AKADEMIERNE UDDANNER CYBERSOLDATER MED BRUGERFORSTÅELSE
![](https://magasin.samdata.dk/wp-content/uploads/2020/11/it_soldater_1100-1075x605.png)
Vil du være cybersoldat for danske eller udenlandske virksomheder? Hackerangreb og stigende IT-kriminalitet giver desperat mangel på IT-sikkerhedsspecialister.
Sådan sælger Københavns Erhvervsakademi KEA top-up uddannelsen til professionsbachelor i IT-sikkerhed på sin hjemmeside, som også forklarer, at IT gør mange ting lettere, men at det også gør os sårbare og kan bruges som våben mod virksomheder.
Den sårbarhed debatteres indgående i undervisningen og på KEA generelt fortæller Jesper Nordentoft, der er uddannelseschef for de digitale bachelor-overbygningsuddannelser på Københavns Erhvervsakademi.
”Når der bliver spurgt til generelt i IT-branchen til, hvad der er den største sikkerhedsrisiko, så siger man, at det er menneskene, der er det svageste led. Det nævner vi også i undervisningen, hvor vi har elementer af governance og awarenes, der handler om sikkerhedsretningslinjer i virksomheder som f.eks. at huske at skifte password og ikke lade computeren stå åben,” siger Jesper Nordentoft.
”Jeg er selv kommet til at give mine dankortoplysninger, hvilket ikke var så godt, så jeg var nødt til at lukke kortet. By the end of the day, så er mennesket det svageste led, men det er ikke det samme, som at man skal udskamme folk, der klumrer i det, som jeg selv har gjort med mit dankort.”
Jesper Nordentoft
Gode IT-sikkerhedshåndværkere
Han mener, at IT-folk med mere fokus på awareness kan mobilisere mennesker som stærke biologiske gatekeepers. Alligevel fylder arbejdet med brugernes bevidsthed om sikker brug af IT mindst på uddannelsen i IT-sikkerhed. Kun en tredjedel af et semester handler om governance og awarenes, mens rollen som cybersoldat eller sikkerhedshåndværker fylder mest.
”Vores uddannelse på KEA med knap 100 studerende er en teknisk uddannelse i, hvordan man f.eks. analyserer datastrømme og samler beviser, hvis der har været brud på IT-systemerne, og vi lærer de studerende, hvordan man bygger sikre systemer,” forklarer Jesper Nordentoft og uddyber den prioritering:
”Vi har valgt at lægge en linje for den her uddannelse, så de studerende bliver gode IT-sikkerhedshåndværkere. Og vi har valgt ikke at lægge ret meget vægt på de ledelsesmæssige aspekter, fordi jeg tænkte, at det lå mere naturligt på de mere CBS-agtige uddannelser, der peger mod ledelse. Ikke fordi jeg ikke synes, det er vigtigt, men vi er nødt til at prioritere, når vi kun har tre semestre, hvor det sidste går med praktik og hovedopgave,” argumenterer han.
Jesper Nordentofts holdning er, at brugernes viden om IT-sikkerhed i højere grad handler om almen digital dannelse i hele samfundet, som skal starte allerede i folkeskolen og på ungdomsuddannelserne og sprede sig til virksomhederne.
”Det ville løfte sikkerheden. F.eks. at man lærer at sørge for, at ens password ikke er for nemt at gætte – også når man er minister,” siger han og hentyder til den aktuelle sag, hvor syv ud af 20 danske ministres kodeord lå åbent tilgængeligt på nettet efter læk fra hackede onlinetjenester som LinkedIn, Dropbox og fitness apps.
Folk er ikke idioter
På Erhvervsakademi Aarhus er fokus på professionsuddannelsen i IT-sikkerhed også hovedsageligt på det tekniske, forklarer lektor Andrew Michal, som underviser de studerende i at forstå trusselsbilleder og digitale angreb og at kunne reagere med sikkerhedstiltag.
”Vi pressede rigtig meget på for, at den her uddannelse også havde sikkerhedsgovernance, selvom det er en teknisk uddannelse. Men kultur og awareness indgår også i undervisningen,” siger underviseren og fortæller, at på hver studiestarts første eller anden dag er der altid studerende, som siger, at sikkerhedsbrist skyldes, at folk er idioter.
”Man er nødt til at komme væk fra, at de er idioter, for så tror man, det er fordi, de ikke er kloge, at de falder i. Men alle kan blive ramt på et tidspunkt, hvor man lige er uopmærksom eller bliver distraheret,” forklarer Andrew Michal.
I undervisningen gør han meget ud af at diskutere med de studerende og udfordre dem på ikke at tale om brugerne som det svageste led, men nærmere som de mest udsatte.
