Det bästa tillvägagångssättet är att ta ett helhetsgrepp, där vi börjar med att analysera både företagets organisation och dess produkter för att förstå var de står idag. Vi kartlägger vilka cybersäkerhetsstandarder, ramverk och lagkrav som företaget omfattas av, och genomför en GAP-analys på organisationen för att identifiera eventuella brister i förhållande till dessa krav.
När vi har en tydlig bild av företagets nuvarande situation, arbetar vi tillsammans med er för att ta fram en prioriterad plan för hur ni bäst kan implementera cybersäkerhet, både inom organisationen och i era produkter. HiQ erbjuder sedan stöd genom hela implementeringsprocessen för att säkerställa att alla åtgärder införs korrekt och effektivt.
HiQ kan stödja företag genom hela utvecklingsprocessen när det gäller produktsäkerhet och cybersäkerhet. Det bästa tillvägagångssättet är att ta ett helhetsgrepp, där vi börjar med att analysera både företagets organisation och dess produkter för att förstå var de står idag.
Alexander Tollet, Senior säkerhetskonsult, HiQ
För den som inte kan ta ett helhetsgrepp från start,
var ska man börja?
– Så är det, många företag har inte lyxen att kunna ta ett helhetsgrepp på hela företaget och alla produkter på en gång. I dom fallen är det bäst att identifiera en eller flera nyckelprodukter att fokusera på. Då kan vi genomföra hotmodellering på de produkterna och se till att cybersäkerhet implementeras där först. Parallellt gör vi en GAP-analys på de projekt som utvecklar produkterna, för att säkerställa en cybersäker utvecklingsprocess. På det här sättet får företaget en solid grund för de viktigaste produkterna och projekten, vilket sedan kan utvidgas till hela företagets organisation och övriga produkter.
HiQ kan dessutom tillhandahålla resurskonsulter som stärker er organisation inom olika områden av cybersäkerhet, såsom GAP-analys, processimplementering, hotmodellering, säkerhetstestning och säkerhetscertifieringar. Det ger er möjlighet att bygga upp intern kompetens samtidigt som ni driver ert säkerhetsarbete framåt på ett strukturerat och effektivt sätt.
Vi erbjuder även hjälp med utbildning av företagets personal i relevanta säkerhetsstandarder, ramverk och lagstiftning, som exempelvis IEC 62443, NIS2 och CRA m.m.
Hur ser du på framtiden för cybersäkerhet
och produktsäkerhet?
– Jag tror att vi kommer att se en ännu starkare koppling mellan lagstiftning och cybersäkerhet. Direktiven som kommer, som exempelvis NIS2 och Cyber Resilience Act, tvingar företag att ta säkerhetsfrågorna på allvar. Dom här lagarna kommer att ställa högre krav på företag att säkra sina produkter och att rapportera incidenter snabbt. Om företag inte lever upp till kraven kan det leda till både ekonomiska straff och varumärkesskador.
Och som sagt, om ett företag har kunder som omfattas av lagstiftningen, måste man följa kraven om man vill kunna leverera produkter till kunden.
Samtidigt kommer vi att se fler och fler uppkopplade enheter och system, vilket innebär att cybersäkerhet kommer att bli ännu mer komplext. Det blir därför viktigt att ha en helhetsbild och säkerställa att inte bara produkten, utan hela kedjan – från leverantörer till slutkund – är säker.
Tack för din tid, Alexander. Något avslutande
du vill skicka med oss?
– Tack själv! Jag skulle bara vilja understryka att säkerhet inte är ett projekt med en början och ett slut, det är en pågående process. Det krävs kontinuerlig övervakning, testning och uppdatering för att hålla produkterna säkra över tid. Och framför allt – utbilda era medarbetare. Den mänskliga faktorn är ofta den svagaste länken, så att ha personal som förstår säkerhetsutmaningarna är avgörande.
Ett välfungerande säkerhetsarbete är dessutom inte bara ett skydd för företaget, utan kan också vara en betydande konkurrensfördel. I en tid där kunder och affärspartners ställer allt högre krav på säkerhet, blir ett starkt säkerhetsarbete en möjlighet att differentiera sig på marknaden och bygga förtroende med både befintliga och nya kunder.
Vill du veta mer om produktsäkerhet och hur ditt företag kan arbeta proaktivt med cybersäkerhet? Kontakta oss på HiQ eller ladda ner vår e-bok om just säker produktutveckling.