Titel: Sikkerhed- og Privacy-by-Design Institut: Alexandra Instituttet A/S Kontaktperson: Jakob I. Pagter, 21651093, jakob.i.pagter@alexandra.dk 0. Sammenfatning Denne aktivitet har fokus på at udvikle kompetencer og ydelser indenfor it-sikkerhed og privacy mhbp. at hjælpe danske virksomheder med at sikre deres forretning set i lyset af nye krav fra kunder og myndigheder. Dette inkluderer både tekniske løsninger og processer. 1. Markeds- og samfundsbehov It-sikkerhed og privacy har stadigt voksende betydning i det moderne it-baserede samfund. Der er mange eksempler på utilstrækkelig sikkerhed (fx heartbleed, stuxnet, og cryptolocker). En række politiske tiltag (persondataforordning [1], national strategi for cybersikkerhed [2], vækstplan for digitalisering [3]) dokumenterer det øgede samfundsmæssige fokus på it-sikkerhed. Dette er en særlig udfordring for SMV’er, da de udsættes for samme sikkerheds- og privacy-krav som store virksomheder, men uden at have mulighed for at kunne opbygge egen specialistkompetence.

Potentialet kan tilskrives to parallelle udviklinger: 1) Megatrends som cloud, mobile, big data, internet-of-things (IoT) og bring-your-own-device som betyder, at sikkerhedsløsninger i meget højere grad må fokusere på at beskytte data uafhængigt af hvor de er (indenfor vs. udenfor perimeteren) og hvad de skal bruges til. For at opnå dette skal der typisk benyttes tekniske virkemidler som fx kryptografi og sikkerheden skal være designet ind i løsningen fra starten - dette kaldes populært sagt Security- og Privacy-by-Design (SPbD). 2) regulative krav fra både EU og nationalt (se ovenfor) stiller øgede krav til virksomhedernes sikkerhed, og fx

det aktuelle udkast til EUs kommende persondataforordning nævner eksplicit Privacy-by-Design, som et paradigme fremtidige løsninger skal efterleve. Tilsvarende ligger der i Erhvervs- og Vækstministeriets vækstplan for digitalisering i Danmark et krav om at alle danske virksomheder skal igennem et såkaldt sikkerhedstjek. Potentialet for denne aktivitet vil blive realiseret på både kort, mellemlang og lang sigt. Problemet eksisterer både for brugervirksomheder som har brug for at vælge de rigtige løsninger for at leve op til kunders og myndigheders krav, og for leverandørvirksomheder som ønsker at lave innovative it-løsninger i lyset af fx compliance med persondataforordning, cookiedirektiv mv. For begge typer er evnen til både at designe og implementere den rigtige sikkerhedsmæssige løsning af stor forretningsmæssig betydning. De udviklede kompetencer og serviceydelser vil være relevante for en meget stor del af alle danske virksomheder, ikke mindst SMVer, på tværs af forskellige brancher. 2. Ny teknologisk serviceydelse, kompetence og teknologi Følgende figur giver et overblik over de forskellige typer af ydelser, kompetencer og teknologier som aktiviteten vil udvikle:

Den røde tråd er et fokus på teknik, fordi det tekniske element er kritisk i SPbD-løsninger, pga. behovet for at bygge sikkerhed og privacy ind fra starten. Dette i nært samspil med forretningsmæssige og brugsmæssige kompetencer for til stadighed at sikre den samfunds- og erhvervsmæssige relevans. Samlet opbygges og videreføres et nationalt knudepunkt for viden om teknologier til SPbD med internationalt perspektiv. Som argumenteret ovenfor er der et stigende behov for it-sikkerhed og privacy. Forretningsmæssigt og som følge af ny lovgivning. Dette stiller danske virksomheder overfor nye udfordringer, og kan i værste fald forhindre at ellers attraktive løsninger bliver til noget.

SPbD muliggør en lang række forretningsmæssigt attraktive it-løsninger på en måde som er både sikkerhedsmæssigt forsvarlig og kosteffektiv. Vi kan med andre ord høste større digitaliseringsgevinster, fordi vi kan få bedre og billigere sikkerhed ved at gå nye veje. Som beskrevet i figuren ovenfor vil vi arbejde med forskellige kategorier af ydelser (forventet markedsmodenhed i parentes): • Screening og guides (moden: 2017-18) fx valg af cloudbaseret fildelingssystem • Metodik (moden: 2018) – fx SPbD-tjek (inspireret af Innovationstjek) og OCTAVE-baseret

letvægtsanalyseframework indenfor IoT • Innovativ brug af eksisterende teknologi (moden: 2019-20) – fx sikker og brugervenlig konfiguration af

