Senterdannelser styrker forskning og utdanning

Hoveformålet med kronikken 15/8 av Audun Jøsang, professor ved Universitetet i Oslo (UiO) var å understreke viktigheten av at programmerere og andre utviklere av it-systemer har god innsikt i informasjonssikkerhet, slik at de utvikler sikrere og mer robuste systemer. Det er et viktig og riktig argument, og Jøsang har gjort et viktig arbeid med å argumentere for dette og levere slik kompetanse til informatikkstudenter ved UiO.

Men kronikken til Jøsang er også en kritikk av etableringen av Center for Cyber and Information Security (CCIS), og her tar Jøsang rett og slett feil.

Vi trenger å utdanne sikkerhetskompetanse

Jøsang skriver at "det er tragisk hvis vår nasjonale it-utdanning på den ene side skal produsere et stort antall it-eksperter uten kompetanse i informasjonssikkerhet, og på den annen side et relativt fåtall sikkerhetseksperter. De førstnevnte vil først bygger sårbare it-løsninger, mens de sistnevnte må rette opp alle sårbarhetene. Dette skaper et lukrativt marked for sikkerhetskonsulenter og vil føre til en vanvittig sløsing med ressurser. Etter min mening vil det nye senteret for cybersikkerhet på Gjøvik forsterke denne uheldige utviklingen."

Jeg har to kommentarer til dette.

For det første vil ikke etableringen av CCIS som et senter hvor det utdannes kandidater med ekspertkompetanse innen informasjonssikkerhet på noen måter forhindre at andre utdanninger og andre institusjoner inkluderer informasjonssikkerhet som en del av sin grunnutdanning innen it. Vi som arbeider med informasjonssikkerhet vil tvert i mot oppfordre alle institusjoner som tilbyr informatikkutdanninger om å inkludere informasjonssikkerhet i sine utdanninger. Dersom dette kommer på plass vil grunnfjellet av informatikere i Norge både få grunnleggende kunnskap, ferdighet og adferd på plass, og de vil vite å kjenne sine begrensninger og vite når de skal involvere en ekspert.

For det andre er informasjonssikkerhet som fagfelt så komplisert at en programmerer eller en systemutvikler med et grunnkurs i it-sikkerhet vil ha et begrenset bidrag til den helhetlig sikkerheten til et produkt, en virksomhet eller en nasjon. CCIS vil videreføre den tradisjonen som Høgskolen i Gjøvik og andre har med å utdanne eksperter som forstår de tekniske, menneskelige og organisatoriske utfordringene informasjonssikkerhetsfaget består av. Det er et stort behov for eksperter innen fagfeltet.

CCIS skader ingen - tvertimot

Når Jøsang skriver at "Det er sannsynlig at myndighetene føler at når de nå gir midler til det nye senteret på Gjøvik så har de gitt nok til den akademiske sektor", så antar jeg at han med "myndighetene" mener regjeringen eller dets forskningsfinansieringsinstrumenter, inkludert departementene og Norges forskningsråd.

Jeg har tre kommentarer til dette.

For det første så er det å snu ting på hodet å si at det er Høgskolen i Gjøvik og de andre akademiske partnerne i CCIS som tar penger fra resten av Norges utdanningssteder. I sterk motsetning til Universitetet i Oslo får Høgskolen i Gjøvik i realiteten ingen basisfinansiering for å forske. I tillegg finansierer myndighetene hele ti Sentre for Fremragende Forskning (SFF) ved Universitetet i Oslo, i tillegg til noen andre typer sentre. Myndighetenes finansiering til CCIS tilsvarer mindre enn 0.5% av finansieringen til UiOs sentre..

For det andre så er det ikke slik at om et senter blir etablert så stanser finansieringen til andre forskere i fagområdet. Tvert i mot så er det et tegn på at området har viktighet. Hvis vi fulgte Jøsangs argument, ville ikke myndighetene finansiert forskningssentre i Norge, heller ikke alle sentrene ved UiO. Og vi vet jo at slik er det ikke.

For det tredje så har vi i alle våre møter med myndighetene og Forskningsrådet, sagt at det det primære er at informasjonssikkerhetsforskningen i Norge blir finansiert. Dernest så mener vi at CCIS bør bli finansiert. Så vi har altså arbeidet utrolig lange dager og uker i tre år for at også Jøsang skal få bedret finansiering til sitt arbeid innen informasjonssikkerhet - selv om Jøsangs arbeidsgiver i utganspunktet er mye bedre finansiert enn oss og burde kunne klart å ta dette løftet selv.

I stor grad selvfinansiert

CCIS er i stor grad et selvfinansiert partnerskap, et spleiselag imellom organisasjoner, bedrifter og akademiske institusjoner. Initiativtakerne til senteret gikk til behovseierne, altså de bedriftene og organisasjonene som har skoen på foten og overtalte dem til å bidra finansielt. Med dette har vi vist at CCIS er en svært god investering. For myndighetene er det selvfølgelig interessant å støtte et senter som allerede har solid tredjeparts bekreftelse på at det det gjør er viktig; viktig nok til at mange bidrar finansielt.

Jøsang skriver at "Vi kan ikke godta at vi oppretter et senter for cybersikkerhet som blir en hvit elefant". En "hvit elefant" er et uttrykk for en verdifull, men tyngende investering som man ikke kan bli kvitt og som koster langt mer enn den smaker; med andre ord et monument over en mislykket investering. Det er feil. Selvfølgelig.