I april vedtok stortinget at IKT-sikkerhet skal være en innebygd del av alle ingeniør- og teknologiutdanningene i Norge. Ved Institutt for informatikk på Universitetet i Oslo har de jobbet med dette siden 2012.
– IT-eksperter uten kunnskap om IT-sikkerhet er som bygningsarkitekter uten kunnskap om brannsikkerhet. Det ville være uforsvarlig å utdanne bygningsarkitekter uten å gi dem kunnskap om brannsikkerhet. På samme måte er IT-utdanning uten obligatoriske moduler i informasjonssikkerhet like uforsvarlig, sier professor Audun Jøsang ved Instiutt for informatikk (IFI).
Innebygd informasjonssikkerhet
Allerede i 2014 skrev professor Jøsang en kronikk i Computerworld om at arbeidet med å skape robust cybersikkerhet i vår nasjonale IKT-infrastruktur må starte med studentene som tar IT-utdanning:
– Digitalisering betyr at digital teknologi innføres for å effektivisere prosesser som tidligere foregikk uten digital teknologi, eller for helt nye prosesser som er helt avhengig av digital teknologi. For eksempel smarte hjem eller tingenes internett. Digitaliseringen sprer seg til nær sagt alle aktiviteter i både arbeids- og privatliv, og skaper betydelige endringer i samfunnet. Digitaliseringen former vår framtidige IKT-infrastruktur og derfor må digitaliseringen gjennomføres med innebygd informasjonssikkerhet for å være bærekraftig. Dette krever at IT-eksperter, ingeniører og systemutviklere har tilstrekkelig kunnskap om nettopp informasjonssikkerhet, fortsetter Jøsang.
Stor bredde i utdanningen
Institutt for informatikk på Universitetet i Oslo gir et bredt spekter av bachelor- og masterutdanninger i informatikk, hvorav ett av dem er et spesialiseringsprogram i informasjonssikkerhet på masternivå.
– Her lærer studentene alt fra grunnleggende IT-sikkerhet, via systemutvikling med innebygd informasjonssikkerhet og personvern, til avansert etisk hacking for å gjøre sikkerhetstesting av IT-systemer, forteller professoren.
Studiet i informasjonssikkerhet er samlokalisert med de andre studieprogrammene innen informatikk. Det er en stor fordel siden studentene dermed kan velge mellom å spesialisere seg hovedsakelig innen informasjonssikkerhet eller å tilegne seg spesifikke ferdigheter i cybersikkerhet som del av andre studieprogrammer i informatikk. Institutt for informatikk planlegger også en helt ny og utvidet masterutdanning i cybersikkerhet med oppstart i 2020.
– Studenter fra andre institutter og fakulteter har også lett tilgang til å ta sikkerhetsemner på IFI. Det gir verdi til hele universitetet. Lærekreftene for undervisning og veiledning i informasjonssikkerhet ved instituttet er blant landets beste, sier han.
Etter- og videreutdanning
I tillegg til de ordinære bachelor- og masterutdanningene tilbyr IFI også en etter- og videreutdanning som har fått navnet «IT og ledelse». Programmet inneholder moduler i ledelse av informasjonssikkerhet og risikostyring.
– Vi tar vår del av ansvaret ved å sørge for at alle som uteksamineres fra IFIs studieprogrammer har med seg nødvendig kunnskap til å sørge for sikkerhet og personvern som del av digitaliseringen og i IKT-infrastruktur, sier Jøsang.
Norges beste team i etisk hacking
– For å kunne stoppe cyberangrep må IT-spesialister kjenne til hvordan hackere tenker, sier Laszlo Erdödi som er forsker og foreleser ved Institutt for informatikk ved Universitetet i Oslo. Derfor opprettet han et eget masterkurs innen etisk hacking i 2018. Kurset er blitt en favoritt blant studenter allerede fra første semester.
– Dette viser at det er en enorm interesse for dette fagområdet blant studentene, sier Erdödi.
IFI har også en studentgruppe for etisk hacking som er åpen for alle IFIs studenter.
– Entusiasmen for etisk hacking gjør at instituttets gruppe for etisk hacking hevder seg sterkt i internasjonale hacke-konkuranser som kalles Capture The Flag, og gjør gruppa til den klart beste i Norge, tilføyer han.
Marit Tokle som blant annet organiserer hacke-konkurransen under The Gathering i Vikingskipet hvert år fortsetter:
– Det er av stor betydning å spre budskapet om viktigheten av informasjonssikkerhet, å fange opp talenter tidlig, og sørge for at de lærer å sette grensen mellom hva som er lovlig og ulovlig, sier Tokle.
IFIs hacke-arena har mottatt generøs finansiering for å bli en velutstyrt hacke-arena, eller cyber-range. Der kan studenter trenes opp i etisk hacking og hendelsesrespons. Det gjennomføres også hacke-øvelser med både «red team» som skal angripe, og «blue team» som skal forsvare nettverk og systemer.
Et dynamisk miljø for cybersikkerhetsforskning
IFIs forskningsgruppe for informasjons- og cybersikkerhet driver avansert forskning i samarbeid med mange norske og internasjonale partnere i industri og akademia.
– Et eksempel er Oslo Analytics som er et forskningsprosjekt innen cybersikkerhet, finansiert av Forskningsrådet. Prosjektet tar sikte på å utvikle ny teknologi for automatisert deteksjon, prediksjon og forebygging av cyberangrep, kombinert med kunstig intelligens for situasjonsforståelse under cyberangrep, forklarer Jøsang.
Samarbeidspartnerne i Oslo Analytics er blant annet Mnemonic, Norges største selskap innen cybersikkerhet, og Norsk Regnesentral som har spisskompetanse innen datavitenskap og maskinlæring. Gjennom samarbeidet skapes det et sterkt fellesskap for fremragende forskning i cybersikkerhet ved universitetet. Ved instituttet avholdes det også konferanser og seminarer om informasjons- og cybersikkerhet kontinuerlig, slik at studenter og forskere har mange arenaer hvor de både kan delta og bidra. Klubben for etisk hacking har ukentlige møter, mens Akademisk Forum Sikkerhet, en seminarserie med populærvitenskapelige foredrag om informasjonssikkerhet, arrangeres hver måned. I tillegg organiserer IFI flere internasjonale fagkonferanser om cybersikkerhet hvert år.
– Det er svært verdifullt at aktivitetene rundt cybersikkerhet er samlokalisert med Institutt for informatikk og de andre fagmiljøene ved Universitetet i Oslo. Det gjør at forskningen og undervisningen kan integreres i multidisiplinære sammenhenger, for det er dette som gir innebygd informasjonssikkerhet i praksis, avslutter professoren.
Av Tom Backe, [email protected]