Datasikkerhet er – naturlig nok – høyt prioritert i Tripletex. I slutten av august arrangerte produkt- og utviklingsavdelingen derfor Security Week – en hel uke med fokus på sikkerhet.
Uken sparket i gang med en sikkerhetslunsj for alle ansatte i Tripletex, der Jørgen Dyrhaug fra Nasjonal sikkerhetsmyndighet holdt et foredrag om datasikkerhet.
– Handler først og fremst om folk
– Responsen var veldig god, og vi fikk noen aha-opplevelser. Det kanskje viktigste budskapet de ansatte tok med seg herfra, var at datasikkerhet først og fremst handler om folk, og ikke bare om verktøy og regler. Å være kritisk til det en møter på nettet er den fremste nøkkelen til å ivareta datasikkerhet. Det er umulig å være 100 % trygg, men små forbedringer hver eneste dag gir stor effekt på datasikkerheten, og gjør det litt vanskeligere for hackerne, sier Azzeddine Abchir, utviklingsleder i produkt- og utviklingsavdelingen.
Hilde Telle Hoel, produktspesialist i Tripletex, opplevde også sikkerhetslunsjen som svært matnyttig.
– Sikkerhetslunsjen var inspirerende, og får en særlig til tenke på passordbruk og sikkerhet generelt i hverdagen, både privat og på jobb.
Utfordret til prøve å hacke eget system
I etterkant av sikkerhetslunsjen ble utviklerne til Tripletex selv utfordret. Oppdraget? Forsøke å hacke Tripletex.
Hackesesjonen startet med opplæring i BURP Suite, et verktøy som kan brukes til å blant annet finne sårbarheter i datasikkerheten til en nettside eller en applikasjon.
– Det var veldig spennende å få muligheten til å lære seg et verktøy som lar oss se etter svakheter. Med BURP Suite ble vi mer oppmerksomme på potensielle svakheter i Tripletex, sier utvikler Ludvig Lilleberg.
Deretter ble utviklere og produkteiere kastet ut på dypt vann, med en hel dag dedikert til å lete etter svakheter i systemet.
– Vi ser på dette som en både gøy, og, ikke minst, ekstremt nyttig øvelse. Det gir oss muligheten til å se systemet fra et annet perspektiv. Til hverdags ligger fokuset på å hele tiden lete etter muligheter til å fortsette å utvikle Tripletex som det beste regnskapsprogrammet på markedet. Med hackingen får vi muligheten til å finne potensielle sårbarheter og se applikasjonen vårt fra et annet perspektiv, sier Azzeddine.
Les også: – Starten på en AI-revolusjon innen produktutvikling
– Aldri ferdig utlært på sikkerhet
Et viktig mål med denne øvelsen har vært å få egne utviklere til å se på koden med et mer eksternt blikk, og tenke som hackere gjør, med å gå bak koden og finne mønstre som kan gjøre systemet sårbart for folk og grupper med uedle hensikter. Den tankegangen er viktig å ta med seg inn når man utvikler Tripletex videre.
Resultatet etter en hel dag med målrettet hacking, var at noen potensielle sikkerhetsbrister eller sårbarheter ble avdekket, men heldigvis var ingen av det kritiske slaget.
– Det er betryggende å se at vi ikke klarte å finne noen kritiske svakheter. Samtidig er denne øvelsen en påminnelse om at vi aldri er ferdig utlært på sikkerhet og alltid kan bli bedre for hver dag. Erfaringen fra hackesesjonen tar vi med oss videre, med en kritisk tankegang i hele utviklingsprosessen, sier Azzeddine.
Produktspesialist Jannicke Stien sier seg enig i det.
– Security Week har lært oss at sikkerhet ikke bare er en oppgave for vårt dedikerte sikkerhetsteam, men noe vi alle må ta ansvar for.
