12. september 2023
Når Grundfos udvikler et nyt produkt, har udviklerne en tjekliste på 250 spørgsmål, som skal sikre produktionen og produktet mod cyberangreb i hele produktets levetid. Det gælder både produktets hardware, software og app. Spørgsmålene på produktudviklernes liste er en Maggieterning af en række internationale standarder baseret på produktets CIA, som står for confidentiality, integrity og availability – fortrolighed, integritet og tilgængelighed.
- Tjeklisten bruges både i idé- og udviklingsfasen. Produktet skal bestå et vist niveau, før det kommer i produktion. Vi forsøger at sikre produktet så høj cybersikkerhed som muligt ud fra både eksisterende og kommende standarder, siger Kristian Baasch Thomsen, der er Lead Digital Compliance Specialist hos Grundfos og arbejder med virksomhedens cybersikkerhed.
I øjeblikket arbejder EU på Cyber Resilience Act – en cyberrobusthedslovgivning, som indeholder en lang række minimumskrav til produkter med digitale elementer. Kravene kommer til at gælde både hardware og software, det vil sige alt fra trådløse højtalere og printere til apps og hosting af hjemmesider.
- Lovforslaget skal sikre, at producenter implementerer et minimum af sikkerhedsforanstaltninger i deres produkt på en ordentlig måde, så vi får en fælles lovgivning for alle produkter, der bliver solgt i EU. Alle skal leve op til de krav, hvis de vil sælge deres varer på det indre marked, siger Jeppe Pilgaard Bjerre, der er specialist i FORCE-Technology, og som blandet andet arbejder med kvalitet og godkendelse af produkter herunder produktkrav.
Den nye lovgivning omfatter både produkter, som er produceret i EU, og importerede varer.
Normalt foretager fabrikanten en sikkerhedsvurdering og påfører produktet en CE-mærkning, når det kommer på markedet. I fremtiden vil fabrikanten også skulle foretage sikkerhedsvurderinger gennem hele produktets levetid. Desuden skal de håndtere sårbarheder i produktet.
Hvis der et sikkerhedshul, skal virksomheden kunne lave en opdatering og kommunikere det ud til deres kunder. Hvis sikkerhedsbristen er tilpas stor, skal den også indrapporteres til centrale myndigheder i forhold til en koordineret indsats for håndtering af sårbarhederne. Endelig skal producenterne også kunne dokumentere udviklingen og forholde sig til hele produktets livscyklus.
Selv om Cyber Resilience Act endnu ikke er blevet pensum i danske virksomheder, er Grundfos forberedt på fremtiden, og den standardiserede spørgeramme er et vigtigt værktøj i produktudviklingen.
- Spørgerammen gør, at vores udviklingsteams hele tiden debatterer og udfordrer hinanden i processen. Samtidig med vi hele tiden har fokus på CIA. Desuden har vi et forum, hvor vi deler vores erfaringer med cybersikkerhed, og har bootcamps, hvor eksterne foredragsholder udfordrer os, siger Kristian Baasch Thomsen fra Grundfos.
Ved at følge de nuværende standarder har virksomheden et godt udgangspunkt, når Cyber Resilience Act træder i kraft.
- Vi tager cybersikkerhed meget alvorligt og har derfor taget en lang række frivillige tiltag. Alt sammen for at sikre, at Grundfos hele tiden rykker produkternes- og den kritiske infrastrukturs sikkerhedsniveau. Vi forbereder os bedst muligt ved at stille en række krav til vores udviklingsproces og medarbejdere, men intet produkt kan være 100 procent sikkert, for vi er oppe imod den menneskelige hjerne, der søger at finde huller, påpeger Kristian Baasch Thomsen.
Torsdag d. 5. oktober, kl. 14 – 17 hos Dansk Standard eller online
På DS Cyberdag stiller vi skarpt på cyber- og informationssikkerhed, giver et indblik i den kommende lovgivning på området og præsenterer værktøjer, der kan hjælpe organisationer og virksomheder i gang med eller videre i arbejdet med cyber- og informationssikkerhed. Desuden giver DS Cyberdag inspiration til, hvordan virksomheder og organisationer imødegår de nye krav, og hvilken rolle standarder kan spille for at minimere cybertruslen.
Tilmeld digI Dansk Industri anbefaler seniorchefkonsulent Mette Peetz-Schou, at de danske virksomheder gør som Grundfos og allerede nu begynder at ruste sig til fremtiden.
