Utrykningsklare hackestoppere

På Helsfyr sitter to tøffinger som leser kode like selvsagt som vi andre leser byrådssaker. – Vi følger opp sårbarheter og IT-sikkerhetshendelser, og bistår virksomhetene med systemsikkerhetstesting, sier Nelson Cheuque og André Nordbø.

Av Svein Jørgen Kjenner Johansen

Les mer om CSIRT

Cheuque og Nordbø utgjør for tiden kommunens «computer security incident response team» (CSIRT), etablert på oppdrag fra Byrådsavdeling for finans. Snart skal de sågar bli enda to, i henhold til budsjettstøtte for flere CSIRT-medlemmer.

– IT-sikkerhetsressurser er veldig vanskelig å rekruttere for tiden, så vi er ikke riktig i mål. Men vi skynder oss langsomt; det er viktig at vi har riktige folk i denne posisjonen, sier André Nordbø.

PRIMTALL, BABY. Nelson Cheuque og André Nordbø i seksjon for IT-sikkerhet i UKE Plattform og leveranse poserer med rakkerne som gjerne volder trøbbel når man bedriver digital kodeknekking. – Primtall er notorisk vanskelig å faktorere når du bare kjenner produktet, forklares det, fotografen nikker vagt.

Noe annet enn driftshendelser
Teamet jobber med å koordinere oppfølging av IT-sårbarheter og IT-sikkerhetshendelser mellom kommunens virksomheter og leverandørene, hovedsakelig Sopra Steria og Telenor. I tillegg følger de opp virksomheters behov for sikkerhetstesting av systemer.

– CSIRT har en viktig rolle i styringssystemet, ettersom virksomhetsledere og IT-sjefer skal varsle om IT-sikkerhetsrelaterte hendelser til oss. Dette er altså noe annet enn varsling om driftshendelser, som går til UKEs servicesenter (USS), sier Cheuque.

Eksempler på slike hendelser er spredning av skadevare, systematiske feil på tilgangsstyring (f.eks. filområder med sensitive dokumenter som mangler tilgangsstyring), digital svindel (ofte som e-post, for eksempel krypteringsvirus) og tyveri av datautstyr.

Brutal verden
– Det finnes også andre kategorier hendelser som for eksempel datainnbrudd, scraping og tjenestenektangrep, men de oppdages normalt av tekniske systemer eller driftspersonell, sier Cheuque.

Så er det slett ikke vanskelig å finne eksempler på «vellykkede» angrep på norsk jord. Cheuque og Nordbø taler med dempet stemme om for eksempel Hydro-hendelsen, der Nasjonalt Cybersikkerhetssenter (NorCERT) og Nasjonalt cyberkrimsenter (NC3) bisto industriselskapet Hydro med å få selskapets nettverk og IT-systemer oppe og stå etter et løsepengevirus-angrep så sent som i mars 2019.

Sårbar IT
CSIRT er varslingspunkt for de mest alvorlige sårbarhetene. Disse kommer i mange varianter, og er ofte teknisk avanserte.

– De vanligste måtene å oppdage tekniske sårbarheter er ved å utføre sikkerhetstester, eller gjennom å gjennomføre revisjoner, sier Nordbø.

– Et veldig vanlig eksempel er utdatert programvare. Det kan dreie seg om en utdatert versjon av operativsystem eller et program som ikke lenger mottar sikkerhetsoppdatering. En annen vanlig kategori er sårbarheter i webapplikasjoner der utvikler ved en forglemmelse eller av uvitenhet har utelatt nødvendige sikkerhetsmekanismer, sier Cheuque.

Føre var
Slikt må informeres til CSIRT, slik at teamet kan følge opp enkeltsakene og gi byrådet et helhetlig sårbarhetsbilde.

– Som med alt beredskapsarbeid gjelder føre var-prinsippet; vi ønsker å jobbe mest mulig preventivt. I tillegg er det viktig å huske på at dette først og fremst handler om mennesker. Oslo kommune har et enormt driftsmiljø, men hvis hver og en av oss har gode rutiner for databehandling, bygger vi det beste forsvaret av kommunen og innbyggernes data, sier Cheuque.