Skaper tellekanter i erfaringer og regelverk

26-09-2017

I den digitale hverdagen resulterer mange nye mål, erfaringer, retningslinjer og regelverk i utvikling av ny programvarekode.
– Rundt 30 prosent av samlede utviklingskostnader kan knyttes til testing i forhold til compliance med sikkerhets- og myndighetskrav i virksomhetskritiske applikasjoner. Dette er mulig å kutte vesentlig.

Det sier administrerende direktør Erik Rosen i Prosa Security. Prosa er en oppstartsbedrift med basis i forskning ved Norsk regnesentral gjennom to tiår. Utgangspunktet var å jobbe for å unngå sikkerhetsfeil, herunder systematisk å ta hensyn til kunnskap om slike feil som andre allerede har begått ved programvareutvikling.

– Arbeid med IT-sikkerhet har vesentlige elementer av compliance i seg. Antall miljøer som utvikler programvare er i kraftig vekst og det er veldig mange måter å angripe utviklingsjobben på. Selv om veien er gått opp på forhånd, blir det gjort mange feil som kunne ha vært unngått ved å følge produsentenes retningslinjer og lytte til erfaringer, sier Rosen.

I dag jobber Prosa også med virksomheter som har krav til compliance med European Banking Authority/EUs betalingsdirektiv (PSD2) og ETSI sine standarder for digitale signaturer (ETSI EN 319 411).

Hold deg oppdatert! Legg igjen din epost og få informasjon om nye blogginnlegg, webinarer og eventer direkte i din innboks!

Forskning fra Norsk Regnesentral

Hva er programvare? En applikasjon? Er det noe frittstående? Et sett av funksjoner? Eller kanskje et kompleks av flere applikasjoner i en virksomhet?

– Svaret er ja til alt dette og enda mer. I den digitale transformasjonen vi nå ser er ikke bare den interne applikasjonsstrukturen og –lagene viktige, men også integrasjon med applikasjonene til myndigheter, kunder, leverandører og andre samarbeidspartnere, sier han.

– Integrasjonene er dessuten ikke nødvendigvis frivillige. Noen samarbeidspartnere er helt avgjørende for verdiskapningen og krav fra kunder om nye tjenester gjør det nødvendig å tilrettelegge for eksterne integrasjoner.

Forskningen ved Norsk Regnesentral og arbeidet som er videreført i Prosa har en strukturert og kompetansebasert tilnærming til sikkerhet. Verktøyene fanger opp logiske svakheter med basis i matematisk analyse. Kombinasjon av dette og systematiske analyser og modellering av vanlige tabber er basisen for Prosas analyse- og samhandlingsverktøy.

btn-top

Tellekanter for compliance

– Litt popularisert skaper vi tellekanter for compliance.

Virksomheter har sine oppgaver og måter å gjennomføre disse på. Dette nedfelles i virksomheten drift i form av regelverk for alt fra HMS til gjennomføring av serviceleveranser. I tillegg til slike interne regelverk må virksomhetene også følge omfattende sett av eksterne lover og regler.

– Det kommer stadig nye. PSD2 og GDPR er noe mange er opptatt av nå. For PSD2 er det sentralt å jobbe systematisk med compliance frem mot åpningen av betalingstransaksjonsmarkedet, mens det for GDPR gjelder en klar compliance-frist. 

btn-top

Dokumentert compliant

Et interessant aspekt ved for eksempel PSD2 er ikke bare om virksomheten er compliant, men om den kan dokumentere hvordan på en troverdig måte.

– Du kan selv kanskje være trygg på at virksomheten driver compliant, men hvordan kan andre forholde seg til dette? For eksempel kan det tenkes at du har stor tillit til interne metoder og egne medarbeidere, uten at dette er tilstrekkelig for eksterne, sier Rosen, og legger til:


"Vi vil mer og mer møte krav om både å være compliant og kunne dokumentere hvordan man faktisk er det. Ikke minst samarbeidspartnere, myndigheter og investorer er opptatt av dette."
Adm. dir. Erik Rosen, Prosa Security


I oktober 2016 var Prosa sterkt medvirkende til at norske Protectorias sikkerhetsplattform for smarttelefonbaserte betalingsløsninger som den aller første ble konseptuelt godkjent av tyske SRC GmbH. SRC eies av de fire største clearingsentrene for banker i Tyskland.

