Har brukt sommerferien på å "hacke" kommunevalget

For NTNU-studentene Jonathan, Lise, Eivind, og Jon har det vært en sommer utenom det vanlige. De har nemlig jobbet med å finne sikkerhetshull i det politiske Norge forut for kommunevalget.

«Vi føler at vi har fått sjansen til å gjøre en forskjell», sier NTNU-studentene Lise Millerjord, Jonathan Komada Eriksen, Jon Breivik Smebye og Eivind Standal. «Det er motiverende å komme tilbake til studiene med erfaringen og perspektivene fra i sommer. Vi ser at de sakene vi har meldt fra om til partiene har blitt tatt på alvor, og at mange av funnene våre allerede har blitt fulgt opp og rettet».

De fire studentene har hatt sommerjobb som «snille hackere» i mnemonics avdeling Technical Risk Services (TRS), etter å ha nådd opp blant over 60 søkere. Avdelingen hjelper i det daglige store og små norske virksomheter med å finne og tette sikkerhetshull i sine systemer. I 10 uker har studentene jobbet med å teste sikkerheten i IT-løsningene som brukes av det politiske Norge i valgkampen. Dette har blant annet omfattet hjemmesider, kampanjenettsteder og systemer for å organisere frivillig innsats.

Bakgrunnen for prosjektet er at mnemonic ønsket å gi et bidrag til et sikkert og rettferdig kommunevalg i september. «Vi vet at valgkamporganisasjoner ofte lever kun på luft og kjærlighet og frivillig engasjement, særlig inn mot den korte valgkampen», forklarer Merete Elle, som har vært hovedansvarlig for gjennomføringen av prosjektet. «Behovet for sikre og robuste IT-systemer i det politiske Norge er stort, både for å opprettholde et velfungerende demokrati, og fordi medlemskap i politiske partier er en sensitiv personopplysning. Derfor har vi tilbudt partiene gratis sikkerhetstesting nå i sommer».

I forkant av årets prosjekt tok mnemonic kontakt med samtlige partier på Stortinget, og spurte om de ønsket å være med på prosjektet. Et klart flertall av partiene var positive til dette. «Vi synes dette er skikkelig gladsak», sier Tor E. Bjørstad, som er fagansvarlig konsulent i mnemonic, og initiativtaker til prosjektet. «Partiene har vært veldig imøtekommende og positive til prosjektet, og har fulgt opp arbeidet vårt på en måte som viser at de tar IT-sikkerhet på alvor. Samtidig har de gitt studentene våre en unik mulighet til å bryne seg på realistiske og svært viktige oppgaver».

Studentene har brukt sommeren til å teste 10 ulike IT-systemer på vegne av partiene, og har fått inngående kjennskap til rammeverk som OWASP Top 10 og åpne verktøy som Kali Linux, i tillegg til kommersielle sikkerhetsverktøy som mnemonic bruker i oppdrag. De mener at partiene generelt kan bli flinkere til å stille sikkerhetskrav til sine leverandører. «For systemer som skal håndtere f.eks. medlemsinformasjon, må leverandørene ha kontroll på sikkerheten. Vi trodde først at alt ville være sikkert som banken, men vi har lært veldig mye underveis, og fått til mer enn vi trodde», sier studentene.

På spørsmål om sommerens høydepunkt, er det delte meninger blant studentene. En av løsningene som de testet brukes av politiske kampanjer over hele verden. Å gå inn hovedinngangen på Stortinget for å presentere testrapporten var også et øyeblikk utenom det vanlige. Det viktigste er nok likevel muligheten til å prøve seg i arbeidslivet og gjøre en forskjell. «Nå bærer det tilbake til skolebenken. Vi vil gjerne takke for tilliten og ønske alle partiene godt valg», sier de.

mnemonic er også godt fornøyde med sommeren. «Dette er fire store talenter innen sikkerhet, og vi er imponert over hva de har fått til», sier Merete og Tor. «Vi håper at de vil søke jobb i mnemonic også når de er ferdige med studiene. Det største utfordringen vår nå blir å finne på et like bra prosjekt neste år».

Årets sommerstudenter ved TRS. Fra venstre: Lise Millerjord, Jonathan Komada Eriksen,og Jon Breivik Smebye. Eivind Standal er ikke til stede på bildet, da han har reist videre til utvekslingsår på National University of Singapore.

Det er også svært gledelig at de politiske partiene som deltok i prosjektet er fornøyde. «Vi synes det var positivt og spennende at mnemonic tok kontakt med oss i forkant av valget. Vi mener selv at vi har et godt fokus og gode rutiner rundt IT-sikkerhet, men vi følte det som en ekstra sikkerhet å la mnemonic som vi ikke hadde et kundeforhold til fra tidligere, gjøre en ekstra sjekk på våre systemer», sier Kim Are Sveen, IT-sjef i Høyre.

«Vi har hatt en veldig positiv opplevelse av mnemonics sikkerhetstest. Cybersikkerhet er et viktig tema som tradisjonelt nok ikke har blitt prioritert så høyt som det burde i mange bedrifter og organisasjoner. Heldigvis får det stadig mer oppmerksomhet, men mange, særlig små organisasjoner har fremdeles for lite kunnskap om og/eller ressurser til å holde tritt med utviklingen. Dette initiativet har også helt klart vært med på å øke bevisstheten om it-sikkerhet internt hos oss. Derfor er det svært prisverdig at mnemonic har gjennomført dette prosjektet pro bono. I tillegg var det ekstra hyggelig at testingen ble profesjonelt gjennomført av studenter og derfor samtidig var med å gi verdifull arbeidserfaring for fremtidige sikkerhetseksperter», sier Ole Bruseth, kommunikasjonsrådgiver i Venstre.

 

Er du interessert i å søke internship i mnemonic til neste år? Se våre tre ulike internships her.

Les saken på digi.no