”Jeg er enig i, at når man siger, mennesker er det svageste led, så har det en negativ tone, og det kan betyde, at brugerne ikke gider involvere sig. Derfor gør vi meget ud af at de studerende skal acceptere, at folk kommer til at gøre ting, som kan have et negativt outcome. Det er et absolut fåtal, som gør det af ond vilje,” siger han.
Derfor synes han, det er en interessant bevægelse med virksomheder, som selv står frem og fortæller, når de bliver ramt af hackerangreb eller CEO-fraud. Eksempelvis som Mærsk, der var åbne om situationen, da virksomheden blev lagt ned af en ondsindet orm i 2017.
”Det er en ny trend, som er en dejlig positiv tendens. Både for at vise, at det ikke er pinligt, men også så man kan dele erfaringerne. Ligesom mennesker, der trykker på link, de ikke skulle have trykket på, kan alle virksomheder blive ramt. Men hvis man står frem og gør det synligt, kan vi begynde at snakke om det og udveksle, hvordan hackerne kommer ind, og så kan dem, der spiller forsvar, bedre sætte ind,” siger lektor Andrew Michal.
Kampagner på KEA
Ifølge KEA’s uddannelseschef Jesper Nordentoft modtager erhvervsakademiets ansatte af og til falske mails med f.eks. rektor som afsender.
”De phishing e-mails, der kommer i dag, er langt mere professionelle modsat de gamle Nigeriabreve og skal læses grundigt, så det er blevet meget vanskeligere for alle at opdage,” siger han.
Netop for at skabe opmærksomhed og højne bevidstheden om IT-sikkerhedsproblemer lavede underviserne på KEA en awareness-kampagne med en slags phishingmail med økonomichefen som falsk afsender.
”I mailen stod der, at hvis du trykker på dette link, så kan du se næste års budget. Når man trykkede, kom der et dødningehoved frem,” fortæller Jesper Nordentoft og tilføjer, at den leder, som røg i fælden, fik en flaske vin i præmie til julefrokosten.
Selvom han har taget en certificering i IT-sikkerhed, så er uddannelseschefen også selv røget i fælden på et tidspunkt, røber han: ”Jeg er selv kommet til at give mine dankortoplysninger, hvilket ikke var så godt, så jeg var nødt til at lukke kortet. By the end of the day, så er mennesket det svageste led, men det er ikke det samme, som at man skal udskamme folk, der klumrer i det, som jeg selv har gjort med mit dankort,” forklarer Jesper Nordentoft.
”Man er nødt til at komme væk fra, at de er idioter, for så tror man, det er fordi, de ikke er kloge, at de falder i. Men alle kan blive ramt på et tidspunkt, hvor man lige er uopmærksom eller bliver distraheret.”
Andrew Michal
Fra politik til kultur
For lektor Andrew Michal er det vigtigt, at phishing kampagner ikke bruges til at hænge nogen ud, men til at gøre medarbejderne klogere.
”Det, vi skal passe allermest på med, er at skræmme folk og tale om trusler. Hvis vi ikke giver dem løsninger, så bliver nogle helt skræmt, og andre bliver opgivende,” siger han og fremhæver, at de kommende cybersoldater også skal lære at acceptere, at man ikke kan lave sikkerhedstiltag, som modarbejder medarbejderne i at gøre deres arbejde – f.eks. helt at forbyde at klikke på links eller vedhæftede bilag.
”Man er nødt til at have forståelse for de processer, som er i virksomhederne for at lave tiltag, som passer. IT-folk skal ikke være nogen, der bare forsvinder efter at have renset en PC, men hjælpe til at gøre sikkerheden i arbejdsprocesser bedre. Derfor skal de lære at være lydhøre i samtaler med medarbejderne og inddrage dem som en del af projektgruppen, når der skal udarbejdes løsninger,” forklarer Andrew Michal, som altid minder sine studerende om, at de skal være opmærksomme på, hvad det betyder for brugerne, når der implementeres IT-sikkerhedstiltag.
”Og om det er noget, de kan leve med – bliver det for kompliceret, så skal de nok selv finde en anden løsning,” konstaterer han og tilføjer en vigtig pointe:
”Brugerne skal vide, at de kan spørge. For en ting er awareness, som er at gøre opmærksom på nuværende trusler, og hvordan man skal gebærde sig for at holde en høj sikkerhedshygiejne. Men jeg vil gerne hen imod en sikkerhedskultur, hvor brugerne kommer med ting, de synes, er uhensigtsmæssige ud fra et sikkerhedsperspektiv,” siger han og nævner som eksempel, at en sekretær selv henvender sig til IT-sikkerhedsafdelingen og spørger, om det er hensigtsmæssigt at sende CPR-numre per e-mail.
”Men det kræver de rigtige organisatoriske kanaler og tillid. Det gør man ikke på en dag. Det er noget, vi diskuterer på uddannelsen, og et emne, som nogle af vores studerende kan kigge på i bachelorprojektet,” siger lektoren fra Erhvervsakademi Aarhus.