Oslo Origo sitter på sensitive data om 700.000 folk. Deres viktigste sikkerhets­verktøy: Kulturen

- Viktigere å bygge sikkerhetskultur enn krav ingen vet om, mener sikkerhetssjefen Martin Albert-Hoff.

Rundt halvparten av de 130 ansatte i Oslo Origo er utviklere, som igjen er organisert i tolv ulike tverrfaglige team fordelt på fem forskjellige produktområdet. Martin Albert-Hoff er faglig leder for informasjonssikkerhet. 📸: Mattis Vaaland
Rundt halvparten av de 130 ansatte i Oslo Origo er utviklere, som igjen er organisert i tolv ulike tverrfaglige team fordelt på fem forskjellige produktområdet. Martin Albert-Hoff er faglig leder for informasjonssikkerhet. 📸: Mattis Vaaland Vis mer

- Blir det en fryktkultur har man tapt allerede. Derfor jobber vi for en god delingskultur som en viktig del i å skape en bra sikkerhetskultur, sier Martin Albert-Hoff, faglig leder for informasjonssikkerhet i Oslo Origo, til kode24.

I snart to år har Oslo kommunes digitaliseringsetat Origo sine 130 ansatte jobbet hver dag med å lage digitale løsninger til Oslos over 700.000 innbyggere.

Rundt halvparten av de ansatte er utviklere, som igjen er organisert i tolv ulike tverrfaglige team, fordelt på fem forskjellige produktområder.

Ifølge Albert-Hoff blir digitaliseringsetaten jevnlig utsatt for "cyberhendelser". Han mener at noe av det viktigste arbeidet for å sikre Origo mot cyberkriminelle er å skape en kultur blant utviklerne som er preget av tillit og åpenhet.

Preget av krigen i Ukraina

Det er først og fremst brukerdataene, og da særlig helsedata, som er viktig å beskytte mot lekkasje og cyberkriminelle.

Dette må dimensjoneres for i et sikkerhetsperspektiv, mener han: Hvordan kan de sikre dataene samtidig som de er lett tilgjengelige for brukerne?

- Vi har en rekke tiltak for å sikre at data er tilgjengelig, samtidig de er sikret mot å komme på avveie eller bli endret. Noen eksempler er at vi ikke håndterer mer personopplysninger enn nødvendig, eller lengre enn nødvendig, og gjennomfører sikkerhetstesting av de forskjellige løsningene som utvikles, sier han.

Ifølge Albert-Hoff har dette særlig blitt aktuelt med krigen i Ukraina, som har ledet til et forhøyet trusselbilde. Som kode24 har skrevet tidligere, har Nasjonal sikkerhetsmyndighets (NSM) varslet om at russiske cyberkriminelle vil gå etter land som støtter Ukraina.

- Få dager etter invasjonen orienterte vi bredt i egen virksomhet om det endrede trusselbildet og fokuserte på noen av tiltakene som NSM har foreslått. Kanskje ekstra viktig i denne situasjonen er å gjøre medarbeidere oppmerksom på at situasjonen kan utnyttes, og at det derfor er viktig med økt årvåkenhet på unormal aktivitet eller hendelser, sier han.

Oslo Origo har fire techjurister som jobber med personvern. Det gjør at Martin Albert-Hoff sover godt om natta. 📸: Mattis Vaaland
Oslo Origo har fire techjurister som jobber med personvern. Det gjør at Martin Albert-Hoff sover godt om natta. 📸: Mattis Vaaland Vis mer

Viktig å ha oversikt

En annen trussel handler om informasjonssikkerhet. Albert-Hoff viser til at organisasjonen gjerne bruker open source-komponenter eller kommersielle verktøy.

- Det er en viktig del av dagens trusselbilde som vi har sett gjennom flere saker: At tar man til seg noe fra en tredjepart, så introduserer man potensielt også nye, ukjente, sårbarheter. Slik som var tilfellet med sårbarheten Log4shell, sier Albert-Hoff.

Derfor er det en rekke spørsmål utviklerne i Origo må stille seg i arbeidshverdagen: Hvem er det som er ansvarlig for biblioteket? Hvem har gjort kvalitetskontroll på dette? Har man gjort statisk kodeanalyse for å finne sårbarheter?

- Det er viktig å ha oversikt. Sikkerhet handler mye om å vite hvilken risiko man tar og hvor man skal konsentrere ressursene. Dette med digital utpressing er noe som er høyaktuelt, men vi har heldigvis ikke hatt noen hendelser slik flere andre virksomheter har hatt den siste tiden. Vi har veldig mye i skyen og det gir oss noen fordeler, sier han.

Ifølge Albert-Hoff er noen av fordelene at de store sky-tilbyderne har god kompetanse på drift og sikkerhet.

- I tillegg er mye av forretningsmodellen til skyleverandører at kunder raskt kan skalere opp ressursene etter behov. Dette, sammen med for eksempel mekanismer for å hindre tjenesteknektangrep, øker tilgjengeligheten til tjenestene man velger å legge i skyen, sier han.

