- Selv om det er sikkerhet i flere utdanningsløp på universitet og høyskole, ser vi altfor ofte at det ikke er nok, sier Kai Roer, forskningssjef i IT-sikkerhetskonsernet Knowbe4, til kode24.
Datasikkerhet har vært i vinden de siste ukene, med ransomware-angrep hos Amedia, Nortura og hotellkjeden Nordic Choice.
I møte med framtidas cyberkriminelle, viser disse hendelsene betydningen av å mestre datasikkerhet for å minske risikoen for angrep.
Roer mener at dagens utdanning ikke er god nok for å møte disse truslene.
- Angriperne kommer inn, utforsker, ligger lavt, henter ut data, starter kryptering
Vil ha inn psykologi
Roer mener at det er viktig for dagens utviklere å forstå de tekniske faktorene som påvirker sikkerheten.
- Noe som er direkte koblet til kompleksiteten i dagens teknologi, og de menneskelige faktorene som påvirker både hvordan systemets brukere fungerer, og fordi utviklere faktisk også er mennesker, sier han.
Han legger til at vi mennesker har en del egenskaper som blant annet medfører at vi kan være blinde til ting vi ikke forstår.
- Derfor er det viktig at utdanningen gir et minimum av forståelse for sikkerhetens betydning, og kompleksitet.
- Hvordan kan utdanningen forbedres?
- Psykologi bør inn i grunnlæringen, spesielt sosialpsykologi som beskriver mange av de menneskelige biaser og egenskaper vi har, og hvordan de påvirker oss alle.
Samfunnskritisk element
Ifølge Roer er ett eksempel på psykologi anvendt i teknologi Facebooks mange algoritmer.
- Et annet er UX; hvordan farger, elementer og plassering påvirker brukerens adferd. Det samme bør vi se om sikkerhet, slik at utviklere kan skape bedre produkter som er enklere å bruke sikkert.
Roer mener at det er viktig for utviklere å lære om sikkerhet som følge av at teknologi i dag er et samfunnskritisk element.
- I en verden der digitalisering skjer i stadig økende grad, blir samfunnet vårt stadig mer sårbart.
Han sier at utviklere spiller en nøkkelrolle for å bygge sikkerhet inn i produktene.
- Men også for å gjøre det enkelt for alle å gjøre det riktige, sier Roer.
- Naivt å tro at det ikke finnes norske datakriminelle
Må være bevisste
Tom Ryen, leder for Institutt for data- og elektroteknologi ved Universitetet i Stavanger (UiS), er delvis enig med Roer.
Samtidig trekker han fram at UiS nylig har innført et emne som heter Informasjon- og programvaresikkerhet. Det omhandler nettopp utviklerens rolle i informasjonssikkerhet.
- At utvikleren har et bevisst forhold til sikkerhet vil bety mye for de produktene som blir laget, sier han til kode24.
Forskere avslører nytt cookies-angrep med iframe
UiS satser på sikkerhet
Ifølge Ryen har det stor betydning dersom man klarer å tette sikkerhetshull allerede i utviklingen av programvaren. Han legger til at alle som tar ingeniørutdanningen ved UiS får en innføring i IKT-sikkerhet i starten av studiet.
Ryen mener uansett at innspillet om å få sosialpsykologi inn på læreplanen er interessant.
- Men vi ser at vi har en rammeplan vi må følge. Det er mye som skal inn.
Han sier at fokuset først og fremst er på den tekniske delen av faget.
- Vi har jo etikk i studiet, og går gjennom noe av det menneskelige føre-var-prinsippet. Men vi har ikke plass til å putte inn psykologi slik vi ser det nå, sier Ryen.
10 viktige prinsipper for sikkerhetsdesign
Kan ikke sove i timen
Ifølge Remem Ramampiaro, leder ved Institutt for datateknologi og informatikk ved NTNU, er digital sikkerhet et stort satsingsområde hos dem.
- Digital sikkerhet er et stort satsningsområde på NTNU. De siste fem årene så har alle studenter innen programvareutvikling tilbud om eller obligatorisk undervisning i minst ett fag om informasjonssikkerhet, sier han til kode24.
Ramampiaro legger til at alle sivilingeniører ved NTNU også kan velge personvern og digital sikkerhet som et valgemne. I tillegg til at NTNU har et dedikert studieprogram på digital sikkerhet, på både bachelor- og masternivå.
- Så her håper jeg å kunne berolige Roer. Men det er veldig viktig at disse spørsmålene stilles, at det er utålmodighet rundt temaet. At næringslivet er tett på oss.
Ramampiaro sier at instituttet det siste året har styrket staben med flere ansatte innen programvaresikkerhet.
- I tillegg har vi tett samarbeid med industrien. Dataangrepene som Nortura, Amedia og andre utsettes for, forteller oss med all mulig tydelighet at ingen kan sove i timen