Cybersikkerhedstjek åbner eksportdøre for virtuel sparegris

ERNIT har udviklet en virtuel sparegris, der hjælper børn med at forstå begrebet med at spare op til deres ønsker. For at vise omverdenen, at deres IoT-produkt er sikkert i brug, fik ERNIT foretaget en 3. parts sikkerhedsscreening hos Nordic IoT Centre. Godkendelsen er vigtig at have på plads både i forhold til kunderne, som er bankerne, og når ERNIT forhandler med eksportmarkederne. 

Af Nanna Bastved, FORCE Technology og Sebastian von Cappelen, Alexandra Instituttet

Cybersikkerhed er en central parameter for den danske opstartsvirksomhed ERNIT. Virksomheden har udviklet en virtuel sparegris, der lærer børn at spare op ved hjælp af IoT-teknologi.

Idéen til ERNIT blev skabt en nytårsaften for godt fire år siden, da virksomhedens grundlæggere – der alle er familiefædre – drøftede, hvordan de kunne give deres børn den bedst mulige økonomiske start på livet. De havde selv sparegrise som børn, men da al betaling i dag foregår via kreditkort eller mobilen, kunne de se, at deres børn ikke havde de samme opsparingsvaner.

Det fik de tre iværksættere til at konstruere en IoT-løsning, der består af en app, der er koblet op til en fysisk sparegris med elektronik i. Hver gang forældre, bedsteforældre eller en anden overfører penge, lyser sparegrisen op og kommer med lyde, så barnet kan se, hvordan det går med deres opsparingsmål. Ønskerne kan de indtaste i app’en – det kan være alt fra en ny cykel, dukke eller en fodbold.

”Netop legen og det, at vi gør en triviel opgave som opsparing til et spil og en konkurrence, er en central del af ERNIT. Sparegrisen er med til at motivere og fortælle børn, at penge faktisk eksisterer,” fortæller Søren Nielsen, direktør i ERNIT og den ene af de tre grundlæggere.

Følsomme dataområder kræver høj troværdighed

I kraft af at ERNIT’s produkt henvender sig til børn og har med deres penge at gøre, stiller deres kunder og samarbejdspartnere ekstra høje krav til sikkerheden omkring produktet. Derfor henvendte ERNIT sig til Nordic IoT Centre for at få lavet en sikkerhedsscreening.

”Vi skal bruge sikkerhedsscreeningen og UL-2900-1 godkendelsen til at øge trygheden og tilliden til produktet blandt vores slutbrugere, bankerne, som vi samarbejder med, og investorerne, som har skudt penge i ERNIT. Vores produkt involverer både penge og børn. Dette er nogle af de mest følsomme dataområder, som kræver meget høj troværdighed omkring produktet,” forklarer Søren Nielsen.

Sikkerhedsscreening skaber troværdighed til produktet

De to samarbejdende GTS-institutter i Nordic IoT Centre, FORCE Technology og Alexandra Instituttet, foretog sikkerhedsscreeningen af ERNITs’ sparegris ud fra UL 2900-1 standarden. Standarden er pt. den mest operationelle standard at screene fysiske IoT-devices ud fra, eftersom der ikke findes en tilsvarende og velegnet europæisk standard.

Nordic IoT Centres rolle som uvildig 3. part har stor betydning for ERNIT:

”Det er vigtigt for os at få en uvildig 3. part til at lave en sikkerhedsscreening af vores produkt for at skabe maksimal tryghed i forhold til produktet. Vi tror på, at en sikkerhedsscreening foretaget af en uvildig 3. part skaber større troværdighed omkring produktet, end hvis den var udført af os selv. Det kan hjælpe med at lukke de huller, der kan være. Fordi vi er heller ikke ufejlbarlige,” fortæller Søren Nielsen.

En grundig gennemgang af produktet

Selve sikkerhedsscreeningen bestod af tre dele.

