Knallhard kamp om sikkerhetsekspertene

Gapet mellom tilbud og etterspørsel på spesialister innen it-sikkerhet har trolig aldri vært større.

Leif Hamnes
Publisert Sist oppdatert

Vi tar de gode nyhetene først: Norske offentlige og private virksomheter viser gryende tegn til å ta faren for cyberangrep - og informasjonssikkerhet generelt - på alvor.

Fokuset ser også ut til å ha tatt spranget fra festtaler og over på rekrutteringsbudsjettet.

I skrivende stund viser et overslag basert på stillingsdatabasene hos Nav og Finn.no at i overkant av 120 stillinger er utlyst, der kompetanse innen it-sikkerhet utgjør enten hele eller deler av kompetansekravet.

Blant de som er ute og rekrutterer i markedet, finner vi både cybersikkerhetsaktører som Cyberforsvaret og NSM, offentlige instanser som Sykehuspartner, Difi og Justis- og beredskapsdepartemenetet - samt kommersielle aktører som Kongsberg Maritime, Evry, Devoteam, Visma og Accenture.

Tallene går ikke opp

Så til malurten: Hvor skal alle disse sikkerhetsekspertene komme fra?

- Behovet er ikke tallfestet, men markedet er i ferd med å bli støvsuget, fastslår direktør Kristine Beitland i Næringslivets sikkerhetsråd (NSR).

Hun viser til NSRs mørketallsundersøkelse fra i fjor, der det ble slått fast at hovedårsaken til at det ikke er gjennomført sikkerhetsarbeid, statlig som privat, er manglende kompetanse.

- NSM konkludererer med økt trusselbilde og svekket sikkerhetstilstand. Dette krever mye mer av daglig leder og styre i dag. Vi vet at myndighetene vektlegger sikkerhet i arbeidet med digitalisering av offentlig sektor, foruten at det bygges opp Finanscert, Helsecert og Justiscert i tillegg til økt satsing på Norcert. Et sted må de hente kompetansen fra, illustrerer Beitland.

- Utømmelig

Hun tror ikke utdanningssektoren er dimensjonert for å ta unna kompetansebehovet.

Hun roser samtidig det tverrsektorielle samarbeidet CSET på Gjøvik (se faktaboks), og mener sikkerhet får større fokus også ved de øvrige utdanningsinstitusjonene.

- Jeg tror at vakuumet er så stort fordi de elektroniske verktøyene nå er basisen for all virksomhet. Behovet er nesten utømmelig for øyeblikket, sier Beitland.

Mer enn et valgfag

- Ja, det er slik akkurat nå. Forsvaret mister folk til Kripos, som mister folk til NSM, som mister til Mnemonic, som mister til DnB - og så videre. Det blir en runddans, istemmer dekan Morten Irgens ved Avdeling for informatikk og medieteknologi ved Høgskolen i Gjøvik (HiG).

Hans arbeidsplass er siden oppstarten av CSET (se fakta) blitt det uoffisielle norske kraftsentret for utdanning av it-sikkerhetseksperter og relatert forskning. Tross dette framskrittet ser han et strukturelt problem innen norsk it-utdanning.

- Utdannelsesprogrammene i Norge er per i dag gjerne informatikkutdannelser, men med noen innbakte kurs i it-sikkerhet. Unntakene er Forsvarets ingeniørhøgskole og her i Gjøvik, hvor vi har bygget opp bachelor- og masterstudier utelukkende dedikert til informasjonssikkerhet. Det er krypto, penetrering, inntrengningsforsvar sikkerhetsledelse, organisasjonsforståelse, sosioteknologiske aspekter - du klarer ikke dytte alt dette inn i noen tilleggskurs, mener Irgens.

- En grasrotreaksjon

Irgens mener utfordringen ligger i et paradoks: At fagområdet endrer seg ekstremt raskt, samtidig som det forventes at man må kunne se minst tre år fram i tid.

- Det korte svaret er at også utdanning på bachelornivå må være forskningsbasert, studentene må eksempelvis kunne siste utvikling på kryptoalgoritmer. Når vi nå har gått ut og etablert konsortium med Politiet, Forsvaret og Statkraft - for å nevne noen - er det for å øke kvaliteten på studentene vi levererer. Vi har med andre ord sett på kompetansemangelen som et så stort nasjonalt problem at dette samarbeidet er blitt til nærmest som en grasrotrespons. Vi arbeider nå med Politihøgskolen om en masterutdanning innen cyberkriminalitet. Når betalte politiet et professorat sist? Heller ikke dette har vært gjort før, sier Irgens.

