- Vi kan aldri bli helt sikre, men vi kan være trygge nok. Det gjelder å finne ut hva trygg nok er, sier Julian Ravn Thrap-Meyer (29), seniorutvikler og såkalt "Security Champion" i NAV, til kode24.
NAV har 19.000 ansatte, og av dem er 200 utviklere. I tillegg forvalter etaten en tredjedel av statsbudsjettet og står for en rekke tjenester som er livsviktige for det norske samfunnet.
Derfor er det kanskje ikke rart at NAV er et attraktivt mål for cyberkriminelle.
For å møte trusselen har organisasjonen tatt i bruk en rekke verktøy, og frivillige initiativer.
- Dette er ikke bare en åtte til fire-jobb. De kriminelle sover ikke
Teamene får ansvar
NAV sitter på enorme mengder informasjon om norske innbyggere, fra før vi er født til etter at vi er døde, og står for mange kritiske løsninger i samfunnet.
- Vi kan ikke ha stålkontroll på absolutt alt hele tiden. Det må alltid være en balansegang. Vi har mange løsninger som er kritiske for samfunnet, men vi har også mye som ikke er kritisk i samme grad. De fleste av systemene våre ligger nok et sted midt i mellom, sier Thrap-Meyer.
Han legger til at det ikke hjelper å ha et styringssystem som fungerer for alt. I stedet må man finne ut når man må ta et ekstra grep.
- Det er bedre og mer skalerbart om teamene selv har ansvaret for hvilken informasjon og hjelp de trenger for å opprettholde sikkerhetsnivået som forventes av løsningene, sier han.
«Det holder ikke bare å vektlegge sikkerhet i slutten av prosessen lenger. Det er ikke sånn verden fungerer.»
Har tatt flere grep
NAV har tatt flere grep for å gjøre hverdagen til utviklerne både sikrere og mer smidig.
Thrap-Meyer jobber for eksempel i det som kalles for "nais-teamet", som utvikler løsninger som skal gjøre arbeidshverdagen enklere for produktteamene. Et annet initiativ som skal holde holde NAV trygg, er NAVs Security Champions.
Dette er en frivillig klubb, som Thrap-Meyer er i redaksjonen til, for sikkerhetsinteresserte i produkt-teamene. I tillegg til å arrangere møter, får medlemmene klistermerker og hettegensere. Klubben er åpen for alle, og for øyeblikket er det 90 Security Champions fordelt på 75 tverrfaglige team.
- Det holder ikke bare å vektlegge sikkerhet i slutten av prosessen lenger. Det er ikke sånn verden fungerer, sier Thrap-Meyer, som selv har bakgrunn som etisk hacker.
NAV gjør DevSecOps med 'security champions': - Det første forsøket feilet
Må bort fra fossefall
Ved siden av Thrap-Meyer sitter NAV-kollegaen Leif Tore Løvmo (46), med over 20 års erfaring fra Forsvaret. Nå har han vært i NAV i fire år som sikkerhetsarkitekt, og er leder for IT-området digital sikkerhet, som består av fire team.
- Sikkerhet er funksjonalitet for å bevare verdien av informasjon og tjenester. Man må komme bort fra "fossefall-tanken" om at noen tenker ut løsningen og andre lager dem. Å se på sikkerhet som funksjonalitet, gjør det lettere å se at smidig utvikling også fungerer bedre på utvikling av sikkerhetsmekanismer, og for å bygge inn sikkerhet i produkter.
NAV har forsøkt å organisere arbeidet med sikkerhet på samme måte som produktområdene, og sett på hvilke team som passer sammen, forteller Løvmo.
- Man må jobbe med sikkerhet på mange forskjellige nivåer og ha blikket på tvers av alle løsningene, sier han.
Ifølge Løvmo har det særlig blitt viktig å beskytte identiteten til brukerne av NAVs systemer.
- All sikkerhet går i retning av å bli "identsentrisk". Mange av sikkerhetsbruddene som skjer handler om at "identene" ikke er sikret godt nok, forteller han.
«Når det gjelder de store sårbarhetene, slik som Log4shell, skjer det sjeldnere. Men vi opplever at det kommer hyppigere enn før.»
Oslo Origo sitter på sensitive data om 700.000 folk. Deres viktigste sikkerhetsverktøy: Kulturen
Finner rare ting i loggene
- Hvor ofte opplever dere å bli hacket?
- NAV blir angrepet hele tiden. Bare når det gjelder phishing stopper vi millioner av e-poster i måneden. Når det gjelder de store sårbarhetene, slik som Log4shell, skjer det sjeldnere. Men vi opplever at det kommer hyppigere enn før, sier Løvmo.
