Cybersikkerhet starter med it-utdanningen
KRONIKK: Myndighetenes strategi for cybersikkerhet er basert på at sikkerhetseksperter i etterkant skal fjerne sårbarheter laget av it-designere uten sikkerhetskompetanse. Dette er galskap, skriver professor Audun Jøsang.
Den alvorlige sikkerhetssårbarheten Heartbleed som nylig rammet oss oppstod fordi en programmerer manglet sikkerhetskompetanse.
Dessverre mangler mange it-designere verden rundt nettopp den kompetansen fordi det ikke er pensum der de studerte. Denne situasjonen er typisk også i Norge.
Det ville selvfølgelig være uforsvarlig å utdanne arkitekter uten å gi dem kunnskap om branntrygghet. På samme måte er det uforsvarlig å tilby it-utdanning uten obligatoriske kurs om informasjonssikkerhet, fordi de ferdigutdannede it-ekspertene da nødvendigvis vil bygge sårbare it-løsninger.
Denne uken åpnes et nytt senter for cybersikkehet på Gjøvik, som representerer en betydelig satsing på nasjonal cybersikkerhet. Senteret er ment å drive forskning og utdanning på cybersikkerhet. Spørsmålet er om opprettelsen av dette senteret vil være et effektivt tiltak for styrking av nasjonal cybersikkerhet. Senteret vil kun bidra til å styrke it-sikkerhetsutdanningen på Gjøvik, ikke andre steder i landet som tilbyr it-utdanning.
Det er sannsynlig at myndighetene føler at når de nå gir midler til det nye senteret på Gjøvik så har de gitt nok til den akademiske sektor, slik at mange andre utdanningsinstitusjoner uten tilsvarende intensiver for satsing på informasjonssikkerhet vil fortsette å utdanne it-eksperter som mangler kompetanse i informasjonssikkerhet.
Senteret for cybersikkerhet på Gjøvik vil bli en hvit elefant
Det er tragisk hvis vår nasjonale it-utdanning på den ene side skal produsere et stort antall it-eksperter uten kompetanse i informasjonssikkerhet, og på den annen side et relativt fåtall sikkerhetseksperter. De førstnevnte vil først bygger sårbare it-løsninger, mens de sistnevnte må rette opp alle sårbarhetene. Dette skaper et lukrativt marked for sikkerhetskonsulenter og vil føre til en vanvittig sløsing med ressurser.
Etter min mening vil det nye senteret for cybersikkerhet på Gjøvik forsterke denne uheldige utviklingen og vil etter min mening bli en hvit elefant (noe flott med liten nytte som er dyrt å pleie) fordi det på tross av store ord ikke gir oss det vi egentlig trenger, nemlig at it-studenter landet rundt tilegner seg kunnskap om informasjonssikkerhet som de senere vil trenge i sitt arbeid.
Mange tror kanskje at forskning på cybersikkerhet, for eksempel, er som å forske på kreft, på den måten at hvis vi bare finner den rette behandlingen så blir våre it-systemer kurert for cybersårbarheter.
I virkeligheten kjenner vi allerede behandlingen mot de fleste cybersårbarheter, det handler bare om å følge etablerte prinsipper for god informasjonssikkerhet. Interesseorganisasjonen OWASP som jevnlig utgir en beskrivelse av de mest utbredte cybersårbarheter viser at de samme sårbarhetene står på toppen av listen år etter år, rett og slett fordi it-designere verden rundt mangler sikkerhetskompetanse.
It-utdanningen må gi sikkerhetskompetanse
Nasjonal Strategi for Informasjonssikkerhet fra 2012 nevner blant annet betydningen av forskning innen informasjonssikkerhet, men tier om produksjon av it-sikkerhetskompetanse ved universiteter og høgskoler.
Under et fagseminar onsdag 16. januar 2013 der strategien ble presentert og diskutert i fagmiljøet stilte jeg nettopp spørsmålet om hvorfor strategien ikke nevner betydningen av informasjonssikkerhet i ikt-utdanningen. Lars-Henrik Myrmel-Johansen (daværende ekspedisjonssjef i FAD) svarte da at universitetene må ha faglig frihet til å velge innholdet i it-utdanningen, og at regjeringen ikke burde blande seg inn i det.
Et mer tullete svar kan man neppe få. Selvfølgelig kan og bør regjeringen oppfordre universitetene til å produsere kompetanse i informasjonssikkerhet. Når dette mangler i strategien, så mangler den etter min mening det mest effektive tiltak for å bedre informasjonssikkerheten i vår nasjonale ikt-infrastruktur.
Solberg-regjeringen har i stor grad arvet nåværende tiltak for cybersikkerhet fra Stoltenberg-regjeringen. Det er på sin plass å revidere disse tiltakene.
Vi kan ikke godta at vi oppretter et senter for cybersikkerhet som blir en hvit elefant, og at vi har en Nasjonal Strategi for Informasjonssikkerhet som ikke engang nevner det mest effektive tiltak for informasjonssikkerhet, nemlig å sørge for at all it-utdanning gir sikkerhetskompetanse.
Audun Jøsang er professor ved Institutt for informatikk, Universitetet i Oslo.