sikre produktionssystemer • Nye teknologier (moden: 2021-2024) – fx analyseværktøjer som regner på krypterede data Det grundlæggende problem er at SPbD og underliggende kompetencer som fx kryptografi er viden som er svært tilgængelig og dyr at vedligeholde. Dette bremser udviklingen i markedet. Der findes i Danmark en række virksomheder som arbejder med it-sikkerhed, men SPbD (og ikke mindst underliggende tekniske kompetencer såsom kryptografi) er ikke udbredt. Eksisterende virksomheder har typisk fokus på konsoliderede markeder som den finansielle sektor. Der er – med vores viden – ikke danske aktører som leverer den type ydelser som er beskrevet i denne aktivitet. 3. Centrale aktiviteter Denne aktivitet er grundlæggende meget teknisk i sin natur, og for at sikre at vi til stadighed har fokus på at den er markeds- og samfundsmæssigt relevant, vil aktiviteten udføres i et tæt samarbejde mellem Alexandra Instituttets sikkerhedsspecialister og instituttets eksperter indenfor kravsafdækning og evaluering. Vi vil blandt andet arbejde ud fra spørgsmål som: Er der begrænsninger knyttet til de eksisterende forretningsprocesser, der hæmmer SPbD? Skal der laves ændringer i forretningsmodellen for at adoptere SPbD? Det grundlæggende ”flow” for de forskellige ydelser og kompetencer er som følger:

1. Afdækning af de største behov inden for SPbD 2. Udvikling af kompetencer/ydelser – her vil i høj grad være tale om dybt teknisk arbejde med fokus

på fx kryptografi 3. Afprøvning 4. Information og vidensspredning

Der bygges videre på en lang række internationale forskningsprojekter indenfor avancerede SPbD-løsninger, bl.a. ABC4Trust [6] og PRACTICE [7], samt en stribe nationale projekter bl.a. CFEM [8] og CHPCOM [9]. Aktiviteten har relation til en række andre forslag fra Alexandra Instituttet samt IBIZ. Der bygges desuden videre på tidligere resultatkontraktaktiviteter: Internet-of-Things” (2010-2012) og Identitet på Nettet i et globalt perspektiv (2013-2015). Ifht sidstnævnte adskiller nærværende sig ved et meget bredere fokus på sikkerhed og privacy generelt. 4. Mulige samarbejdspartnere Udover interessenter som nævnt nedenfor vil denne aktivitet have direkte relation til en række forskningsaktiviteter hvor Alexandra Instituttet deltager (nævnt ovenfor), Innovationsnetværkene Infinit, Inno-Pro, Finans-IT og derudover planlægger vi samarbejde med relevante forskningsgrupper på bl.a. DTU, AU, m.fl. Derudover vil vi undersøge mulighederne med internationale spillere som fx EFF [4], Fraunhofer [5] mv. for at opnå synergi ift. fx screening af produkter og andre områder, hvor der er oplagte potentielle synergieffekter. Projektet vil bl.a. basere sig på viden som er etableret i aktiviteter som har foregået i samarbejde med blandt andet: AU, Microsoft, IBM, SAP, Intel.

I forbindelse med projektet er det planen at etablere en interessentgruppe med deltagelse af danske virksomheder og organisationer. Vi vil tilstræbe at få deltagelse fra brugervirksomheder, leverandører, offentlige og private organisationer. Her vil vi invitere interesseorganisationer som DI/ITEK, Rådet for Digital Sikkerhed m.fl. som vil blive inviteret til at deltage i interessentgruppen. Interessentgruppen vil blive inddraget i den strategiske styring af projektet, og kunne fx få indflydelse på hvilke produkttyper, der laves screening af eller hvilker domæner der fokuseres på ift. samkøring af data. Referencer [1] ec.europa.eu/justice/data-protection/ [2] www.fmn.dk/nyheder/Pages/Regeringen-styrker-cyber-og-informationssikkerheden.aspx [3] www.evm.dk/~/media/oem/pdf/2015/15-02-26-vaekstplan-digitalisering-danmark/aftale-om-v-kstplan-for-digitalisering-i-

danmark.ashx [4] Står bag grundig analyse af sikkerhedsegenskaber ved en række ”Sikker chat” produkter. www.eff.org/secure-messaging-

scorecard [5] Står bag grundig analyse af fildelingstjenester (a la Dropbox) og sikkerhedskrav til dissse. www.sit.fraunhofer.de/en/cloud-

security [6] https://abc4trust.eu/ [7] http://practice-project.eu/ [8] http://cfem.au.dk/ [9] http://chpcom.dk/en/