Når det kommer til phishing-angrep er det både snakk om det Løvmo kaller for mer tilfeldig "drive by"-phishing og målrettede forsøk.
- Vi har for eksempel opplevd at det har blitt sendt forfalskede fakturaer for å få penger ut, sier han.
Thrap-Meyer sier at utviklerne legger mest merke til det når det dukker opp rare ting i loggene.
- For eksempel ved at en person har spurt om litt rare kall mot endepunkter i API-ene våre. Det går aldri gjennom, men det ser rart ut. Vi har jevnlige diskusjoner på Slack om slike ting, sier han.
Frykter Østre Toten-angrep
- Hva er det som holder dere våkne om natta?
- Hvis vi lekker informasjon kan i verste fall liv stå i fare. Det er veldig konkret. Men det går mye på funksjonalitet. Ikke at vi blir hacket, men feil, rett og slett. Hvis det hadde skjedd det samme i NAV som i Østre Toten, med permanent sletting av data, tror jeg ikke vi hadde hatt NAV etterpå, sier Løvmo og legger til:
- Men vi må forholde oss til sånn verden er: Teknologien under panseret er mye mer grisete enn man skulle tro. Vi har en del risiko selv om de fleste ikke går rundt og tenker på det. Det er viktig for oss å ivareta informasjonssikkerheten i NAV, og ikke ta unødvendig risiko. Samtidig kan vi ikke ha så høy risikoaversjon at det gjør oss handlingslammet, sier Løvmo.
Thrap-Meyer tror at bakgrunnen som etisk hacker kan ha vært med på å gi ham sjelefred.
- En ting som slo meg ganske tidlig er at hele verden er bygget opp av strikk og binders. IT-systemer kan falle ned når som helst. Så hvorfor tør man egentlig bruke disse systemene som kan påvirke deg betraktelig dersom en av strikkene ryker, som det jo gjør av og til. Men når ting først ryker ser det jo som regel ut som at det faktisk går ganske greit. Så klart: Dersom et system blir påvirket av et stort sikkerhetshull bør det aller helst ikke påvirke NAV, sier han.
Thrap-Meyer legger til at de vektlegger en åpenhetskultur i NAV.
- Det får meg til å sove godt om natten.
«En ting som slo meg ganske tidlig er at hele verden er bygget opp av strikk og binders.»
"Nice device" med naisdevice
- Men hvordan i alle dager får dere til å sikre alle dataene?
- Vi har mange typer sikring. Alt fra å ha en trygg backup som ikke kan bli tuklet med, til å ikke ha data i kun én skytjeneste. Vi må heller ikke komme i en situasjon der vi ikke vet om vi har riktig data. Det kan være kritisk for NAV, sier Løvmo.
Ifølge Løvmo er det flere ting som spiller inn når det kommer til å beskytte data fra å havne på avveie: Hvordan man gjør tilgangsstyring, sikrer klienter, identer og hvem som har tilgang til data. Etaten har også jobbet med å få folk over på en tidsbegrenset administratortilgang.
- Vi har en god løsning med "naisdevice". I tillegg til å sikre klienten teknisk bidrar den også til kulturbygging fordi at den forklarer deg også hvorfor du må gjøre noe, sier Løvmo.
Kollega Thrap-Meyer er enig:
- Naisdevice er sykt kul! Det er en "device" som skal være "nais". I stedet for en super innrullert maskin, så sier naisdevice fra om hva du trenger og gir deg bare tilgang hvis den mener du er sikker nok. Vises innhold i e-poster eller Slack-meldinger på låseskjermen din, vil den si: Det er ikke lurt, det bør du skru av. Dette bidrar til bevissthetsbygging.
De har blitt utsatt for Bitcoin-angrep og stengte ned etter Log4Shell - sånn skal de unngå nye trusler
Gir minst mulig tilgang
Ifølge Løvmo har NAV tradisjonelt bygget løsninger som er monolitter, altså store løsninger og store databaser.
- Nå blir det på en måte splittet opp i mindre deler. Det er naturlig at enkeltpersoner ikke har så store tilganger lengre. Vi har også gått over til å bruke syntetiske testdata, som reduserer eksponeringen av informasjon for veldig mange, sier han.
Tilgangsbegrensninger gjelder også systemene, legger Thrap-Meyer til.
- Den svakeste applikasjonen er den som trekker ned hele korthuset. Mens nå opererer vi med “zero trust”-modellen, hvor systemene skal ha så lite tilgang som mulig.