Rutiner och metoder för att bygga säkra lösningar

Ett första steg var att tydligt separera frontend från backend, vilket innebär att den del av systemet som användarna ser inte har direktkontakt med databasen. På så sätt kunde man säkra att alla anrop till databasen var korrekt autentiserade, utan risk att råka ge felaktiga behörigheter via gränssnittet. Den här uppdelningen visade sig vara en både säker och effektiv lösning – inte minst eftersom den också underlättade arbetsfördelningen mellan utvecklarna.

– Det gjorde att vi kunde fokusera fullt ut på varsin del av systemet, och man kunde göra sin del så bra som möjligt. Vi slapp lägga tid på att hantera kopplingar mellan gränssnitt och databaser, vilket sparade oss tid eftersom projektet hade kort tidsram, berättar Jimmy Haglund, utvecklare vid Bilvision.

Ett nästa steg i säkerhetsarbetet var att genomföra penetrationstester – alltså tester där systemet angrips på kontrollerade sätt för att kunna identifiera eventuella sårbarheter.

– Vi är ju sedan tidigare ISO-certifierade för informationssäkerhet, vilket innebär att vi har etablerade rutiner och metoder för hur vi bygger säkra lösningar. Alla de här sakerna vi satte upp för Mobility Sweden hade vi gjort många gånger förut. Det var inga spännande nya teknologier direkt, utan det handlade om att fokusera på det vi kan och gör bäst, säger Jörgen Andersson, databasutvecklare vid Bilvision, med ett leende.

Jimmy Haglund, utvecklare på Bilvision

Jörgen Andersson, databasutvecklare vid Bilvision

Utmaningen: Åtkomstkontroll och datasäkerhet

Eftersom det handlade om att leverera stora mängder data till Mobility Sweden och dess medlemsföretag, blev det särskilt viktigt att säkerställa att rätt personer kunde se rätt information.

– Vi byggde en helt ny databasstruktur för att hantera detta. En medlem ska till exempel aldrig kunna se andra medlemmars data. Alla kan se statistiken på en högst aggregerad nivå, och sen har medlemmarna tillgång till detaljerade data kopplat till sina egna varumärken, förklarar Jörgen.

IT-säkerhet - ett arbete som aldrig tar slut
För att upprätthålla en god IT-säkerhet även efter leverans gäller fortsatt drift och underhåll. Där har Bilvision satt upp automatiska rutiner som övervakar systemet efter varje uppdatering.

– Vi gör små justeringar löpande, och då vill vi snabbt kunna upptäcka om något gått fel. Jag har satt upp automatiska tester med prov-API-anrop, där man jämför data med det som ligger i produktion. Så länge de stämmer överens vet vi att systemet fungerar som det ska, berättar Jimmy Haglund och fortsätter:

– Det här är vad vi kallar grundläggande testning i samband med deployment. Det handlar inte om avancerade säkerhetstester, utan om att försäkra sig om att inga fel slinker igenom när vi gör en ny uppdatering. Det är en självklar del av ett säkert arbetssätt.

Branschen har en bit kvar

För Bilvision är det av största vikt att hålla sig uppdaterade när det gäller IT-säkerhet och gällande lagkrav. I kundrelationer får de ofta agera expert på området eftersom kunderna inte alltid har koll på vad som gäller.

– Både kunder som vi pratar med och andra aktörer i branschen ligger ofta efter vad gäller IT-säkerhet eller lagkrav som GDPR. Man har ofta ett arv i det säkerhetstekniska, där man har gamla lösningar och svårt att ta igen den tekniska skuld som kan uppstå. Gör man ett IT-projekt vill man ofta att det ska fungera i tio år utan att det ska behöva förändras – men säkerhetskrav och lagstiftning förändras mycket snabbare än så. Det är där riskerna uppstår och där som vi hoppas kunna ligga i framkant, avslutar Jörgen Andersson.

I nästa del: Att gå live - och fortsätta vägen framåt

I sista delen berättar vi hur Bilvision genom personlig support och utbildningswebinar skapade en smidig utrullning för den nya plattformen – och hur arbetet framåt fortsätter.