NSM vil ese videre

Kompetansekrisen er altså både sett og forstått av alle aktører, og tilsynelatende forsøkt demmet opp for gjennom det nyopprettede CSET-senteret på Gjøvik - i seg selv et unikt samarbeid i internasjonal målestokk.

Samtidig trenger senteret tid til å etablere seg og uteksaminere kandidater, men "ventetiden" faller på et tidspunkt hvor datasikkerhet i ulike former krever stadig mer plass i den offentlige bevisstheten.

Suget etter sikkerhetskompetanse eksploderer tilsynelatende synkront i privat og ikke minst offentlig sektor:

Digitaliseringen av det offentlige fortsetter i uforminsket takt, Cyberforsvaret er kanskje den eneste avdelingen i Forsvaret som ikke trenger å frykte budsjettøksa, og NSM fikk nylig økt sine rammer betydelig.

- I likhet med andre virksomheter som jobber med IT-sikkerhet, er NSM i vekst, og i år har vi økt bemanningen fra 140 til rundt 200 ansatte. Økningen skal fortsette i 2014. Når det er sagt, så ser vi, i likhet med mange andre, at det er vanskelig å rekruttere spesialister innenfor IT-sikkerhet. Det er mange som konkurrerer om talentene. Etableringen av CSET er et skritt på veien for å øke antallet spesialister, sier kommunikasjonsrådgiver Fredrik Johnsen i Nasjonal sikkerhetsmyndighet.

Direktør for næringsutvikling i IKT-Norge, Fredrik Syversen, ser ikke noen snarlig bedring i sikte.

- Vi ser store virksomheter med store behov, og at det ikke er veldig mange som utdannes. Problemet vil heller ikke avta, sikkerhet vil bare bli mer og mer i fokus. Men like bekymringsverdig som at vi ikke greier å få få nok folk ut av utdanningsinstitusjonene er den underliggende utfordringen i bånn: At vi ikke har nok folk til å søke seg til denne typen utdanninger, sier Syversen.

Disse spissmiljøene trenger folk

MILITÆRT:

Etterretningstjenesten:

  • Sivil og militær etterretningstjeneste rettet mot utlandet, ansvar for all etterretning i Forsvaret.
  • Gjelder også offensive og defensive såkalte “informasjonsoperasjoner”.
  • Ledes av generalløytnant Kjell Grandhagen.

Cyberforsvaret:

  • Opprettet 1. februar 2009, under det noe mer kronglete navnet Forsvarets Informasjonsinfrastruktur (INI) med ca. 1200 ansatte fordelt på over 60 steder rundt om i landet.
  • Hovedtyngden ligger på Kolsås og Jørstadmoen.
  • Har bl.a. ansvar for Communication and Information Systems Task Group (CIS TG), Taktisk datalink (TDL) og ikke minst Forsvarets senter for beskyttelse av kritisk infrastruktur (FSKI) med Computer Network Defence (CND)-enheten.
  • Drifter, utvikler og beskytter Forsvarets nettverk i inn- og utland. Utdanner dessuten ingeniører og befal ved Forsvarets ingeniørhøgskole.
  • Forsvarssjefens nærmeste rådgivere for utviklingen av et såkalt «nettverksbasert forsvar». Cyberforsvaret ledes av generalmajor Roar Sundseth.

SIVILT:

Nasjonal Sikkerhetsmyndighet (NSM):

  • Sivilt direktorat for forebyggende sikkerhetstjeneste.
  • Skal beskytte informasjon og objekter mot spionasje, sabotasje og terror.
  • Via avdelingen NorCERT (se eget punkt) og et nasjonalt sensornettverk varsler NSM alvorlige dataangrep og bistår i håndteringen.
  • Underlagt Forsvarsdepartementet, men rapporterer til Justisdepartementet om saker i sivil sektor. Ledes av direktør Kjetil Nilsen.

