Vi besøkte politiet: – Alt som kan hackes, skal hackes!

Hos politiet bygger utviklerne sin egen sky­plattform og hacker Mine­craft, droner og wifi-nett. Bli med inn!

Martin Londal er utvikler i Politiets IT-enhet og en ivrig fritidshacker. 📸: Kurt Lekanger / PIT
Martin Londal er utvikler i Politiets IT-enhet og en ivrig fritidshacker. 📸: Kurt Lekanger / PIT Vis mer

(Artikkelen ble først publisert 16. mars 2023)

– Vi har unike krav til infrastruktur, sikkerhet internt og krav til oppetid. Politiet kan ikke bare slutte å ta telefonen; det betyr ikke bare tap av penger, men i verste fall tap av menneskeliv.

Det sier Martin Londal, utvikler i Politiets IT-enhet – internt kalt bare "PIT". Vi besøkte PIT i deres lokaler på Majorstuen i Oslo.

Høye krav til sikkerhet og personvern gjør at politiet ikke bare kan kjøre alt i en vilkårlig offentlig sky. Det er bakgrunnen for at politiet har bygget sin egen skyplattform – "Organa" – som skal gjøre det så enkelt som mulig for politiets utviklere å rulle ut applikasjonene de bygger på en sikker måte.

«Med Organa skal det være lett å gjøre rett, slik at både sikkerhet og andre hensyn ivaretas på en god måte.»
Det er streng adgangskontroll for å komme inn til Politiets IT-enhet, og alle må gjennom disse slusene. 📸: Kurt Lekanger
Det er streng adgangskontroll for å komme inn til Politiets IT-enhet, og alle må gjennom disse slusene. 📸: Kurt Lekanger Vis mer

Londal er en av utviklerne som aktivt bruker Organa-plattformen, som er basert på Kubernetes.

– Utviklerne deployer til Organa. Jeg kan lage operatorer for Organa, som lar utviklerne kjøre sikre løsninger bare ved å skrive noen få linjer YAML, sier Londal til kode24.

Ett av hovedpoengene med Organa er å redusere antall valg utviklerne må ta for å kunne levere løsninger raskere, og på en måte som gjør at sikkerheten er ivaretatt.

– Med Organa skal det være lett å gjøre rett, slik at både sikkerhet og andre hensyn ivaretas på en god måte, sier Ellen D. Varsi, Tech Lead og utvikler i PIT.

17.000 ansatte, 120 utviklere

Totalt jobber over 700 i PIT, hvorav de fleste sitter på Majorstuen. Men totalt er det over 17.000 ansatte i politiet, og PIT har mer enn 70 ulike team.

– Det vi gjør er at vi digitaliserer alle systemene politiet bruker. Vi skal gi politifolkene en bedre hverdag og de verktøyene de trenger for å gjøre oppdraget sitt, sier Fredrik Lygre Bergesen, seniorutvikler.

Utviklingsmiljøet i PIT vokser, og det er per i dag 120 fast ansatte utviklere, i tillegg til en rekke innleide konsulenter. PIT rekrutterer nye utviklere aktivt hele tiden, både nyutdannede og erfarne.

– I 2022 ansatte PIT 27 nyutdannede unge talenter, hvor 10 allerede har begynt og resten er på vei inn. Vi vokser og vokser fort, og kommer til å bli betydelig flere de neste årene, sier Dervis Mansuroglu, personnalleder og mentor for utviklerne.

Fra venstre: Dervis Mansuroglu (personalleder og mentor for utviklerne), Fredrik Lygre Bergesen (seniorutvikler), Martin Londal (utvikler) og Ellen D. Varsi (Tech Lead/utvikler) 📸: Kurt Lekanger
Fra venstre: Dervis Mansuroglu (personalleder og mentor for utviklerne), Fredrik Lygre Bergesen (seniorutvikler), Martin Londal (utvikler) og Ellen D. Varsi (Tech Lead/utvikler) 📸: Kurt Lekanger Vis mer

Mye Java

Som i de fleste virksomheter er det noe hyllevare også i politiet, men PIT lager en veldig stor del av programvareløsningene selv. Dette kan være løsninger som brukes i kjøretøy, til å håndtere anmeldelser, etterforskning og digitale spor, DNA-analyser, pass, grensekontroll og mye annet.

– Vi er opptatt av å levere best mulig tjenester for de vi finnes for, både ansatte i politiet og borgerne. Da må vi kunne levere programvare og produkter smidig og med best mulig fart og flyt, sier Mansuroglu.

Valg av teknologi-stack er veldig fritt i PIT.

– Teamene skal få velge selv. Det skal mye til for at teamene ikke skal få lov til å ta i bruk en ny teknologi, sier Ellen D. Varsi.

