Trots årtionden av forskning och utveckling inom mjukvarusäkerhet är det fortfarande vanligt med sårbarheter, säkerhetsbrister i koden av en mjukvara som kan utnyttjas av en angripare. I en ny förstudie från Totalförsvarets forskningsinstitut (FOI) har forskare undersökt vilka faktorer som kan förklara uppkomsten av sårbarheter.
Studiens resultat visar att sårbarheter inte bara förorsakas av tekniska brister utan kan likväl uppstå som följd av den mänskliga faktorn. Det kan till exempel handla om att utvecklare saknar motivation eller kompetens. Det kan till exempel handla om att utvecklare som tar fram en mjukvara inte dokumenterar sitt arbete tillräckligt bra eller inte alls. Ett annat vanligt förekommande exempel är att en utvecklare bygger in kod som han eller hon har kopierat från nätet. Även bristande kommunikation mellan utvecklare som jobbar i samma projekt kan resultera i sårbarheter.
En annan aspekt är enligt studien att it-företag inte alltid är tillräckligt säkerhetsinriktade. En vanlig inställning bland företag är till exempel att man kan uppdatera mjukvara och eventuella säkerhetsbrister i efterhand. Många företag använder även omständigheten att inte alla sårbarheter kan upptäckas på förhand som en ursäkt för att inte bedriva ett tillräckligt bra säkerhetsarbete. Ytterligare en faktor som påpekas i studien är att säkerhetsaspekten i utbildningarna på universiteten är eftersatt.
Studien lyfter även fram ett antal förslag på vidare forskningsområden. Forskarna resonerar bland annat kring att svensk företagskultur kan göra att vi utvecklar mjukvara på särskilda sätt. Ett annat framtida forskningsområde är hur säkerhetsinriktade de svenska utvecklarna är, speciellt de som gör mjukvara åt Försvarsmakten. Den forskningen skulle även kunna inbegripa hur man kan öka kvaliteten hos utvecklarna när det gäller säkerhet.