Overbevisende dokumentasjon til tyske SRC

– Vi brukte vår egen programvare til å bombardere Protectoria-løsningen med sikkerhetsrelaterte problemstillinger slik at de kunne styrke den ytterligere. Dernest leverte vi tilleggsdokumentasjon til SRC om strukturen. Kombinasjonen av dette var sterkt medvirkende til godkjenningen, sier Anders Hagalisletto, CTO, Prosa Security.

Godkjenningen satte Protectoria i en ledende posisjon i hele EU/EØS for sikkerhet for nye betalings-apper som skal godkjennes innenfor PSD2-direktivet.

– I devops-hverdagen blir dokumentasjonen enda viktigere. Vi har bare sett begynnelsen av at utviklere kan sette kode i drift med stadig kortere mellomrom. Da er det viktig at de har et felles referanseverk for analyse og test når det gjelder både kvalitet, sikkerhet og personvern, sier medgründer Åsmund Skomedal.

– Compliance-arbeid blir på denne måten bærende også i opplæring og kulturbygging, legger Rosen til. 

btn-top

Samhandling og analyse

Kompetansen til Prosa er nedfelt i Prosa Security Collaboration Platform som er et analyse- og samhandlingsverktøy for IT-sikkerhet og compliance. Programvaren gjør det mulig å analysere sikkerhet og compliance før ny kode settes i drift, nye applikasjoner blir koblet sammen eller underveis i en devops-prosess.

Verktøyet gir også dokumentasjon på hvilket tidspunkt en virksomhet konkret har fulgt opp feil og krav. Brukerne fôrer selv sitt lokalt installerte Prosa-verktøy med regelverk etter eget ønske og valg, mens Prosa ajourfører på blant annet IT-sikkerhet.

– Når sikkerhetskravene er spesifisert i verktøyet vil dette selv analysere om et sikkerhets-design innfrir kravene eller ikke. I neste omgang vil du vanligvis også simulere angrep mot designet i verktøyet. Du tester med andre ord ikke mot programvarekode, men innenfor et trygt rammeverk, forklarer Skomedal.

– Vi syns det er best å gjøre seg ferdige med sikkerhetsfeilene før koden går live.

btn-top

Tre sentrale GDPR-elementer

Skomedal har doktorgrad i IT-sikkerhet og har jobbet med løsningen i Norsk Regnesentral gjennom en årrekke. Han hevder at Prosa Security er alene på verdensbasis med denne type verktøy som på forhånd lar deg kontrollere sikkerhet og regelverksamsvar.

I juni kom Buypass inn på kundelisten. Kundene er typisk virksomheter med høye krav til sikkerhet og ofte komplekse programvareløsninger. Samarbeidet med Protectoria var katalysator for utviklingen av Prosas PSD2 Compliance-modul.

Ut av en håndfull GDPR-prinsipper har Prosa definert de tre elementene Formålsidentifisering, Samtykkehåndtering og Anonymisering som sentralt å løse IT-teknisk. Prosa sitt verktøy dekker ryggraden i dette – det som gjelder selve IT-sikkerheten og som er en forutsetning for å være GDPR-compliant.

Les mer om GDPR her.

btn-top

Compliance i en digital hverdag

I Basefarm er compliance med regelverk et stort og viktig tjenestefelt. I den digitale hverdag får nye interne og eksterne retningslinjer ansikt i form av programvarekode. Denne koden blir satt i drift i nært samarbeid av Basefarm og selskapets kunder.

IT-systemer skal utvikles i samsvar/compliance innenfor IT-sikkerhet, interne regelverk, retningslinjer fra myndigheter og offentlig regel/lovverk.

Krav-bildet er omfattende og i stadig utvikling på alle områder.

En årsak til at kode blir sendt i retur til utviklingsavdelingen, er mangel på compliance. Da må utviklerne jobbe videre med noe de egentlig hadde avsluttet. Det er demotiverende.

btn-top

Ta kontakt for mer informasjon om compliance

btn-top