Inviterer alle til sikkerhets-meetup

Vil gi innsikt i hvordan de jobber med sikkerhet. – Vi opplever daglig angrep mot datasystemer, en utfordring som bare fortsetter å øke.

Jørgen Jacobsen
Jørgen Jacobsen utvikler, kode24
Publisert

- Vi har stor tro på at deling av erfaring gjør oss bedre rustet, forteller Storebrand i en pressemelding til kode24.

Neste onsdag 11. mars inviterer de til meetup i samarbeid med Security Champions Norge og Microsoft Security User Group i lokalene til Storebrand på Lysaker. Temaet er sikkerhet.

– Både Storebrand og andre samfunnsaktører opplever daglig angrep mot datasystemer, en utfordring som bare fortsetter å øke. Da er det viktig å være godt forberedt, forklarer kommunikasjonsrådgiver i Storebrand Vibeke Hoff Nordbye.

Arrangementet har allerede 120 eksterne påmeldte, og lover blant annet en CTF-konkurranse basert på ekte Bug Bounty-funn fra Storebrand.

Samfunnsansvar

– Sikkerhet i utviklingsprosessen er et fundament for hvordan vi kan sikre verdien til våre kunder, forklarer Head Of Security Operations, Øyvind Bergerud .

Øyvind Bergerud er head of operations i Storebrand

– Angriperne kjenner allerede teknikkene vi snakker om, men utviklere måles ofte kun på produktivitet og business-funksjonalitet.

Bergerud forteller at det er derfor de har valgt å gjøre arrangement åpent for alle, de vil nemlig lære opp flest mulig utviklere i sikkerhetsprogrammet de har laget internt.

– Når vi deler det vi har lært, og også der vi har feilet, bidrar vi til at hele det norske utviklermiljøet blir mer robust mot trusler. Vi får mer verdi tilbake fra dugnaden enn det vi deler.

Roadshow om sikkerhet

Bergerud forteller at da de først startet sikkerhetsprogrammet hadde de mange sesjoner over teams, siden ikke alle teamene sitter samme sted.

Men det fungerte ikke helt. De trengte toveiskommunikasjon.

– Det vi egentlig ville, var å bryte ned barrieren mellom det sentrale sikkerhetsteamet og utviklingsteamene, slik at vi fikk et felles språk og senket terskelen for en god dialog, forteller Bergerud.

Bergerud forklarer at de har et eksternt bug bounty-program med 130 sikkerhetsforskere som kontinuerlig tester angrepsflaten deres på internett. 

– Likevel så vi at flere av feilene de fant gjentok seg, rett og slett fordi utviklerne jobbet i siloer basert på forretningsområde.

Derfor satt de i gang med et roadshow for å vise alle de 350 interne utviklerne sine opp i samme teknikker. Bergersen forteller at de blant annet bruker det populære pen-testeprogrammet Burp Suite for å forklare hvordan man tenker som en hacker.

Trussemodellering

– Vi bygger et felles språk gjennom trusselmodellering, der vi lager arkitekturtegninger for dataflyt og mulige angrepsvinkler, forklarer Bergersen videre.

Han forklarer at det forenkler den lovpålagte penetrasjonstestingen Storebrand er pålagt siden de har sammfunnskritiske funksjoner, som pensjonsutbetaling.

Og alle skal læres opp, rett og slett fordi KI visker ut linjene mellom sikkerhetsutviklere og andre utviklere.

– Målet er at vi både skal ha en sikker plattform, og samtidig kunne utnytte innovasjonsmulighetene AI gir oss, legger Bergersen til.

 

artikkel trusselmodellering storebrand sikkerhet meetup bug bounty
Powered by Labrador CMS