Hendelsesrapport: DIGG tar informasjonssikkerhet på alvor

En sikkerhetspolitisk verkebyll er tettet takket være dugnadsarbeid mellom annet forfallent arbeid.

Skrevet av CISO, Digitaliseringsgevinsten 25.06.2025

CMS ble lansert med brask og bram. Det viste seg å bli et mareritt. Foto: Redaktøren

Det var enda en tidlig morgen for flere av redaksjonens medlemmer da vi mottok et internt varsel om at sikkerheten bak DIGGs ferske CMS ikke holdt vann.

Det hele startet med en drøm om å gjøre DIGG mer tilgjengelig for folk flest. Under fagdag for utviklere tok William ansvar for at dette skulle prioriteres.

Hans Erling Klevstad og Nikolai Johannessen (bedre kjent som AWS-Nikolai) fikk oppgaven med å transformere prosessen for artikler i Digitaliseringsgevinsten. Noe de gjorde med effektivitet og presisjon.

Det nye publiseringsverktøyet ble lansert med brask, bram og småkaker fra First Price 17. juni 2025.

Drømmen som brast

Drømmen skulle vise seg å bli et mareritt.

Klokken 10:40, et tidspunkt de fleste av redaksjonens medlemmer fortsatt sov, kom det frem et internt varsel om at sikkerhetsmekanismene bak CMS-løsningen var for dårlig, og at dette representerte en stor risiko for Oslo kommunes tillit og økonomi.

Dette kunne ikke en avis med så høy integritet stå inne for.

Trange tider

Etter hamrende kritikk fra DIGGs journalist svarer avisas domeneansvarlig, Nikolai, følgende:

- Digg-avisa er faktisk det viktigste produktet Team DIGG leverer. Vårt enestående fokus er på avisa, og vi beklager at en såpass kritisk feil har kommet gjennom den robuste utviklingsprosessen vår.

Domeneansvarlig legger til at sviktende økonomiske investeringer over tid og generell mangel på sikkerhetskultur er rotårsakene til den alvorlige glippen.

Han ville forøvrig hverken kommentere ryktene om dekningen av Jeffrey Bezoz’ venetiske bryllup eller potensielle eierskifteløsninger hos Digg ASA (Diggs moderselskap, red.anm).

Satte krisestab

Redaksjonen reagerte lynraskt. Visse medlemmer ytret en viss misnøye over å prioritere informasjonssikkerhetsarbeid. Men vi ble raskt enig om en slagplan.

Klokken 14:00 ble det vedtatt at plattformen skulle gå over til en adekvat autentiseringsløsning.

Prioriter sikkerhetsarbeidet

Redaksjonen har testet i produksjonsmiljøet og konkludert med at autentitseringsløsningen er en suksesshistorie for både gode prosesser, informasjonssikkerhet, design og QA-testing. Fra nå av skal alle team bestå av tre utviklere og én ufaglært jurist med tvilsom tilgang til GitHub.

Redaktøren selv er veldig fornøyd med dagens arbeid og uttaler til Digitaliseringsgevinstens journalist at hun har lært at det er en rekke krav hva gjelder informasjonssikkerhet og personvern.

- Veldig kjedelig egentlig, legger redaktøren til.

1.00

Utvikler i Digg: Hans Erling Klevstad syns det er morsomt å jobbe med datasikkerhet.

På motsatt side uttaler Hans Erling at han syns autentisering var overraskende enkelt å sette opp for tjenesten og at Digg burde ha tatt seg bryet tidligere. - Arbeid tilknyttet autentiserings-avvik knytter bånd og fremmer samarbeid og felleskap, påpeker nordlendingen.

Og med det kan vi i dag både lansere CMS og vårt nybrottsarbeid for cybersikkerhet i det offentlige.

NB: CISO i DIGG, journalist i Digg, må ikke forveksles med ansvarlig redaktør i Digitaliseringsgevinsten.