About / Advertise 
Utvecklares motivation kan ha inverkan på hur säker deras mjukvara blir. Detta enligt en enkät från FOI, Totalförsvarets forskningsinstitut.
Viktigast är inre drivkrafter som ansvarskänsla och yrkesstolthet. Yttre faktorer som högre lön eller andra belöningar har mycket mindre betydelse.
Forskarna skickade ut en enkät till företag och myndigheter med koppling till Försvarsmakten och fick 66 svar från mjukvaruutvecklare.
Slutsatsen bygger på vad utvecklarna rapporterar om sig själva. Rapporten ger följande brasklapp.
Förmodligen skulle observationer av utvecklarnas faktiska beteende visa en delvis annan bild (Assal och Chiasson, 2019). Detta är normalt för enkätstudier.
Tidigare forskning har pekat på tekniska faktorer vid utvecklingen av mjukvara. Men rapporten visar att även utvecklarnas motivation spelar roll.
– Det viktigaste är att utvecklare känner ansvar och en vilja att göra rätt. Många bryr sig om branschens rykte och ser sitt arbete som en viktig samhällsinsats, säger Henrik Karlzén, forskare på FOI och en av författarna.
Studien bygger på tidigare nordamerikansk forskning om mjukvarusäkerhet. Det svenska forskarteamet valde att fokusera på den mänskliga faktorn bakom säkerhetsbrister och hur utvecklarnas drivkrafter påverkar mjukvarors säkerhet.
– Vi har baserat oss på den nordamerikanska undersökningen, som skiljde mellan interna och externa motivationsfaktorer. Enkelt uttryckt kan man säga att interna faktorer handlar om mig själv medan de externa mer har karaktären av yttre belöningar.
– Jag blev både väldigt glad och förvånad över hur väl våra resultat stämde med den nordamerikanska undersökningen. Jag hade kanske trott att nationell kultur skulle skilja sig åt mer.
Utvecklarna uppger att den interna motivationen ibland stöter på hinder inom den egna organisationen.
– Det finns en längtan hos utvecklarna att ta ett större ansvar, men ett hinder är att det ofta saknas strukturer för att det ska vara möjligt. Det andra stora hindret är att utvecklare inte upplever att de kommer få skulden vid säkerhetsproblem. Här finns det utrymme för mer ansvarstagande, men utan att det leder till en repressiv kultur där säkerhetsincidenter inte rapporteras.
En slutsats från studien blir därför att mjukvaruutvecklare bör utkrävas ett större ansvar för sina produkter.
– Många användare förväntar sig att mjukvara ska innehålla fel. Det är en acceptans som vi inte ser i andra branscher. Men vi har börjat se en utveckling där Microsoft nyligen gjort säkerhet till högsta prioritet för varje medarbetare.
Företag och organisationer som vill förbättra säkerheten i mjukvaran bör enligt forskarna framför allt satsa på att ytterligare stärka de interna motivationsfaktorerna.
– Generellt tänker chefer väldigt mycket i termer av pengar och belöningar medan våra resultat pekar på att de i stället skulle utveckla det här med ansvarstagande.
Ett förslag är att införa ”champions”, det vill säga utvecklare som brinner för säkerhet och kan fungera som en brygga mellan utveckling och säkerhetsarbete.
– Säkerhet är inte huvudprioritet för en utvecklare. Därför är ”champions” ett sätt att stödja och utveckla de drivkrafter som trots allt redan finns hos många. Det har även på senare år kommit flera nya lagar om mjukvarusäkerhet som bland annat leder till mer tillsyn. Vi får se vad det kan resultera i för de enskilda utvecklarnas ansvar.
