Motivation kan avgöra mjuk­varans säkerhet

Motivationen hos dem som utvecklar mjukvara har inverkan på hur säkra datorprogrammen blir. Det visar en rapport som forskare på FOI skrivit. Viktigast är de inre drivkrafterna som ansvarskänsla och yrkesstolthet. Yttre faktorer som högre lön eller andra belöningar har mycket mindre betydelse.

Tidigare forskning har pekat på tekniska faktorer vid utvecklingen av mjukvara, men rapporten visar att även utvecklarnas motivation spelar roll, berättar Henrik Karlzén, forskare på FOI och en av författarna.

– Det viktigaste är att utvecklare känner ansvar och en vilja att göra rätt. Många bryr sig om branschens rykte och ser sitt arbete som en viktig samhällsinsats, säger han.

Studien bygger på tidigare nordamerikansk forskning om mjukvarusäkerhet. Det svenska forskarteamet valde att fokusera på den mänskliga faktorn bakom säkerhetsbrister och hur utvecklarnas drivkrafter påverkar mjukvarors säkerhet.

–Vi har baserat oss på den nordamerikanska undersökningen, som skiljde mellan interna och externa motivationsfaktorer. Enkelt uttryckt kan man säga att interna faktorer handlar om mig själv medan de externa mer har karaktären av yttre belöningar, säger Henrik Karlzén.

Viktigare än förväntat

Forskarna skickade ut en enkät till företag och myndigheter med koppling till Försvarsmakten och fick 66 svar från mjukvaruutvecklare. Resultaten visar tydligt att det främst är interna motivationsfaktorer som får utvecklare att skapa säker programvara.

–Jag blev både väldigt glad och förvånad över hur väl våra resultat stämde med den nordamerikanska undersökningen. Jag hade kanske trott att nationell kultur skulle skilja sig åt mer. Sedan hade jag förväntat mig att det var viktigt med inre motivation, men kanske inte fullt så mycket som svaren visade, säger Henrik Karlzén.

Hinder för säkrare mjukvara

Studien visar också att utvecklarnas interna motivation ibland stöter på hinder inom den egna organisationen.

– Det finns en längtan hos utvecklarna att ta ett större ansvar, men ett hinder är att det ofta saknas strukturer för att det ska vara möjligt. Det andra stora hindret är att utvecklare inte upplever att de kommer få skulden vid säkerhetsproblem. Här finns det utrymme för mer ansvarstagande, men utan att det leder till en repressiv kultur där säkerhetsincidenter inte rapporteras.

En slutsats från studien blir därför att mjukvaruutvecklare bör utkrävas ett större ansvar för sina produkter.

– Många användare förväntar sig att mjukvara ska innehålla fel. Det är en acceptans som vi inte ser i andra branscher. Men vi har börjat se en utveckling där Microsoft nyligen gjort säkerhet till högsta prioritet för varje medarbetare, säger Henrik Karlzén.

Satsa på ”champions”

Företag och organisationer som vill förbättra säkerheten i mjukvaran bör enligt forskarna fram för allt satsa på att ytterligare stärka de interna motivationsfaktorerna.

–Generellt tänker chefer väldigt mycket i termer av pengar och belöningar medan våra resultat pekar på att de i stället skulle utveckla det här med ansvarstagande, säger Henrik Karlzén.

Ett förslag är att införa ”champions”, det vill säga utvecklare som brinner för säkerhet och kan fungera som en brygga mellan utveckling och säkerhetsarbete.

–Säkerhet är inte huvudprioritet för en utvecklare. Därför är ”champions” ett sätt att stödja och utveckla de drivkrafter som trots allt redan finns hos många. Det har även på senare år kommit flera nya lagar om mjukvarusäkerhet som bland annat leder till mer tillsyn. Vi får se vad det kan resultera i för de enskilda utvecklarnas ansvar, avslutar Henrik Karlzén.

Läs rapporten

Läs mer