I dag er sikker software ifølge Karsten Dahl Vandrup, der er medstifter af NESP.ONE, blevet en strategisk nødvendighed. Alligevel ser han ofte, hvordan alt for mange virksomheder fortsat arbejder uden systematik, viden og sikre udviklingsprocesser.

”Det er ret problematisk, at der ikke er særlig mange, der kender til udviklingen indenfor sikker software,” siger han og påpeger at sikre udviklingsprocesser hverken fylder nok i uddannelsessystemet eller i praksis:

”Når du læser til softwareingeniør, er det i dag et faktum, at du ikke lærer, hvordan du udvikler sikker software. På samme måde ser jeg igen og igen, hvordan virksomheder vælger sikkerheden fra, når der er travlt. Problemet er, at det i sidste ende efterlader virksomhederne i en sårbar position – både i forhold til den øgede cybertrussel og de nye EU-krav.”

Treenigheden i sikker softwareudvikling En af hovedfilosofierne i NESP.ONE tager udgangspunkt i Karsten Dahl Vandrups arbejde med KTL-modellen – en model, der forbinder kultur, teknologi og ledelse, og skaber en ramme for udviklingen af sikker software.

”I NESP.ONE arbejder vi ud fra et fundament, der handler om, at ledelsen skal sætte retningen. Cybersikkerhed skal ikke være noget, udviklingsteamet ‘måske når, hvis der er tid’. Det bør være en prioritet fra toppen, og en proces, der skal ejes af virksomheden selv.”

”Vores filosofi er, at der skal skabes en treenighed. Udover at ledelsen skal prioritere sikker software, skal der skabes en fælles sikkerhedskultur i virksomheden, hvor alle medarbejdere tager ansvar. Hertil skal arbejdet med sikker software understøttes af de rigtige værktøjer.”

Nye lovkrav ændrer spillereglerne Med NIS2, DORA og den kommende Cyber Resilience Act bliver kravene til sikkerhed langt mere kontrollerbare.

”De nye lovgivninger stiller krav til, at den software, man køber, skal være udviklet af folk, som kan dokumentere en sikker udviklingsproces. NIS2, DORA og Cyber Resilience Act ændrer spillereglerne – og giver en konkurrencefordel til de europæiske virksomheder, der går forrest i forhold til sikkerheden,” siger Karsten Dahl Vandrup og afslutter:
”Hos NESP.ONE arbejder vi tæt sammen med softwarevirksomheder, hjælper dem med at analysere deres nuværende processer, forstå lovkravene og implementere konkrete praktiske løsninger. Kort sagt uddanner vi virksomhederne til at kunne drive det hele selv. Ellers virker det ikke.”

Om Karsten Dahl Vandrup Karsten Dahl Vandrup er IT-sikkerhedsspecialist, lektor i cybersikkerhed og medstifter af rådgivningsvirksomheden NESP.ONE. Han har en baggrund som leder i industrien og er medforfatter til bogen IT-sikkerhed i praksis (Samfundslitteratur 2022). I dag hjælper han virksomheder med at integrere sikkerhed i deres softwareudvikling – på en måde, hvor de selv tager ejerskab og får processerne til at leve i hverdagen.