- Virksomhederne bør have de kommende regler i mente, når de udvikler deres produkter. Det tager lang tid at udvikle nye produkter, og de nye regler stiller krav om, at udviklingsprocessen skal dokumenteres. Desuden har producenter af software ikke tidligere skulle forholde sig til, hvordan produktlovgivningen er skuet sammen, men det skal de fremadrettet, siger Mette Peetz-Schou. Hun er ansvarlig for at påvirke de kommende regler omkring produkters cybersikkerhed på vegne af de danske virksomheder i Dansk Industri.
På EU-niveau er der allerede vedtaget flere lovgivninger, som regulerer cybersikkerheden. Det gælder både de nye regler om maskiners sikkerhed, forbrugerprodukters sikkerhed og produkter, der indeholder en radio og er forbundet til internettet – såkaldt radioudstyr. Formålet med Cyber Resilience Act er at supplere og rydde op i reglerne, så en fabrikant så vidt muligt kun skal efterleve ét sæt lovkrav for samme produkt.
- Dansk Industri bakker op om, at der stilles krav til produkternes cybersikkerhed og har gennem flere år arbejdet for, at reglerne bliver så forståelige som muligt, og dobbeltregulering undgås. På den måde kan virksomhederne bruge flere ressourcer på at gøre produkterne sikre i stedet for at bruge dem på at forstå, hvad de mange regler i praksis betyder, siger seniorchefkonsulenten, der anbefaler virksomhederne at følge med i lovgivningsprocessen og tage stilling til, hvordan de eksisterende standarder allerede nu kan benyttes til at øge produkternes cybersikkerhed.
- Det er også en god idé at følge med i det igangværende arbejde med at udvikle standarder, der skal sikre cybersikkerhed for radioudstyr. De vil danne basis for de kommende standarder for produkter med digitale elementer, som Cyber Resilience Act regulerer, understreger Mette Peetz-Schou.
Ifølge Center for Cybersikkerhed er cybertruslen mod Danmark og danske virksomheder meget høj. Det gælder f.eks. risikoen for ransomware og cyberspionage. Sidste år steg antallet af hackerangreb mod danske virksomheder med 64 procent sammenlignet med året før.
- Det er en reel trussel for alle typer virksomheder. De kriminelle går ofte målrettet efter bestemte typer virksomheder, men også efter mere vilkårlige virksomheder. Vi er et digitaliseret land, så alle kan i princippet blive ramt, siger Jeppe Pilgaard Bjerre.
Han oplever, at danske virksomheder er blevet mere bevidste om cybertruslen, men da de kriminelle hele tiden finder nye metoder og indgangsvinkler til at komme ind i en virksomhed, er det ikke nok at installere en firewall og tro, at alt er godt.
- Virksomhederne skal holde sig opdaterede på nye cybertrusler og få sat det i system, så processerne omkring sikkerhed bliver udført systematisk. Her kan internationale anerkendte standarder være et værktøj, siger Jeppe Pilgaard Bjerre, der via Dansk Standard deltager i det europæiske udviklingsarbejde af nogle af disse standarder.
I forbindelse med Cyber Resilience Act skal der udvikles en række standarder. Arbejdet følges tæt at Dansk Standards udvalg for cyber- og informationssikkerhed, der består af over 30 danske virksomheder og myndigheder. Alle med viden på området kan deltage i udvalget, der er med til at sætte fremtidens standarder på området. Læs mere her: https://www.ds.dk/s-441
Deltag online på Dansk Standards Cyberdag torsdag den 5. oktober kl. 14-17. Læs mere og tilmeld dig her: www.ds.dk/cyberdag
ISO 27001 er en international ledelsesstandard for informationssikkerhed. Standarden er et styringsværktøj, der hjælper virksomheder til at beskytte værdifulde informationer - herunder persondata - på en sikker og troværdig måde.
ISO/IEC 27002 er en vejledning i at udvælge foranstaltninger i forbindelse med implementering af et ledelsessystem for informationssikkerhed.
ISO/IEC 27005 er en vejledende standard, der hjælper organisationer med at etablere en proces for risikostyring.
Standarden for privatlivsbeskyttelse, ISO/IEC 27701, er et ledelsesværktøj, som giver indblik i de arbejdsgange og foranstaltninger, som organisationer bør etablere for at opnå en passende beskyttelse af personoplysninger.
