Case Study
Drönare-startup - Hardware/Software Säkerhet
Från garage-prototyp till enterprise-certifierad lösning
Av sekretesskäl använder vi ett annat företagsnamn, men alla siffror och resultat är från ett riktigt projekt.
Resultat i siffror
Utmaningen
Från innovativ prototype till hackbar produkt
SkyVision Tech AB - från garage till första kunden
SkyVision Tech grundades 2023 av tre ingenjörer från KTH som ville revolutionera industri-inspektion. Deras AI-drivna drönare kunde autonomt inspektera vindkraftverk, elledningar, och broar - vilket sparade tid, pengar och minskade risker för personal. Efter 18 månaders utveckling hade de en fungerande prototype och fick sin första stora förfrågan från Vattenfall för att inspektera 120 vindkraftverk.
Men när Vattenfalls IT-säkerhetsavdelning granskade lösningen stoppades allt. Drönarna skickade okrypterad data över 4G, molnplattformen saknade multi-faktor autentisering, firmware kunde uppdateras utan signering, och det fanns ingen logging av vem som gjorde vad. "Vi kan inte låta er flyga drönare över vår kritiska infrastruktur när ni inte kan garantera att någon inte kapar dem eller stjäl vår data," sa Vattenfalls CISO.
Grundarna insåg att deras tekniskt briljanta lösning var en säkerhetskatastrof. De hade fokuserat helt på AI, autonomi och prestanda - men ignorerat säkerhet. Utan säkerhetscertifieringar kunde de inte sälja till enterprise-kunder. Och utan enterprise-kunder fanns ingen business. De hade 6 månaders runway kvar och behövde snabbt fixa säkerheten.
Kritiska sårbarheter
Vad penetrationstesterna avslöjade
37 kritiska sårbarheter identifierade
Vi genomförde omfattande penetrationstester på alla tre lager: hårdvara, firmware/embedded software, och molnplattform. Resultatet var chockerande - 37 kritiska sårbarheter som tillsammans gjorde systemet extremt osäkert.
Hårdvara & Firmware:
- Firmware utan signering: Vem som helst kunde ladda upp skadlig firmware
- Ingen secure boot: Drönaren startade vad som helst utan verifiering
- Debug-portar öppna: JTAG/UART aktiverat i produktionsenheter
- Hårdkodade nycklar: Samma krypteringsnycklar i alla drönare
- Okrypterad kommunikation: 4G/LTE-data i klartext
Molnplattform & API:
- Ingen MFA: Bara lösenord för admin-access
- SQL injection: Okrypterade databasfrågor
- API utan rate limiting: Öppet för brute force-attacker
- Ingen RBAC: Alla användare hade full access
- Okrypterad S3 storage: Bilder och videor publikt tillgängliga
- Ingen audit logging: Omöjligt att spåra vem som gjort vad
GDPR & Compliance:
- Ingen personuppgiftshantering: Drönare fotograferade personer utan samtycke
- Data residency: Data lagrades i USA utan GDPR-skydd
- Ingen DPA: Saknade databehandlingsavtal med kunder
Lösningen - Hårdvara
Säkra drönare som inte kan kapas
Secure boot och signerad firmware
Vi implementerade en komplett säkerhetsarkitektur för drönarhårdvaran. Secure boot infördes så att drönaren endast startar med verifierad och signerad firmware från SkyInspect. Firmware-uppdateringar kräver nu kryptografiska signaturer och kan inte manipuleras under transport. Ett Trusted Platform Module (TPM) installerades för säker nyckelhantering.
All kommunikation mellan drönare och molnplattform krypterades med TLS 1.3 och unika certifikat per drönare. Hårdkodade nycklar ersattes med individuella nycklar som genereras vid tillverkning och aldrig lämnar TPM:en. Debug-portar disablerades i produktion och kan endast aktiveras fysiskt med special-verktyg.
En "tamper detection"-mekanism implementerades - om någon försöker öppna drönaren eller komma åt hårdvaran raderas alla krypteringsnycklar automatiskt. Geo-fencing och no-fly zones programmerades in i firmware för att förhindra olaglig eller obehörig flygning.
Lösningen - Mjukvara
Säker molnplattform med SOC 2-kontroller
Zero-trust arkitektur i molnet
Molnplattformen byggdes om från grunden med säkerhet i fokus. Vi implementerade zero-trust architecture där inget förtroende ges implicit - varje request autentiseras och auktoriseras. Multi-faktor autentisering (MFA) blev obligatoriskt för alla användare. Role-Based Access Control (RBAC) infördes med granulära behörigheter per organisation och användare.