Først foretog FORCE Technology en verificering af ERNIT’s selfassessment, hvor produktdokumentationen og produktets tiltænkte brug (”intended use”) blev gennemgået. Hvad skal produktet bruges til? I hvilken sammenhæng bruges det? og Er der firewall før produktet? er typiske spørgsmål, som bliver undersøgt. Derefter validerede FORCE Technology ERNIT’s Risc Management Report. Rapporten beskriver hvilke risici, der er ved produktet, og hvordan ERNIT arbejder på at reducere risikoen.

Det næste skridt var en mere fysisk test af produktets sikkerhed. Her udsatte FORCE Technology den elektronisk sparegris for flere forskellige test så som sårbarhedstest, infektionstest og krypteringstest. Undervejs blev det tjekket, om produktet havde vira eller malware og om det var sårbart overfor cyberangreb.

Afslutningsvis foretog Alexandra Instituttets Security Lab et kode-review, hvor de analyserede produktets source-kode for at finde kodestumper med fejl i, der skulle rettes. De kiggede både på, om ERNIT’s egen kode var skrevet fornuftigt, og om der var kendte sårbarheder i de eksterne kodestumper, som de også bruger. Kode-reviewet blev udført af en fagperson, som er specialist i netop det kodesprog, der er brugt i produktet.

Undervejs i forløbet var der en god dialog mellem Nordic IoT-Centre og ERNIT for at få afdækket og besvaret forskellige aspekter af de ting, der blev undersøgt. Når virksomheder får foretaget en sikkerhedsscreening af deres produkt, skal de være klar på at afsætte tid til at besvare spørgsmål, der måtte dukke op undervejs for eksempel til dokumentationsmaterialet.

Klare salgsfordele

Mange danske virksomheder mangler et sikkerhedscertifikat at henvise til, når de skal sælge deres IoT-produkter. Kunderne vil nemlig gerne forvisses om, at IoT-produkterne er sikre i brug og har et højt beskyttelsesniveau mod vira og hacker-angreb.

For ERNIT er der tydelige salgsfordele forbundet med at få en cybersikkerhedsgodkendelse – ikke mindst fordi den kan være med til at differentiere virksomheden fra konkurrenterne:

”En UL 2900-1 sikkerhedsgodkendelse af vores produkt vil give os klare konkurrencemæssige fordele i forhold til vores konkurrenter. I vores salgsarbejde bliver vi ofte mødt med spørgsmål vedrørende produktets sikkerhed, og vi er sikker på, at hvis vi kan fremvise en UL 2900-1 sikkerhedsgodkendelse, vil det åbne nye døre og føre til et øget salg af ERNIT produktet,” siger Søren Nielsen.

European Cybersecurity Act i støbeskeen

Flere danske virksomheder oplever problemer med splittelse af krav i forbindelse med eksport. Altså at deres IoT-produkt bliver mødt af ét sæt cybersikkerhedskrav hos en kunde i ét land, og et andet sæt af krav hos den næste kunde i et andet land. Derfor er det essentielt, at der bliver etableret en fælles certificeringsordning på tværs af EU baseret på internationale standarder.

På europæisk plan arbejder FORCE Technology aktivt sammen med Dansk Standard for få udfærdiget en europæisk certificeringsmodel (Cybersecurity Act) for cybersikkerhedsscreening. Indtil denne model er vedtaget vil standarder som UL-2900-1 blive benyttet til sikkerhedsgodkendelse.

Yderligere information

Hvis du har lyst til at vide mere om cybersikkerhedsscreening af IoT-produkter, UL 2900-1 godkendelse samt kode-review, kan du kontakte Gert Læssøe Mikkelsen, Head of Security Lab, Alexandra Instituttet (gert.l.mikkelsen@alexandra.dk, tlf. +45 24 26 99 11) eller Anders P. Mynster, seniorkonsulent, FORCE Technology, apm@force.dk, tlf. +45 43 25 14 25.

Links

ERNIT

Nordic IoT Centre

Cybersikkerhedsscreening

IoT & Wireless klubben

Security Lab på Alexandra Instituttet