10. mars og 13. september i år sendte Stortinget og teknologigiganten Apple ut hver sin melding – av samme grunn: Begge var utsatt for IT-angrep.
En sårbarhet i Stortingets Microsoft Exchange-løsning hadde åpnet døra på gløtt for hackere. Sårbarheten gjorde at hackerne kunne stjele data fra brukerne. I ukene før ble den samme sårbarheten utnyttet hos et stort antall andre organisasjoner.
Fem måneder senere gikk alarmen hos Apple i California. Sikkerhetseksperter hadde oppdaget en programvaresvakhet som lot et skadelig virus angripe enhver iPhone, Apple Watch eller Mac – angivelig uten så mye som et klikk. Raskt kom en sikkerhetsoppdatering som alle brukere ble oppfordret til å installere umiddelbart.
Bakteppet for slike hendelser belyses i en fersk mastergradsoppgave vi fire har vært involvert i som studenter og veiledere.
Kjente sårbarheter lever videre
Studien viser at ansvarsfølelsen og viljen til å lage sikker programvare har økt blant programvareutviklere det siste tiåret.
Men den økte iveren etter å ta ansvar, har ikke forhindret at programvare stadig utvikles med kjente sårbarheter.
Svarene fra informantene i studien viser at tre kjennetegn ved dagens IT-bransje/IT-utdanning bidrar til at den økte ansvarsfølelsen ikke har vært nok. Alle disse forholdene mener vi at det er fullt mulig å gjøre noe med.
- Les også: Dette må du må vite om cybersikkerhet
Sirkler inn tre problemområder
21 utviklere fra 12 konsulentselskap ble intervjuet i studien. Utvalget omfattet selskap som har kontor i Norge med mellom 25 og 2000 ansatte. Funnene sirkler inn disse tre problemområdene:
- Opplæring i programvaresikkerhet fra egen konsulentbedrift er ikke-eksisterende eller mangelfull. Hvis sikkerhetsopplæring gis, er den ofte initiert av kundebedrifter på prosjekter som har spesielle sikkerhetskrav.
- Manglende kompetanseutvikling innen sikkerhet handler om prioriteringer og kapasitet. Nyansatte har mye de må lære seg, alt fra programmeringsspråk til å bygge kunderelasjoner.
- Mange studieprogram utdanner utviklere uten obligatoriske sikkerhetsemner.
Fire forslag til forbedringer
Så hvordan løse dette? Vi har fire råd basert på studien vår:
* Bedre sikkerhetsopplæring i bedriften. Intervjuobjektene etterlyser både generell og spesifikk sikkerhetsopplæring som er relevant for de konkrete arbeidsoppgavene deres. De påpeker at sikkerhetskompetanse i dag avhenger av den enkeltes interesse, initiativ og prioriteringer.
* Gi utvalgte medarbeidere en klart definert sikkerhetsrolle. Mange av intervjuobjektene understreker at en ildsjel kan ha stor påvirkning på et team og heve kvaliteten på teamets sikkerhetsarbeid.
I tråd med dette har noen prosjekt gitt én utvikler en sikkerhetsrolle, i håp om at dette vil gi sikkerhetsaspekter økt oppmerksom i utviklerteamet.
Men informantene våre forteller at det i stor grad er opp til hver enkelt hvordan de fyller en slik rolle.
Flere etterlyser derfor et definert ansvar og definerte oppgaver knyttet til sikkerhetsrollen.
* Sett av tid og ressurser til å jobbe systematisk og langsiktig med sikkerhet. På den måten kan bedrifter sørge for at noen faktisk har tid, oppgaver og ansvar som er øremerket sikkerhetsarbeid, fremfor at noen kun jobber med sikkerhet i ledige stunder på grunn av interesse.
Ett mulig tiltak er å ha sikkerhetsfokuserte personer i organisasjonen som kan påvirke eksempelvis valg av arkitektur, rammeverk og fordeling av ressurser.
* Styr unna helautomatisert sikkerhet. Flere av informantene våre har en visjon om at sikkerhet kan helautomatiseres. Selv er vi ikke like sikre på at det er lurt.
Automatisering er en god idé for noen repetitive oppgaver. Men det er en utfordring å forstå de begrensningene slike verktøy har og hvilke krav som stilles til tolkning. Feiltolkning eller feilaktige tilpasninger kan skape falsk trygghet.
I tillegg kommer behovet for oppfølging. Verktøy som ivaretar sikkerhet må være tilpasset formålet og holdes oppdaterte. Alt dette krever kompetanse hos utviklerne.
Struktur og systematikk er tingen
Hovedkonklusjonen vår er at mer strukturert sikkerhetsopplæring og større grad av systematikk i sikkerhetsaktivitetene vil hjelpe.
Vi tror slike endringer vil heve kompetansen på sikkerhet blant programvareutviklere over tid – og dermed vil gjøre det vanskeligere for hackerne å lykkes med sine angrep.
Artikkelen sto første gang i Dagens Næringsliv 29. desember 2021 og gjengis her med DNs tillatelse.