Pressemeddelelse -

Cybersikkerhedstjek åbner eksportdøre for virtuel sparegris

ERNIT har udviklet en virtuel sparegris, der hjælper børn med at forstå begrebet med at spare op til deres ønsker. For at vise omverdenen, at deres IoT-produkt er sikkert i brug, fik ERNIT lavet en 3. parts sikkerhedsscreening hos Nordic IoT Centre. Godkendelsen er vigtig at have på plads både i forhold til kunderne, som er bankerne, og når ERNIT forhandler med eksportmarkederne.

Cybersikkerhed er en central parameter for den danske opstartsvirksomhed ERNIT. Virksomheden har udviklet en virtuel sparegris, der lærer børn at spare op ved hjælp af IoT-teknologi.

Ideen til ERNIT blev skabt en nytårsaften for godt fire år siden, da virksomhedens grundlæggere, der alle er familiefædre, drøftede, hvordan de kunne give deres børn den bedst mulige økonomiske start på livet. De havde selv sparegrise som børn, men da al betaling i dag foregår via kreditkort eller mobilen, kunne de se, at deres børn ikke havde de samme opsparings-vaner.

Det fik de tre iværksættere til at konstruere en IoT-løsning, der består af en app, der er koblet op til en fysisk sparegris med elektronik i. Hver gang forældre, bedsteforældre eller en anden overfører penge, så lyser sparegrisen op og kommer med lyde, så barnet kan se, hvordan det går med deres opsparingsmål. Ønskerne kan de indtaste i app’en – det kan være alt fra en ny cykel, dukke eller en fodbold.

”Netop legen og det, at vi gør en triviel opgave som opsparing til et spil og en konkurrence, er en central del af ERNIT. Sparegrisen er med til at motivere og med til at fortælle børn, at penge faktisk eksisterer,” fortæller Søren Nielsen, direktør i ERNIT og den ene af de tre grundlæggere.

Følsomme dataområder kræver høj troværdighed

I kraft af at ERNIT’s produkt henvender sig til børn og har med deres penge at gøre, stiller deres kunder og samarbejdspartnere ekstra høje krav til sikkerheden omkring produktet. Derfor henvendte ERNIT sig til Nordic IoT Centre, for at få lavet en sikkerhedsscreening.

”Vi skal bruge sikkerhedsscreeningen og UL-2900-1 godkendelsen til at øge trygheden og tilliden til produktet blandt vores slutbrugere, bankerne, som vi samarbejder med, og investorerne, som har skudt penge i ERNIT. Vores produkt involverer både penge og børn. Dette er nogle af de mest følsomme dataområder, som kræver meget høj troværdighed omkring produktet,” forklarer Søren Nielsen.

Sikkerhedsscreening skaber troværdighed til produktet

De to samarbejdende GTS-institutter i Nordic IoT Centre, FORCE Technology og Alexandra Instituttet, foretog sikkerhedsscreeningen af ERNITs’ sparegris ud fra UL 2900-1 standarden. Standarden er pt. den mest operationelle standard at screene fysiske IoT-devices ud fra, eftersom der ikke findes en tilsvarende og velegnet europæisk standard.

Nordic IoT Centres rolle som uvildig 3. part har stor betydning for ERNIT:

”Det er vigtigt for os at få en uvildig 3. part til at lave en sikkerhedsscreening af vores produkt for at skabe maksimal tryghed i forhold til produktet. Vi tror på, at en sikkerhedsscreening udført af en uvildig 3. part skaber større troværdighed omkring produktet, end hvis den var udført af os selv. Det kan hjælpe med at lukke de huller, der kan være. Fordi vi er heller ikke ufejlbarlige,” fortæller Søren Nielsen.

En grundig gennemgang af produktet

Selve sikkerhedsscreeningen bestod af tre dele.

Først foretog FORCE Technology en verificering af ERNIT’s selfassessment, hvor produktdokumentationen og produktets tiltænkte brug (”intended use”) blev gennemgået. Hvad skal produktet bruges til, i hvilken sammenhæng bruges det, og er der firewall før produktet er typiske spørgsmål, der bliver undersøgt. Derefter validerede FORCE Technology ERNIT’s Risc Management Report. Rapporten beskriver hvilke risici, der er ved produktet, og hvordan ERNIT arbejder på at reducere risikoen.

Det næste skridt var en mere fysisk test af produktets sikkerhed. Her udsatte FORCE Technology den elektronisk sparegris for flere forskellige test så som sårbarhedstest, infektionstest og krypteringstest. Undervejs blev det tjekket, om produktet havde vira eller malware og om det var sårbart overfor cyberangreb.

Afslutningsvis foretog Alexandra Instituttets Security Lab et kode-review, hvor de analyserede produktets source-kode for at finde kode-stumper med fejl i, der skulle rettes. De kiggede både på, om ERNIT’s egen kode var skrevet fornuftigt, og om der var kendte sårbarheder i de eksterne kodestumper, som de også bruger. Kode-reviewet blev udført af en fagperson, som er specialist i netop det kodesprog, der er brugt i produktet.

Undervejs i forløbet var der en god dialog mellem Nordic IoT-Centre og ERNIT for at få afdækket og besvaret forskellige aspekter af de ting, der blev undersøgt. Når virksomheder får lavet en sikkerhedsscreening af deres produkt, skal de være klar på at afsætte tid til at besvare spørgsmål, der måtte dukke op undervejs for eksempel til dokumentationsmaterialet.

