Kommentar til Børsens omtale af brugen af Agisoft-software

Børsen har gennem en periode undersøgt brugen af software fra den russiske softwareleverandør Agisoft. I den forbindelse har Børsen rejst en geopolitisk tvivl omkring software fra Agisoft og den sikkerhed, der er omkring brugen af deres produkter.

Vi forstår og deler den øgede geopolitiske bevågenhed og vi arbejder altid ud fra det helt centrale princip, at vores data skal være beskyttet mod trediepart. Vi lever i en tid, hvor softwareudvikling foregår globalt og består af komponenter fra mange lande, og derfor er det afgørende, at alle aktører har fokus på risikovurderinger og sikkerhedsforanstaltninger.

I LE34 og IT34 har vi siden 2019 benyttet en delkomponent fra Agisoft til vores produkt SmartSurvey. Vi vurderer løbende, om der er sikkerhedsrisici, og vi har vurderet, at den enkelte delkomponent, der er tale om, ikke udgør en sikkerhedsrisiko, da den er en teknisk afgrænset og sikkerhedsmæssigt håndteret del af vores SmartSurvey-løsning.

Af skaleringsmæssige årsager har vi længe været i gang med at udfase denne delkomponent, da vi grundet samhandelsrestriktioner med Rusland ikke kan udvide vores forretning baseret på denne løsning på længere sigt.

Delkomponentens udfasning var planlagt til første halvår 2026, men grundet Børsens fokus på den geopolitiske situation og for at skabe yderligere tryghed hos vores kunder, har vi fremskyndet udfasningen og planlægger at være fuldt udfaset inden udgangen af 2025.

Vi bestræber os altid på at have en åben og ærlig dialog med vores kunder. Skulle du have spørgsmål til vores løsninger, ageren eller sikkerhed, er du altid velkommen til at kontakte os.

Børsen har dags dato bragt en artikel om SmartSurvey. Vi deler herunder vores svar på avisens henvendelse, så der ikke kan opstå tvivl om vores håndtering:

Kære Thomas og Johan

Tak for jeres spørgsmål og muligheden for at kommentere.

Vi finder det både berettiget og betryggende, at der er en øget bevågenhed omkring de softwarekomponenter, virksomheder og myndigheder i Danmark bruger.

For at gøre det helt klart: Vi bruger alene en delkomponent, som vi har sikkerhedsmæssig kontrol over. Af skaleringsmæssige årsager er vi i gang med at udfase denne delkomponent, da vi grundet samhandelsrestriktioner med Rusland ikke kan udvide vores forretning baseret på denne løsning på længere sigt.

Vi er i færd med at orientere vores kunder – mere om det herunder. Vi ønsker dog at gentage, at delkomponenten hverken kan udgøre en trojansk hest eller en bagdør.

Vi vil gerne stille os og vores system til rådighed for en af Børsen udpeget IT-sikkerhedsekspert, som kan foretage en uvildig vurdering.

Nedenfor forsøger vi at svare udtømmende og omhyggeligt på jeres spørgsmål, men først vil vi afklare noget kontekst:

Forskellen på løsningerne SmartSurvey, PointView og HeyPipe:
SmartSurvey er en app til dataindsamling, hvor beregningsmodeller omsætter video til en punktsky. En delkomponent fra Agisoft indgår, som I ganske rigtigt skriver, og som vi tidligere har fortalt jer, som en del af de matematiske formler, vores beregningsmodel kan ’kalde’ som led i processen.

PointView er en webløsning til udstilling af data. Data udstillet i PointView kan blandt andet stamme fra SmartSurvey.

I PointView er det muligt at bestille beregninger, som i SmartSurvey-appen, men delkomponenten indgår ikke i selve systemet.

HeyPipe er ligeledes en webløsning til udstilling af data. I modsætning til PointView kan HeyPipe dog ikke kalde beregninger, og løsningen har derfor ingen forbindelse til Agisofts delkomponent.

Vores håndtering i forhold til NIS2-direktivet:
Som NIS2-direktivet kræver, har vi foretaget risikovurderinger og indført passende foranstaltninger, herunder at SmartSurvey ligger bag vores firewalls og på vores egne servere på dansk jord, hvor forsøg på at udveksle informationer vil efterlade spor og alarmere vores systemer. Vi har i vores risikovurdering konkluderet, at der udelukkende kan foreligge en såkaldt restrisiko nær nul, hvorfor det ikke har været nødvendigt at orientere NIS2-omfattede kunder.

Nedenfor finder I svar på jeres spørgsmål.

Har I af jer selv underrettet kunder om, at en del af SmartSurvey-løsningen indeholder kildekode-elementer fra Agisoft? Hvis ja: hvor mange, hvornår og hvordan? Hvis nej: Hvorfor ikke?