Alla API:er skyddades med rate limiting, input validation, och parameterized queries för att förhindra SQL injection. Web Application Firewall (WAF) installerades för att blockera vanliga attackmönster. All data krypteras både i transit (TLS 1.3) och i vila (AES-256). S3 buckets konfigurerades med strict access policies och lifecycle-regler för GDPR-compliance.
Ett centraliserat SIEM-system (Security Information and Event Management) implementerades för att logga och övervaka all aktivitet. Varje API-call, inloggning, firmware-uppdatering, och drönarflyg loggas med timestamp, användare, och IP-adress. Automatiserade alerts skickas vid misstänkt aktivitet. Incident response-processer dokumenterades och övades kvartalsvis.
Certifieringar och Compliance
ISO 27001 och SOC 2 Type II på 9 månader
Från noll till dubbel certifiering
För att kunna sälja till enterprise-kunder inom energi och infrastruktur behövde SkyInspect både ISO 27001 (informationssäkerhet) och SOC 2 Type II (säkerhetsprocesser). Vi körde båda certifieringsprocesserna parallellt under 9 månader.
ISO 27001-arbetet krävde utveckling av över 80 policyer och procedurer: informationssäkerhetspolicy, accesskontroll, riskhantering, incidenthantering, business continuity, och leverantörshantering. Vi genomförde risk assessment av alla tillgångar och implementerade kontroller för identifierade risker. Intern audit genomfördes av extern part innan slutlig certifieringsaudit.
SOC 2 Type II fokuserade på att bevisa att säkerhetskontrollerna faktiskt fungerar över tid. Vi dokumenterade alla fem trust service principles: Security, Availability, Processing Integrity, Confidentiality, och Privacy. Kontroller testades månadsvis under 6 månader för att samla bevis till auditorer. En Big 4-revisionsbyrå genomförde SOC 2 Type II-audit och utfärdade en clean report.
GDPR-compliance säkerställdes genom: Data Processing Agreements (DPA) med alla kunder, privacy policy och cookie policy på svenska, rätt till radering och dataportabilitet implementerat i plattformen, samt data residency i EU (Stockholm-region i AWS). En Data Protection Impact Assessment (DPIA) genomfördes och godkändes av dataskyddsombud.
Resultat - Business Impact
Från noll till 4,2 miljoner i ARR
Säkerheten blev den konkurrensfördel
Efter 9 månader av intensivt säkerhetsarbete fick SkyInspect äntligen grön flagga från Vattenfall. Det första kontraktet värderades till 1,8 miljoner kronor för inspektion av 120 vindkraftverk under 2 år. Men ännu viktigare - ISO 27001 och SOC 2 Type II certifieringarna öppnade dörren till hela enterprise-marknaden.
Inom 6 månader efter certifieringen hade SkyInspect tecknat kontrakt med: Vattenfall (1,8M SEK), E.ON Sverige (1,2M SEK), Skanska (0,8M SEK), och Trafikverket (0,4M SEK). Total ARR: 4,2 miljoner kronor. Alla fyra kunder angav säkerhetscertifieringarna som den avgörande faktorn - "det är många som kan flyga drönare, men ni är de enda som kan bevisa att det är säkert."
Säkerhetsincidenter: Noll intrång sedan lansering. Zero-trust arkitekturen har blockerat 2 340 attack-försök automatiskt. Firmware-uppdateringar har leverats till 45 drönare utan säkerhetsrisk. GDPR-klagomål: Noll. Alla 67 requests om dataåtkomst har hanterats inom 30 dagar enligt lag.
Teamet växte från 3 grundare till 12 anställda. De har nu en dedikerad security engineer och genomför kvartalsvis penetrationstester. Investor confidence ökade - Series A-rundning på 15 miljoner kronor stängdes med värdering på 75 miljoner, där säkerhetscertifieringarna var en key selling point.
"Vi trodde säkerhet var 'nice to have' - det visade sig vara deal-breaker. Utan Viharnis hjälp hade vi aldrig fått Vattenfall eller någon annan enterprise-kund. Säkerheten är nu vår största konkurrensfördel - vi är den enda drönare-leverantören i Norden med både ISO 27001 och SOC 2. Det öppnade en helt ny marknad för oss."
Behöver er hardware/software-startup säkerhetsexpertis?
Vi hjälper er från prototype till enterprise-certifiering