Cybersikkerhed er en grundlæggende forudsætning for, at forsvarsindustrien kan levere stabile og pålidelige løsninger i en tid præget af øget geopolitisk usikkerhed og skærpede krav til dokumenteret kontrol. Systemer, der indgår i militære leverancer og understøtter kritiske funktioner, skal kunne modstå avancerede angreb, fejlkonfigurationer og skjulte sårbarheder.

Det stiller betydelige krav til både teknisk modenhed og uafhængig validering. I den sammenhæng spiller specialiserede sikkerhedsrådgivere en central rolle.

“Selv dygtige interne specialister kan have gavn af et eksternt blik. Vi bringer erfaringer med fra en lang række virksomheder og sektorer, som gør det muligt at identificere mønstre og risici, man ikke nødvendigvis selv ser i sin egen organisation”, siger Esben Kaufmann, Executive Partner Prof Services, itm8.
Penetrationstest som dokumenteret kvalitetssikring

I et konkret forløb bistod itm8 en virksomhed, der udvikler systemer til forsvarsindustrien, med en målrettet penetrationstest af dele af virksomhedens kritiske systemlandskab. Testen var både et led i virksomhedens egen kvalitetskontrol og en del af de krav, der stilles i forbindelse med leverancer til Forsvaret.

Forløbet tog afsæt i en grundig indledende dialog om systemets arkitektur, anvendelseskontekst og risikoprofil. På den baggrund blev testdesignet tilrettelagt, og et specialiseret team blev sammensat med de relevante tekniske kompetencer.

“Det handler ikke om at køre en standardtest. Vi bruger tid på at forstå konteksten og formålet med systemet, så vi kan tilrettelægge et realistisk og værdiskabende testforløb”, forklarer Esben Kaufmann

Selve testen fokuserede på at identificere potentielle sårbarheder, udnyttelsesveje og svagheder, der i værste fald kunne kompromittere data eller påvirke systemets integritet.

Fra tekniske fund til strategisk risikostyring
Resultatet af testen var en struktureret rapport med dokumentation af identificerede sårbarheder, deres alvorlighed og konkrete anbefalinger til, hvordan de kan udbedres. Fundene blev kategoriseret efter risikoniveau og gennemgået i dialog med virksomheden.

Ud over den tekniske afrapportering indgik itm8 i en rådgivende dialog om, hvordan virksomheden fremadrettet kan styrke sin risikostyring og løbende kvalitetssikring.

“Det er ikke kun et spørgsmål om at finde fejl. Det handler om at give virksomheden et solidt beslutningsgrundlag og hjælpe dem med at reducere risikoen på en måde, der er både teknisk og forretningsmæssigt forankret”, uddyber Esben Kaufmann.

Uafhængig kontrol i en sektor med høje krav
Forsvarsindustrien og andre dele af den kritiske infrastruktur er kendetegnet ved et højt sikkerhedsniveau og en betydelig modenhed i arbejdet med compliance og teknisk konfiguration. Netop derfor er uvildig kontrol og second opinion en væsentlig del af kvalitetssikringen.

Når systemer indgår i samfundskritiske funktioner, hvad enten det gælder forsvar, energi, vand eller tele, er konsekvenserne af fejl eller kompromittering vidtrækkende.

“En ekstern sikkerhedstest er i bund og grund en kvalificeret second opinion. Ligesom man får en fagfælle til at gennemlæse en vigtig rapport, giver det værdi at få specialister med dyb erfaring til at udfordre og validere ens systemer”, udtaler Esben Kaufmann.