Nej, vi har ikke forud for Børsens henvendelse fredag d. 5. december orienteret kunder. Vi vurderer løbende, om der er sikkerhedsrisici, og vi har vurderet, at den enkelte delkomponent, der er tale om, ikke udgør en sikkerhedsrisiko, da den er en teknisk afgrænset og sikkerhedsmæssigt håndteret del af vores SmartSurvey-løsning.

Vi har i vores risikovurdering konkluderet, at der udelukkende kan foreligge en såkaldt restrisiko nær nul, hvorfor det ikke har været nødvendigt at orientere NIS2-omfattede kunder.

Er I enige eller uenige i, at I burde have orienteret alle jeres NIS2-omfattede kunder herom?

Den samlede sikkerhedsvurdering er, at systemet ikke udgør nogen sikkerhedsrisiko. Derfor har en særskilt orientering til kunderne ikke været nødvendig.

På baggrund af Børsens fokus på sagen, og særligt på LE34 og IT34’s produkter, har vi nu valgt at orientere vores kunder, så de er oplyste om sagens fakta set med vores øjne.

Hvornår besluttede I jer for at begynde at udfase de kildekode-elementer, der stammer fra Agisoft?

Vi begyndte allerede i 2022 at drøfte udfasningen. Efter Ruslands invasion af Ukraine blev der vedtaget en handelsembargo, som betød, at vi på sigt ville få et skaleringsproblem, fordi vi ligesom andre danske virksomheder og myndigheder ikke længere måtte handle med Agisoft.

Rummer PointView og HeyPipe også kildekode-elementer fra Agisoft?

HeyPipe anvender ikke kildekodekomponenter fra Agisoft.

PointView anvender heller ikke kildekodekomponenter fra Agisoft. Dog kan PointView kalde en beregningsfunktion fra SmartSurvey og dermed aktivere delkomponenten.

Det er vigtigt endnu en gang at fastslå, at delkomponenten ikke udgør en sikkerhedsrisiko.

Hvornår forventer I at have en aftale på plads med Pix4D om en udskiftning af Agisoft-delen af ’motoren’ i SmartSurvey-løsningen?

Vi kan bekræfte, at vi har en aftale på plads med en ny leverandør af en softwarekomponent, som vi arbejder på at implementere.

Det var vores tidligere plan, at vi ville have en ny løsning klar i første halvår 2026. Men vi har, for at skabe tryghed hos vores kunder, som følge af den igangværende mediefokus, valgt at fremskynde processen med målet om at være fuldt udfaset inden udgangen af 2025.

Anerkender I, at oplysningen om jeres brug af russiske software-komponenter kan skabe bekymring hos jeres kunder, og hvad gør I for at berolige de af dem, der måtte være utilfredse med jeres ageren i denne henseende?

Vi forstår godt, at den igangværende mediefokus kan skabe bekymring hos nogle kunder. Vi har løbende haft dialog med de kunder, der har haft sikkerhedsmæssige spørgsmål og har informeret dem fuldt ud.

Vi arbejder med kritisk infrastruktur, og derfor tager vi den geopolitiske dimension alvorligt – også selv om der ikke er identificeret nogen sikkerhedsrisiko i vores løsning.

På baggrund af Børsens fokus på sagen, og særligt på LE34 og IT34’s produkter, har vi valgt at orientere vores kunder, så de kender baggrunden for vores vurderinger og ageren, og kan være trygge ved disse.

Bygger jeres vurdering af, at kildekoden ikke indeholder bagdøre, på en ekstern vurdering eller jeres egen? Og hvilken ekstern leverandør har i givet fald vurderet kildekoden?

Vores vurdering bygger på vores egen tekniske gennemgang. Delkomponenten er teknisk afgrænset, samtidig med at den er statisk og uden forbindelse til eksterne servere.

Dertil kommer, at vi har en lang række øvrige sikkerhedsforanstaltninger implementeret.

Vi vil gerne stille os og vores system til rådighed for en af Børsen udpeget IT-sikkerhedsekspert, som kan foretage en uvildig vurdering.

Hvad tænker I om, at der er øget geopolitisk bevågenhed om brug af russiske og kinesiske softwarekomponenter?

Vi forstår og deler den øgede geopolitiske bevågenhed og vi arbejder altid ud fra det helt centrale princip, at vores data skal være beskyttet mod trediepart.

Vi lever i en tid, hvor softwareudvikling foregår globalt og består af komponenter fra mange lande, og derfor er det afgørende, at alle aktører har fokus på risikovurderinger og sikkerhedsforanstaltninger.