Klare salgsfordele

Mange danske virksomheder mangler et sikkerhedscertifikat at henvise til, når de skal sælge deres IoT-produkter, for kunderne vil forvisses om, at IoT-produkterne er sikre i brug og har et højt beskyttelsesniveau mod vira og hacker-angreb.

For ERNIT er der tydelige salgsfordele forbundet med at få en cybersikkerhedsgodkendelse, ikke mindst fordi den kan være med til at differentiere virksomheden fra konkurrenterne:

”En UL2900-1 sikkerhedsgodkendelse af vores produkt vil give os klare konkurrencemæssige fordele i forhold til vores konkurrenter. I vores salgsarbejde bliver vi ofte mødt med spørgsmål vedrørende produktets sikkerhed, og vi er sikker på, at hvis vi kan fremvise en UL2900-1 sikkerhedsgodkendelse, vil det åbne nye døre og føre til et øget salg af ERNIT produktet, siger Søren Nielsen.

European Cybersecurity Act i støbeskeen

Flere danske virksomheder oplever problemer med splittelse af krav i forbindelse med eksport. Altså at deres IoT-produkt bliver mødt af ét sæt cybersikkerhedskrav hos en kunde i ét land, og et andet sæt af krav hos den næste kunde i et andet land. Derfor er det essentielt, at der bliver etableret en fælles certificeringsordning på tværs af EU baseret på internationale standarder.

På europæisk plan arbejder FORCE Technology aktivt sammen med Dansk Standard for få udfærdiget en europæisk certificeringsmodel (Cybersecurity Act) for cybersikkerhedsscreening. Indtil denne model er vedtaget vil standarder som UL-2900-1 blive benyttet til sikkerhedsgodkendelse.

Yderligere information

Hvis du har lyst til at vide mere om cybersikkerhedsscreening af IoT-produkter, UL2900-1 godkendelse samt kode-review, kan du kontakte:

Gert Læssøe Mikkelsen, Head of Security Lab, Alexandra Instituttet gert.l.mikkelsen@alexandra.dk, tlf. +45 24 26 99 11.

Anders P. Mynster, seniorkonsulent, FORCE Technology, apm@force.dk, tlf. +45 43 25 14 25.

Related links

Emner

  • Erhverv

Kategorier

  • internet of things
  • software
  • smarte produkter
  • industri 4.0
  • digitalisering
  • security
  • maskinlæring
  • big data

100 specialister samlet under ét tag

Alexandra Instituttet er en almennyttig virksomhed, der arbejder med forskningsbaseret it-innovation. Sammen med offentlige og private virksomheder udvikler vi avancerede og innovative it-løsninger, der skaber vækst, effektive og sikre løsninger, samt nyskabende brugsoplevelser. Digitalisering er et væsentligt redskab til at opnå vækst og velfærd i samfundet. Med vores viden om software, interaktionsteknologi, mobile platforme, udviklingsmetoder, UX og samspillet mellem bruger, teknologi og forretning hjælper vi offentlige og private virksomheder med at udvikle innovative, it-baserede produkter og services – og med at opnå nye forretningsmæssige gevinster. Det giver vores samarbejdspartnere flere års forspring i forhold til deres konkurrenter.

Alexandra Instituttet har ca. 100 medarbejdere med forskellige baggrunde, der spænder over dataloger, arkitekter, antropologer, ingeniører, designere, forretningsudviklere mv. Vores tværfaglighed er en styrke, som vi udnytter til at skabe innovative løsninger for vores kunder og samarbejdspartnere baseret på en dyb forståelse af den brugsmæssige og forretningsmæssige kontekst. Vi er en del af det danske innovationssystem og er et af Danmarks otte GTS-institutter (Godkendt Teknologisk Service). Det betyder, at vi er godkendt af uddannelses- og forskningsministeren som et institut, der kan omsætte forskning til værdi.

Relateret materiale

Nyt nordisk IoT-center hjælper virksomheder med at udnytte IoT-potentialet

Danmarks to førende kapaciteter på teknologisk service inden for Internet-of-Things (IoT), FORCE Technology og Alexandra Instituttet, går sammen om Nordic IoT Centre og tilbyder dermed industrien en efterspurgt one-stop-shop for udvikling og praktisk implementering af IoT-løsninger.

Danske it-virksomheder er generelt godt forberedt på persondataforordningen

EU’s persondataforordning stiller nye krav til virksomheders håndtering af data. Men med godt et halvt år til at forordningen træder i kraft, er danske it-virksomheder generelt godt forberedt på forordningen. Det viser de foreløbige resultater fra Alexandra Instituttet, der er i gang med at undersøge, hvilke udfordringer danske it-virksomheder har i forhold til implementering af forordningen.

Vi står over for den fjerde industrielle revolution

Markedet for smarte produkter er i voldsom vækst, men en undersøgelse viser, at danske produktionsvirksomheder ikke er kommet helt med på bølgen. Det vil derfor være oplagt at udvikle teknologiske serviceydelser, der kan stimulere væksten af smarte produkter og ydelser, mener Kaj Grønbæk, professor på Institut for Datalogi på AU og områdechef for Interaction på Alexandra Instituttet.