På arbeidspulten har Martin Albert-Hoff et dirkesett som de ansatte kan prøve seg på. 📸: Mattis Vaaland
På arbeidspulten har Martin Albert-Hoff et dirkesett som de ansatte kan prøve seg på. 📸: Mattis Vaaland Vis mer

Går på selvtilliten

- Hva er det verste som kan skje?

- Vi er relativt unge i fartstid og har mange løsninger som er under utvikling. Kravet til oppetid er ikke der det skal være om fem år. Selv om vi får litt nedetid, er ikke det det verste.

I slike tilfeller vil innbyggerne uansett ha alternativer de kan bruke, legger Albert-Hoff til.

- Det som vil være leit er hvis vi lekker data om innbyggerne våre. Vi har heldigvis fire dyktige techjurister som jobber med personvern. Det gjør at jeg sover godt om natten, sier Albert-Hoff.

- Skjer det jevnlig hendelser?

- Vi vet at de kommer og blir ikke overrasket når det skjer. Vi har en lav terskel for hva som er et avvik, og er utsatt for en del phishing-forsøk. Jeg er imponert over samvittigheten og årvåkenheten til de enkelte ansatte. I et av de siste phishing-forsøkene var det flere av de som mottok phishing-meldingen som oppdaget forsøket og sa ifra selv, sier han.

«Heldigvis står jo ikke utviklerne alene, men er del av et team og en organisasjon som har det samme målet om å levere gode løsninger»

Utviklerne står ikke alene

- Hvor mye ansvar ligger på hver enkelt Origo-utvikler?

- Det er viktigere at det bygges en sikkerhetskultur enn at det ligger en papirbunke med krav i en skuff ingen vet om. Det er kanskje ikke alle som sier noe, men vi ønsker å ha en kultur for å si ifra. Da kan du fort oppdage bredere mønstre. Dette får man ikke hvis folk er redd for å få sparken, som jeg har lest at kan skje i USA.

Albert-Hoff legger til at han er imponert over hva utviklerne sine klarer å skape.

- Jeg vet de samvittighetsfulle og kjenner på ansvaret som ligger i det å ikke bare utvikle kode som skal være samfunnsnyttig og hjelpe innbyggerne, men også det at tilliten til oss som virksomhet avhenger at data om innbyggerne håndteres på en sikker, lovlig og god måte, sier han.

- Heldigvis står jo ikke utviklerne alene, men er del av et team og en organisasjon som har det samme målet om å levere gode løsninger.

Når Origo gjør en sikkerhetsvurdering stiller hele teamet i en workshop som typisk strekker seg over to halvdagssesjoner, forteller Martin Albert-Hoff, fagleder for informasjonssikkerhet i Oslo Origo. 📸: Mattis Vaaland
Når Origo gjør en sikkerhetsvurdering stiller hele teamet i en workshop som typisk strekker seg over to halvdagssesjoner, forteller Martin Albert-Hoff, fagleder for informasjonssikkerhet i Oslo Origo. 📸: Mattis Vaaland Vis mer

Må få sikkerhet inn i mentaliteten

Albert-Hoff legger til at prinsippet bak sikkerhetstankegangen hos Origo er å bygge sikkerhet inn i løsningene, i stedet for å legge det på til slutt.

- Det er viktig å få det inn i mentaliteten til utviklerne. Min oppfatning er at vi har ganske bra fartstid på utviklerne. De har vært ute en vinternatt før, og har erfaring og et sikkerhetsperspektiv.

Han legger til at det for mange nye utviklere kan føles litt vondt i starten å bruke tid på sikkerhetsmekanismer og "Code Review", når noen står bak deg og pisker på for funksjonalitet.

- Men hvis du har litt fartstid vil du ha litt mer forståelse for at det tar lengre tid å fikse ting senere. Erfarne utviklere har dette innebakt.

«Hvis du har litt fartstid vil du ha litt mer forståelse for at det tar lengre tid å fikse ting senere»

Har jevnlige risikoworkshops

Når Origo gjør en sikkerhetsvurdering stiller hele teamet i en workshop som typisk strekker seg over to halvdagssesjoner, forteller Albert-Hoff.

- De går gjennom løsningen og den tilknyttede risikoen. Dette er typisk ment som en start til risikovurdering som skal inn i det daglige utviklingsarbeidet.

Ifølge Albert-Hoff har de tverrfaglige teamene til sammen mye forskjellig fagkompetanse og arbeidserfaring. Dette gir viktige perspektiver inn i arbeidet med vurdere risiko og gir hele teamet eierskap til tematikken.

- Gjennom en slik workshop er tanken at man har en felles forståelse for løsningen, fokuspunkter, terminologi og metodikk for å vurdere risiko, sier han.

- Tanken er at gjennom dette vil teamet lettere og raskere kunne gjøre nye vurderinger fortløpende som en del av utviklingssyklusen når behovet oppstår, ved for eksempel innføring av ny funksjonalitet.