Mjukvarors säkerhet beror på utvecklarnas motivationer och hinder

Att säkerhetsnivån i mjukvara inte alltid håller måttet visas bland annat av de incidenter som inträffat i säkerhetskritiska it-system, med potentiellt allvarliga konsekvenser till följd. Det finns många samverkande orsaker till att mjukvara inte har tillräckligt säkerhet, däribland mjukvaruutvecklarnas motivation och hinder i säkerhetsfrågor. Att förstå motivationen och hindren är ett viktigt steg i att höja säkerhetsnivån i mjukvaror. Denna rapport presenterar resultaten från en enkät om mjukvaruutvecklares motivationsfaktorer och hinder när det gäller säkerhet i mjukvara. Enkäten baseras på en tidigare nordamerikansk enkät och har här besvarats av mjukvaruutvecklare som utvecklar säkerhetskritiska system för svenska myndigheter och företag. Resultaten visar att de starkaste motivationsfaktorerna är interna och därmed kommer inifrån utvecklaren. De interna motivationsfaktorerna inkluderar sådant som ansvarstagande och medvetenhet. Externa motivationsfaktorer motiveras utifrån och är svagare, men omfattar bland annat obligatorisk säkerhetspraxis och företagskultur. Hinder bedöms överlag ha mindre påverkan än motivationsfaktorerna. De högst rankade hindren inkluderar bristande konkurrens som gör att säkerhet upplevs som oviktigt samt att utvecklaren inte får skulden för en uppkommen sårbarhet. Andra relativt betydande hinder är låg prioritering av mjukvarusäkerhet samt att ekonomiska resurser saknas