Skatteetaten stakk av med seieren i cybersikkerhetskonkurransen Capture the flag, i virtuell kamp mot mer enn 50 lag med tekniske eksperter fra en rekke virksomheter. På bildet ser vi Audun Landøy Solli og Morten Hornnes fra vinnerlaget.

Et urolig verdensbilde i kombinasjon med akselererende teknologiutvikling skaper nye sikkerhetsutfordringer for norske myndigheter. I Skatteetaten tar vi denne utviklingen på dypeste alvor.

Én av hverdagsheltene som jobber med cybersikkerhet i Skatteetaten er Audun Landøy Solli. Han har masterutdanning innen informasjonssikkerhet og startet i Skatteetaten så sent som i sommer. I arbeidshverdagen bidrar han og resten av sikkerhetsteamet til at 1400 milliarder skattekroner trygt kan rulle gjennom våre systemer, før de fordeles ut igjen til fellesskapets beste. Mellom slagene fyller Audun opp kompetansekoppen ved å delta i cybersikkerhetskonkurranser. Det sørger for faglig påfyll. Og mye moro.

- Eg trur på velferdssamfunnet, der alle er med å bidreg til at vi får eit godt land å bu i. For oss som arbeidar med IT-sikkerheit i Skatteetaten handlar bidraget om å sikre IT-systema våre mot eksterne trugslar. Kvar dag opplever vi ei stor mengde cyberåtak frå ondsinna krefter og vi må vere minst like skarpe, kreative og smarte som åtakarane for å kunne forsvare oss. Difor har vi stor fridom til å byggje kompetanse i røyndsnære omgjevnadar, seier Solli.

Til topps i etisk hackekonkurranse 

Og vi ser at medisinen virker. I slutten av oktober arrangerte etaten Sikkerhetsdagen 2022 sammen med gode venner fra Universitetet i Agder. I forkant ble det avholdt en konkurranse ved navn «Capture the flag» (CTF), der hele 54 lag med sikkerhetseksperter deltok. Kampen var hard. Motstanderne tøffe. Men da førsteplassen skulle kåres var det Skatteetatens sikkerhetsteam som ble utropt til vinnere. 

I dag er konkurranser innen capture the flag (CTF) en stor internasjonal begivenhet i cybermiljøet, og kan på mange måter sammenlignes med E-sport i gaming-universet. 

- Capture the flag er en konkurranseform som handler om å bryte seg inn i IT-systemer ved å løse forskjellige virtuelle oppgaver. Se for deg at du skal bryte deg inn i et låst hus, i et låst kontor, innerst i en lukket server, åpne en skuff, ta ut en konvolutt og finne en ledetråd. Samtidig skal motstanderne gjøre alt de kan for å forhindre deg i å nå frem. Likheten til reelle hackerangrep er i mange tilfeller slående. Når vi ser hvordan nye angrep kan utføres lærer vi også å forsvare oss mot dem. Deltakelse i CTF-konkurranser bidrar til å holde oss på tå hev, Det kan sammenlignes med å holde seg i kampform for en idrettsutøver, forklarer Haugmoen.

Virkelighetsnær kompetanseheving 

Historien vår begynte i 2021 da sikkerhetsledelsen etablerte et nytt team innenfor penetrasjonstesting. Det innebærer i praksis at Skatteetaten ansatte tekniske eksperter som fikk èn hovedoppgave for øye: å hacke seg inn i egne systemer. Disse menneskene ble plassert i et rødt lag. Samtidig skulle den andre delen av sikkerhetsteamet, det blå laget, forsvare seg mot angrepene. Denne fremgangsmåten har siden blitt et lystbetont og viktig kompetansetiltak for å holde Skatteetatens sikkerhetsteam i kampform og systemene våre rene fra reelle hackerangrep. 

- Førsteplassen i denne konkurransen viser at sikkerhetsteamet vårt har tatt store steg på kort tid. Vi har satt sammen et mangfoldig lag med høy grad av moral og etikk, men også ulik kompetanse, bakgrunn og alder for å sikre at vi ivaretar ulike perspektiver. Vi beskytter en nasjonal cashflow på 1400 milliarder kroner årlig. Derfor er det helt nødvendig med et sikkerhetsmangfold som ser ulike nyanser av en problemstilling, oppdager avvik og tetter sikkerhetshull. Dette er lagarbeid, sier Haugmoen. 

Søker flere sikkerhetskolleger 

Sikkerhetsekspertisen i Skatteetaten sitter på flere lokasjoner rundt om i Norge. Ett av de største sikkerhetsmiljøene holder hus i Grimstad, der både Haugmoen og Solli jobber i det daglige. Nå ønsker de seg flere kolleger som vil være med å sikre samfunnskritiske IT-systemer i verdens beste velferdssamfunn. 

- For noen år siden var vi kun en håndfull medarbeidere som jobbet aktivt med sikkerhet i Skatteetaten. Nå er vi mer enn 50, og mange av dem er blant landets fremste innen sitt domene. Vi ønsker likevel å bli flere. Skatteetaten er en sentral bærebjelke i det norske velferdssamfunnet og sikkerhetsperspektivet kan ikke overvurderes i møte med nye globale trusler og digitale sårbarheter, sier Haugmoen. 

Audun ønsker seg flere kolleger med samme interessefelt, men gjerne med ulik domenekompetanse og andre ferdigheter enn han selv. Mulighetene er mange. 

- Sikkerheitsarbeid kan samanliknas med eit quizlag. Nokon er gode på historie, nokon på kulturfeltet og andre på sport. Til saman dekkjer laget eit breitt felt av kjennskap. Sånn er det hjå oss også. Vi samarbeider tett kvar einaste dag. Og lærar av kvarande heile vegen. Alle er forskjellige, og det får dei moglegheiten til å fortsetje å vere i Skatteetaten.   

- Mange som blir uteksaminert frå ein sikkerheitsutdanning startar i konsulentbransjen. Det kan vere bra for nokon, men ulempa er at oppdraga ofte er av kort varigheit. For meg har det vert viktigare med ein fast og stabil ramme der eg kan ta ansvar og eigerskap til systema eg er satt til å sikre. I tillegg byggjer vi eit samhald i laget mitt som er vanskeleg å matche. Eg trur ikkje det er nokon av dei eg studera med som har det like gøy på jobb som meg, sier den blide bergenseren.