– For startups vil dette være fordelaktig fordi man kan bruke mindre ressurser på testing og sikkerhetseksperter, og i stedet utvikle flere og bedre funksjoner. Det kan forhåpentligvis bidra til at de kommer seg raskere ut i markedet, sier forsker Andrea Arcuri ved Høyskolen Kristianias Institutt for teknologi.

Nylig fikk han et prestisjestipend på 20 millioner kroner av det Europeiske forskningsrådet (ERC). Med de ferske midlene planlegger han å bygge et superteam med ett mål for øye: å lage AI-teknologi som automatisk finner og fikser feil og sikkerhetshull i annen programvare.

– Vi vil gjøre forskning som er praktisk, som faktisk kan brukes. Ikke bare for å publisere artikler, sier han til Shifter, og legger til:

– Vi skal bygge verktøy, alt open source. Så satser vi på at selskaper, og spesielt startups, vil ta dem i bruk. Det er vårt endemål.

Open source

Bare i år har norske selskaper tapt flerfoldige millioner som følge av digitale sikkerhetsbrudd. Hydro er skrekkeksempelet. Cyberangrepet som rammet dem i vår kostet selskapet over 350 millioner kroner. Visma ble tidlig i år utsatt for målrettede datainnbrudd av kinesiske hackere, og data-angrepene mot DNB er ifølge DN tjuedoblet på få år.

I løpet av året har også det svenske elsparkesykkel-startupen Voi opplevd to alvorlige svikt i sin programvare, der brukernes personopplysninger lå åpent på nett.

Og ingenting tyder på at datakriminelle er på retrett.

– Tvert imot, det blir mer av dette. For startups er det et stort problem. Det kommer mye dårlig og usikker programvare fra slike selskaper. Det er et naturlig resultat av at de har lite ressurser, men må dytte produkter og programvare ut i markedet så fort som mulig. Hva kan man gjøre?

– Nå vil vi bygge verktøy selskapene kan bruke. En startup med kun to ansatte har som regel ikke råd til å ansette en sikkerhetsekspert. Vi håper å utvikle open source-verktøy som kan være spesielt nyttige for disse. Det vil ikke løse alle problemene, men det vil tilby et forsprang, sier Arcuri.

Risiko og kostnad

Når det er sagt, peker også mye i riktig retning, ifølge den italienske forskeren. Internasjonal regulering, med GDPR i spissen, er i ferd med å løfte personvern opp på agendaen til bedrifter, store såvel som små.

– Det begynner å koste for selskaper som ikke tar dette på alvor. Det er alltid en avveining. Man kan ansette flere testere og sikkerhetseksperter for å redusere risikoen for at det er feil i programvaren. Men hva er kostnaden når noe går galt? Hvis den kostnaden ikke er høy, kan man ta risikoen. Så det handler alltid om risikohåndtering, sier han, og legger til:

– Jeg tror ting blir bedre når kostnaden knyttet til svakheter i systemene, blir høyere.

Kompetansegap

Samtidig er den tidligere Telenor-konsulenten bekymret for det han opplever som et kompetansegap på området i næringslivet.

– Å skrive programvare er veldig komplisert, og det blir vanskeligere og vanskeligere etterhvert som vi trenger større systemer og mer funksjonalitet. Så det er veldig vanlig at selv profesjonelle ingeniører med mange års erfaring, gjør feil. Det er en del av jobben, ingenting galt med det.

Utfordringen er todelt, mener han. Gjennom hans arbeid håper han å gjøre noe med begge.

– Utviklere har sjeldent god nok kontroll på sikkerheten. Det er to aspekter ved dette: et handler om utdanning. Det er mange veldig dyktige folk der ute, men et fåtall har god kunnskap om dette. Da gjøres det feil. Ikke fordi man ikke er god nok, men fordi man ikke har kunnskapen. Det er et problem over hele verden.

– Det andre handler om å lage teknikker og verktøy som er automatisert, slik at selv de som ikke kjenner alle detaljene, kan benytte disse verktøyene og få tilbakemelding.

Mye penger, men ikke i Norge

Prosjektet settes i gang i løpet av 2020 og skal vare i tre år. Først må Arcuri håndplukke tre researchere og fire postdoktorer som i tillegg til han selv skal jobbe med dette.

– 20 millioner er mye penger generelt, men ikke så mye i Norge. Mellom 80 og 90 prosent kommer til å gå til personell, sier han.

I tillegg til å bygge konkrete verktøy, skal arbeidet gi innsikt i hvilke sikkerhetsrelaterte feil programvareutviklere gjør i praksis, og hvorfor. Dette skal sørge for et nytt teoretisk rammeverk for sikkerhetstesting som forskningsfelt. Arcuri håper de første resultatene kan legges frem høsten 2021.