Politiets sikkerhetstjeneste (PST):

  • Ansvar for nasjonal sikkerhet innenfor Norges grenser, deriblant kontraetterretning.
  • Kan både avdekke og selv utnytte it-baserte teknikker for spionasje.
  • Ledes av Marie Benedicte Bjørnland.

Norsk senter for informasjonssikring (NorSIS):

  • Underlagt Fornyingsdepartementet (FAD), base i Gjøvik.
  • Holdningsskapende, forebyggende rolle for it-sikkerhetskultur i privat og offentlig sektor.
  • Ledes av Tore Larsen Orderløkken.

Center for Cyber- and Information Security (CSET):

  • Tverrsektorielt samarbeid mellom Cyberforsvaret (CYFOR), Nasjonal sikkerhetsmyndighet (NSM), Politidirektoratet (POD) og Politiets sikkerhetstjeneste (PST), samt Kripos, Økokrim, Telenor, Statkraft, Statnett og Oppland fylkeskommune.
  • Senteret er lagt til Høgskolen i Gjøvik (HiG), hvor de nevnte partene har spleiset på forskerstilllinger.
  • I første omgang skal 80 ansatte dele på 60 stillinger, hvorav minst ti professorater, i neste omgang skal 100 ansatte dele på 80 årsverk.

Næringslivets sikkerhetsråd (NSR):

  • Stiftet av arbeidsgiverforeninger, med NHO i spissen.
  • Gir bedrifter trusselvurderinger og råd om sikkerhetstiltak, stadig oftere mot rene cybertrusler.
  • Beskjeden stab, men får ekstern faglig støtte fra blant andre Politidirektoratet (POD), NSM, PST, DSB, Kripos og Økokrim.
  • Ledes av Kristine Beitland.

CERT-miljøene:

  • CERT-forkortelsen står for Computer Emergency Response Team, mest kjent i Norge gjennom NSM-avdelingen NorCERT (se eget punkt).
  • Kjært barn har mange navn, men CERT er blitt it-sikkerhetslingo for et spissmiljø med evne til konkret håndtering av kritiske hendelser.
  • Forsvarssektoren har sin «MilCERT»-funksjon i kraft av FSKI og CND-enheten (se eget punkt).
  • Helsesektoren bygger i dag opp et «HelseCERT» under navnet Nasjonal HelseCSIRT (Computer Security Incident Response Team), underlagt Norsk Helsenett SF.
  • Det skal også opprettes et FinansCERT i finanssektoren, og PDMT oppretter et eget «JustisCERT».
  • NSM har tidligere gitt uttrykk for at Norge ikke bør stoppe der – men at det burde finnes også en OljeCERT, KraftCERT, TeleCERT osv.

KOMMERSIELLE:

Norman:

  • Har nylig omskrevet selskapsstrategien til å satse tungt på beskyttelse av samfunnskritisk infrastruktur heller enn forbrukermarkedet.

Telenor:

  • Bemanningen og metodene til drifts- og overvåkningsmiljøet hos den tidligere monopolisten er omhyllet i en viss mystikk, men må kunne sies å inneha noe av den fremste kapasiteten i Norge.

Konsulentbransjen:

  • I tillegg til at forventningene til in-house-kompetanse øker i hele konsulentbransjen, tilbyr en rekke dedikerte firmaer sikkerhetsrådgivning og bistand til håndtering av it-sikkerhet i bedriftsmarkedet. Mnemonic og Watchcom nevnt, mange glemt.

Disse må levere spesialistene:

Rene it-sikkerhetsutdanninger:

  • Forsvarets Ingeniørhøgskole (Jørstadmoen) - tar inn 40 rekrutter årlig, tre års plikttjeneste i Forsvaret etter endt utdanning.
  • Høgskolen i Gjøvik (HiG) - ca. 200 studenter til sammen, tar inn ca. 35 studenter årlig.
  • NOROFF - privat, nyopprettet engelskpråklig og dels nettbasert studium med til sammen 65 studieplasser.

It-utdanninger med sikkerhet som delemner i studieprogrammet:

  • Universitetet i Oslo, NTNU, Universitetet i Stavanger, Universitetet i Bergen, Høgskolen i Sør-Trøndelag, Høgskolen i Narvik, Universitetet i Tromsø , Høgskolen i Ålesund, Universitetet i Agder.

(Kilde: Samordna opptak)

computerworld sikkerhet