UTVIKLING

Bruker poker for å finne feil i IT-systemer: – Kortene tvinger fram heftige diskusjoner

Michael Dyer kom til finalebordet i World Series of Poker sommeren 2018 i Las Vegas. Illustrasjonsfoto.
Michael Dyer kom til finalebordet i World Series of Poker sommeren 2018 i Las Vegas. Illustrasjonsfoto. Foto: John Locher/NTB Scanpix
GUNHILD M. HAUGNES, TITAN.UIO.NO
16. jan. 2019 - 05:00

Denne artikkelen er levert av Titan.uio.no, en nettavis utgitt av Universitetet i Oslo (UiO).

Informatikkstudentene legger kortene på bordet. Så starter en heftig diskusjon. Det kan øke sikkerheten og gi mer bærekraftig digitalisering.

To vanlige kortstokker og en håndfull grupper med to til seks bachelorstudenter i hver. Masterstudent Hanne Rygge gir beskjed om at de skal spille poker. Studentene begynner å legge ut kort, og diskusjonen blir raskt høylytt.

Trusselpoker

Riktignok er det ikke vanlig poker de spiller, men såkalt Trusselpoker – og det handler om programvareutvikling og sikkerhet.

Det er en kjent sak at det finnes mange sikkerhetshull i ulike typer programvare. Tradisjonelt har utviklerne sett på sikkerhetsaspektet først etter at programvaren er ferdig utviklet.

Men med nytt lovverk, ikke minst det nye personvernregimet fra EU, GDPR, stilles det strengere krav til programvareutvikling. Blant annet betyr det at sikkerhet og personvern skal innbygges i alle deler av IT-systemene.

Så hvordan kan kortstokken hjelpe til med det?

Studentene får utdelt en full rekke hver fra ess til konge i svart (spar eller kløver) og i rødt (hjerter eller ruter). Så får de presentert ulike problemstillinger, ulike funksjoner i IT-system.

Avgjør trusselnivået

Masterstudent Hanne Rygge i samtale med veileder og professor Audun Jøsang på Institutt for informatikk. Trusselpoker er sentral i Rygges masteroppgave. <i>Foto:  Gunhild M. Haugnes/UiO</i>
Masterstudent Hanne Rygge i samtale med veileder og professor Audun Jøsang på Institutt for informatikk. Trusselpoker er sentral i Rygges masteroppgave. Foto:  Gunhild M. Haugnes/UiO

I studentprosjektet som Rygge ledet, var det snakk om utvikling av programvare for et nettapotek.

Her er det mange funksjoner hvor sikkerhet og personvern er viktig. Blant annet gjelder det lagring og håndtering av resepter, personlig informasjon om pasientene og betalingsløsningen.

Studentene må tenke gjennom hvert av de ulike leddene i programvareutviklingen og hva som kan gå galt. De må vurdere mulige scenarier på forhånd, avgjøre risikonivået og finne ut hvordan de kan løse utfordringene.

– Hvis en student mener det er veldig enkelt å løse sikkerhetsutfordringene i en spesifikk del, legger han/hun ut en toer eller et annet lavt tall. Mener studenten det er veldig vanskelig og er et kritisk punkt, legger han/hun ut en knekt, dronning eller konge, forklarer Rygge.

– Tvinger frem standpunkt

Når alle i gruppa har lagt ut sitt kort, må hver enkelt være beredt til å forsvare og forklare hvorfor de har valgt akkurat det kortet. De må argumentere mot dem som har brukt andre kort.

– Kortene tvinger fram et standpunkt, og det kan bli en heftig diskusjon rundt bordet. Og det er det som er hensikten. Det gjelder å få fram argumentene, mulige brukerscenarier og å diskutere seg fram til en enighet om hvordan man skal takle sikkerhetsspørsmålene i den enkelte delen av systemet, sier Rygge.

Trusselpoker er en team-basert metode som brukes ved fleksibel programvareutvikling. Her vurderes både sikkerhets- og personvernrisiko for å få fram innsatsen som trengs for å fjerne sårbarhet i den nye programvaren.

Metodikken handler om å utvikle sikkerheten underveis, det vil si at innebygd sikkerhet og personvern går hånd i hånd med programvareutviklingen.

Dette er basert på såkalt Scrum, som er et rammeverk laget for å utvikle komplekse informasjonssystemer.

(artikkelen fortsetter under)

Vellykket metodikk

Scrum innbefatter team som driver seg selv og har store fullmakter for å nå målene innen programvareutviklingen. Funksjonene som skal utvikles settes opp i en prioritert liste, og det legges opp til at teamet jevnlig diskuterer utviklingen.

Bruk av kortstokk i programvareutviklingen er ikke ukjent, men Institutt for informatikk ved UiO og professor Audun Jøsang har gjort noen tilpasninger som nå testes ut på studentene i dette prosjektet. Han mener det er en vellykket metodikk.

– Under programvareutvikling har sikkerhetsanalyse typisk vært kjedelig og derfor ofte blitt glemt. Men diskusjonene som kortspillet får i gang, stimulerer hjernecellene og setter i gang prosessene hos studentene. De tenker mer abstrakt og ser for seg scenariene, sier Jøsang, som er overbevist om at dette bidrar til sikrere koding.

– Det er gir rett og slett mer bærekraftig digitalisering. Dessuten blir det gøy å gjøre sikkerhetsanalyse.

Hanne Rygge, som har dette som en del av sin masteroppgave i informatikk, nikker.

– Det var veldig moro å jobbe med dette prosjektet. Diskusjonene gikk høyt i gruppene, alle ble veldig engasjert, sier hun.

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.