Artikkel

Derfor spiller informatikkstudentene poker

Trusselpoker
Hvert trekk studentene gjør, signaliserer risikoen i programvaren de skal utvikle.

Derfor spiller informatikkstudentene poker

Informatikkstudentene legger kortene på bordet. Så starter en heftig diskusjon. Det øker sikkerheten og gir bærekraftig digitalisering.

To vanlige kortstokker og en håndfull grupper med to til seks bachelorstudenter i hver. Masterstudent Hanne Rygge gir beskjed om at de skal spille poker. Studentene begynner å legge ut kort, og diskusjonen blir raskt høylytt.

Riktignok er det ikke vanlig poker de spiller, men såkalt Trusselpoker – og det handler om programvareutvikling og sikkerhet.

Hanne Rygge
Trusselpoker er sentral i Hanne Rygges masteroppgave. Foto: Gunhild M. Haugnes/UiO Bruk bildet.

Det er en kjent sak at det finnes mange sikkerhetshull i ulike typer programvare. Tradisjonelt har utviklerne sett på sikkerhetsaspektet først etter at programvaren er ferdig utviklet. Men med nytt lovverk, ikke minst det nye personvernregimet fra EU, GDPR, stilles det strengere krav til programvareutvikling. Blant annet betyr det at sikkerhet og personvern skal innbygges i alle deler av IT-systemene.

Så hvordan kan kortstokken hjelpe til med det?

Alt som kan skje i et nettapotek

Studentene får utdelt en full rekke hver fra ess til konge i svart (spar eller kløver) og i rødt (hjerter eller ruter). Så får de presentert ulike problemstillinger, ulike funksjoner i IT-system.

I studentprosjektet som Rygge ledet, var det snakk om utvikling av programvare for et nettapotek. Her er det mange funksjoner hvor sikkerhet og/eller personvern er viktig. Blant annet gjelder det lagring og håndtering av resepter, personlig informasjon om pasientene og betalingsløsningen.

Studentene må tenke gjennom hvert av de ulike leddene i programvareutviklingen og hva som kan gå galt. De må vurdere mulige scenarier på forhånd, avgjøre risikonivået og finne ut hvordan de kan løse utfordringene.

– Hvis en student mener det er veldig enkelt å løse sikkerhetsutfordringene i en spesifikk del, legger han/hun ut en toer eller et annet lavt tall. Mener studenten det er veldig vanskelig og er et kritisk punkt, legger han/hun ut en knekt, dronning eller konge, forklarer Rygge.

Når alle i gruppa har lagt ut sitt kort, må hver enkelt være beredt til å forsvare og forklare hvorfor de har valgt akkurat det kortet. De må argumentere mot dem som har brukt andre kort.

– Kortene tvinger fram et standpunkt, og det kan bli en heftig diskusjon rundt bordet. Og det er det som er hensikten. Det gjelder å få fram argumentene, mulige brukerscenarier og å diskutere seg fram til en enighet om hvordan man skal takle sikkerhetsspørsmålene i den enkelte delen av systemet, sier Rygge.

Er du interessert i forskningsnyheter om realfag og teknologi: Følg Titan.uo.no på Facebook eller abonner på nyhetsbrevet vårt

Trusselpoker og Scrum

Trusselpoker er en team-basert metode som brukes ved fleksibel programvareutvikling. Her vurderes både sikkerhets- og personvernrisiko for å få fram innsatsen som trengs for å fjerne sårbarhet i den nye programvaren.

Metodikken handler om å utvikle sikkerheten underveis, det vil si at innebygd sikkerhet og personvern går hånd i hånd med programvareutviklingen.

Dette er basert på såkalt Scrum, som er et rammeverk laget for å utvikle komplekse informasjonssystemer. Scrum innbefatter team som driver seg selv og har store fullmakter for å nå målene innen programvareutviklingen. Funksjonene som skal utvikles settes opp i en prioritert liste, og det legges opp til at teamet jevnlig diskuterer utviklingen.

Hjernesimulering og bærekraftig digitalsering

Bruk av kortstokk i programvareutviklingen er ikke ukjent, men Institutt for informatikk ved UiO og professor Audun Jøsang har gjort noen tilpasninger som nå testes ut på studentene i dette prosjektet. Han mener det er en vellykket metodikk.

Hanne Rygge, Audun Jøsang
Masterstudent Hanne Rygge i samtale med veileder og professor Audun Jøsang på Institutt for informatikk. Foto: Gunhild M. Haugnes/UiO Bruk bildet.

– Under programvareutvikling har sikkerhetsanalyse typisk vært kjedelig og derfor ofte blitt glemt. Men diskusjonene som kortspillet får i gang, stimulerer hjernecellene og setter i gang prosessene hos studentene. De tenker mer abstrakt og ser for seg scenariene, sier Jøsang, som er overbevist om at dette bidrar til sikrere koding.

– Det er gir rett og slett mer bærekraftig digitalisering. Dessuten blir det gøy å gjøre sikkerhetsanalyse.

Hanne Rygge, som har dette som en del av sin masteroppgave i informatikk, nikker.

– Det var veldig moro å jobbe med dette prosjektet. Diskusjonene gikk høyt i gruppene, alle ble veldig engasjert, sier hun.

Kontakt:

Professor Audun Jøsang, Institutt for informatikk

Mer på Titan.uio.no:

Les også