Dette er noen av teknologiene som brukes av PIT i dag:

  • Mye Java, ofte med Spring Boot
  • Noen team har tatt i bruk Kotlin
  • JavaScript, React og noe Angular på frontend
  • Go på backend i Organa-plattformen
  • Kubernetes
  • Kafka
  • Noe .NET

Hjemmekontor når man vil

Man forbinder kanskje det offentlige med mye byråkrati og tungrodde prosesser, men Ellen D. Varsi mener det ikke er slik i PIT.

For litt over ett år siden endret PIT organisasjonsmodellen slik at utviklerne nå jobber mye mer smidig enn før i tverrfaglige og autonome team – men uten å låse seg slavisk til én bestemt metodikk.

Det viktigste er å finne en arbeidsform som fungerer bra for det enkelte teamet.

– Men metodikk er viktig, det er for eksempel bra å ha retrospektiver – men det betyr ikke at man må gjøre nøyaktig slik det sto i Scrum-litteraturen for 20 år siden, sier Varsi.

Fredrik Lygre Bergesen er seniorutvikler i PIT og liker delingskulturen og at det er kort vei til svaret hvis man lurer på noe. 📸: Kurt Lekanger
Fredrik Lygre Bergesen er seniorutvikler i PIT og liker delingskulturen og at det er kort vei til svaret hvis man lurer på noe. 📸: Kurt Lekanger Vis mer

Terskelen for å ta hjemmekontor i PIT er lav. Noen jobber fra kontoret nesten hver dag, mens andre jobber mest hjemmefra. Det er ingen faste regler på dette, det styrer de ulike teamene selv – men som i andre bedrifter er det selvfølgelig nødvendig å kunne møtes fysisk enkelte dager.

– For oss er utviklernes trivsel viktigst. En moderne og fremtidsrettet organisasjon er nødt til å drive ledelse på en annen måte enn før, og jeg jobber for at utviklerne skal ha en best mulig hverdag, sier Mansuroglu.

Lærer hacking

PIT jobber mye med kompetansebygging og deling av kunnskap. Annenhver onsdag er hele dagen satt av til kompetansebygging, der hver enkelt utvikler kan gjøre hva man vil. Dette kan være alt fra å delta på kurs og fagdager, lese seg opp på noe, ta en sikkerhetssertifisering eller noe annet.

«Folk kan få prøve seg på å hacke en nettside.»

– Vi har en fast seminararena som heter PIT Talks som er lagt til denne dagen. Det dekker mange ulike temaer, men er av teknologer og for teknologer, sier Varsi.

Av de litt mer utradisjonelle tingene som gjøres, er at det hver andre til fjerde uke arrangeres workshops der utviklere kan få "hands on" erfaring med hacking. Martin Londal er en ivrig hacker på fritiden, vel å merke innenfor lovens grenser – og han elsker å lære bort det han kan til kollegaer.

– For eksempel har de fleste hørt om SQL injection, men nesten ingen har gjort det i praksis. Da holder jeg en presentasjon om dette, så kan folk få prøve seg på å hacke en nettside, sier Londal.

Her sitter "Team abyss" i Discord og "reverse engineerer" Minecrafts nettverksprotokoll for å lage en "fly hack" til Minecraft. 📸: PIT
Her sitter "Team abyss" i Discord og "reverse engineerer" Minecrafts nettverksprotokoll for å lage en "fly hack" til Minecraft. 📸: PIT Vis mer

For de som er ekstra gira på å lære om hacking, er det arrangementer man kan delta på på fritiden. For eksempel kan de som har lyst få prøve seg på hacking av spillet Minecraft.

– Vi hoster en Minecraft-server og har laget utfordringer som kun kan løses ved å hacke. Du må "reverse engineere" Minecraft-kildekoden, se hvordan spillet snakker med serveren, og så lage "cheats", forklarer Londal.

Londal har en masse andre hacking-prosjekter på gang, alt fra hacking av wifi-nettverk til droner.

– Jeg vant en drone på JavaZone, men gidder jo ikke å fly drone! Men å hacke den er morsomt. Alt som kan hackes, skal hackes, sier Londal spøkefullt.

«For å forstå hvordan du kan sikre noe, må du forstå hvordan angriperen tenker.»

Ikke bare for lek og moro

Det er selvfølgelig ikke bare for moro skyld at utviklerne i PIT holder på med hacking og sitter og spiller Minecraft.

I tillegg til at det er sosialt og bra for arbeidsmiljøet, gjør denne formen for workshops at utviklere og andre i PIT som er interessert i sikkerhet vil kunne lære en masse om sikkerhetssårbarheter, og hvordan man kan unngå dem.

– For å forstå hvordan du kan sikre noe, må du forstå hvordan angriperen tenker, sier Londal.

Dervis Mansuroglu legger til at det er viktig at de ansatte i PIT ikke bare tenker koding hele tiden. Derfor er det også løpegrupper, e-sport-team, dungeons & dragons-grupper, og mye annet. Og de mer tradisjonelle "after work"-arrangementene.

– Og så har vi har en avtale med et treningssenter rett over veien her, hvor alle i PIT kan trene to timer i uken i arbeidstiden, sier Mansuroglu.