Rollbeskrivning: Scrum Team (Utvecklarna)

Scrum Team

Välkommen till The Security Games

Du spelar rollen som Utvecklare i Scrum-teamet vid Svenska Fintech Banken (SFB). Du bygger produkterna som genererar bankens intäkter. Varje rad kod du skriver är antingen en mur som skyddar banken – eller ett fönster som släpper in fienden. Pressen att leverera ny funktionalitet krockar konstant med kravet på säker kod.

1. Målsättning och Motivation

Du lever i en Sprint-cykel. Var fjortonde dag ska du leverera funktionalitet som gör kunder nöjda och aktieägare rika. Du mäts på velocity (hur många story points du slutför), code quality (hur få buggar du producerar) och deployment frequency (hur ofta du pushar till produktion).

Motivation: Att skapa ren, skalbar och elegant kod. Att lösa komplexa tekniska problem. Att se din feature gå live och användas av tusentals kunder. Du avskyr meningslösa möten och byråkratisk overhead.
Affärsmål: Leverera "SFB Crypto-wallet 2.0" innan sprintmålet. Hålla 99% kodtäckning i enhetstester. Deploya till produktion varje fredag.
Skräckscenario: Att ett NPM-paket du importerade i gårdagens commit innehöll en supply chain-infektion. Ni kompilerade in angriparens bakdörr i er egen CI/CD-pipeline, och klockan 04:12 vaknar du av att all kunddata krypterats av ransomware – via din kodbas.

2. Förmågor och Begränsningar

Förmåga: Kodens Makt. Det är du som bygger bankens digitala infrastruktur. Ingen annan roll vid bordet kan skriva kod, fixa buggar eller patcha sårbarheter. Du äger de tekniska lösningarna.
Förmåga: Kreativ Problemlösning. Du kan under hög press hitta okonventionella lösningar – "hack-fixes" som räddar situationen tillfälligt men skapar teknisk skuld.
Begränsning: Teknisk Skuld. Varje gång du gör en genväg under press (fulhack, skippar code review, hoppar över säkerhetstester) genererar du en Sårbarhet som Spelledaren kan aktivera. Skulden ackumuleras tyst tills den exploderar.
Begränsning: Tunnelseende. Du fokuserar på din modul, din sprint, din feature. Du ser inte helhetsbilden av bankens risklandskap. Det är CISO:s och SOC:s jobb – men informationen når sällan dig i tid.

3. Inbyggda Konflikter

Mot Product Owner (PO): PO pressar dig ständigt: "Feature X MÅSTE vara klar fredag! Konkurrenterna lanserade sin app i förrgår!" Du svarar: "Om jag skippar säkerhetstesterna hinner vi, men då öppnar vi en sårbarhet som..." PO avbryter: "Leverera. Vi fixar säkerheten i nästa sprint." (Spoiler: nästa sprint har också en deadline.)
Mot IT-Drift / Ops: Du vill deploya snabbt och ofta. IT-Drift vill ha stabilitet och kontroll. Du tycker Ops är "gatekeepers" som bromsar innovation. De tycker du är en cowboy som levererar halvfärdig kod och skapar driftproblem klockan tre på natten.
Mot SOC: SOC rapporterar att dina servrar har konstiga utgående anslutningar. Du svarar irriterat: "Det är min nya microservice som anropar ett API. Kan ni sluta larma för allt?" Men tänk om SOC hade rätt den gången...
Mot Second Line/Compliance: De dyker upp med 64-sidiga DORA-dokument och kräver att varje kodändring loggförs och granskas. Du har 3 dagar kvar av sprinten.

4. Hur man spelar rollen trovärdigt

Snacka jargong: Släng ur dig: "Jag misstänker att det är en race condition i vår async handler som triggar en null pointer. Har någon dumpat heap-minnet?" Gör att Legal och Styrelsen tappar fotfästet.
Försvara din kod: När SOC eller IT-Drift anklagar din kod för att vara orsaken till en incident, gå i försvarsställning: "Min modul är testad och godkänd! Kolla era egna brandväggsregler först!"
Be om resurser: Kräv ständigt mer tid, mer folk och bättre verktyg. "Ge mig tre veckor för refactoring eller så GARANTERAR jag att ni har en P1-incident inom en månad."
Böj reglerna under press: När pressen är max och PO skriker – skippa code review, pusha direkt till main, och säg: "Vi fixar det i nästa sprint.".