Månedens Udvalgte: Kompetencer inden for cyber- og informationssikkerhed

28. juni 2021 - Kompetencer inden for cyber- og informationssikkerhed er en mangelvare. Og i en branche i rivende udvikling, ser problemet kun ud til at vokse fremover. I Månedens Udvalgte fortæller Jacob Herbst om, hvordan vi kan komme problemet til livs, og hvad Dubex gør, for at få studerende ind i branchen.

Tirsdag den 1. juni 2021 var jeg inviteret med på Cybersikkerhedsrådets webinar om kompetencer i cyber- og informationsikkehed. Webinaret blev afholdt for at sætte fokus på den store mangel, der er på medarbejdere med de rette kompetencer på området og er et af de områder, vi har valgt at fokusere på i Cybersikkerhedsrådet.

Baggrunden for dette fokus er blandt andet, at en de store udfordringer med at få et bedre sikkerhedsniveau netop er mangel på medarbejdere med de rette kompetencer, og at problemet kun ser ud til at vokse i de kommende år. Som et at de lande, der er længst fremme med digitalisering, er det vigtigt med robuste og sikre digitale løsninger, og skal vi lykkes med det, er vi derfor nødt til at sikre, at der er tilstrækkeligt mange, der arbejder med sikkerhed – og at de har de rette kompetencer.

På webinaret havde vi blandt andet en god paneldebat, som satte fokus på en lang række af de udfordringer, der er med til at skaffe medarbejdere med de rette cybersikkerhedskompetencer, og hvad vi kan gøre ved det. Jeg vil i denne artikel sætte fokus på tre af de områder, som jeg blandt andet vurderer er vigtige for fremadrettet at sikre Danmark en digital førerposition, nemlig hvordan vi får flere børn og unge – og særligt piger er en udfordring – til at interessere sig for STEM (Science, technology, engineering, and mathematics), og hvordan vi får flere unge til at uddanne sig og få en karriere inden for cybersikkerhed. Endelig er det også vigtigt at arbejde på at få viden og indsigt bredt mere ud, så flere medarbejdere har en forståelse af og indsigt i cyber- og informationssikkerhed.

Teknologi i skolen

I Danmark har vi efterhånden i mange år haft en intention om, at it skal indgå som en integreret del af undervisningen, og i folkeskolen anvendes i dag computere og tablets i mange sammenhænge. Men det er desværre også min oplevelse, at denne anvendelse er begrænset til ret simpelt brug, hvor det bruges som værktøjer til at søge information på Internettet og som en slags avanceret skrive- og regnemaskine, ligesom man mange steder også undervises i brug af blandt andet sociale medier. Desuden har rigtig mange skoleelever det sidste år fået en god forståelse af at holde onlinemøder pga. Coronahjemsendelserne i skolerne. Dette er et fint udgangspunkt for, at de unge bliver gode it-brugere, men desværre får man ikke introduceret mere avancerede emner som eksempelvis programmering og mere kreativt brug af computere.

Det er naturligvis ikke meningen, at alle børn skal blive programmører, men vi skylder de unge at give dem et ordentligt fundament for at forstå it og digitalisering. Derved bliver kendskabet til disse lidt mere avancerede anvendelser af computere – og dermed interessen for disse områder begrænset til en lille skare af børn og unge, som selv opsøger det. Da skolerne desværre heller ikke lykkes med at inspirere særligt pigerne til at kigge i retning af STEM, er det stort set kun drenge, som får disse interesser, hvilket naturligt nok afspejler sig i de unges senere uddannelsesvalg. Samlet betyder det, at antallet af potentielle og kvalificerede ansøgere til STEM-rettede uddannelser er lavt, og at der er en voldsom skævvridning med alt for få kvindelige ansøgere. Og dette gør i sidste ende, at vi har for få kandidater til at arbejde med cybersikkerhed, og da de har de samme profiler mangler der også noget diversitet.

For at løse dette problem kræves en stor indsats, som skal starte allerede i de små klasser. I dag har skolerne desværre slet ikke nok lærere med STEM-kvalifikationer til at løfte den opgave, så første skridt er nødt til at være en massiv efteruddannelse af lærerne, og måske også at man tænker lidt ud af boksen og eksempelvis inddrager virksomheder m.m. i undervisningen. Herved bliver flere unge forhåbentlig inspireret til at uddanne sig i en teknisk retning. Med et større fokus i skolerne vil flere piger forhåbentlig også blive inspireret til at have mere teknisk interesse, så vi kan få udjævnet noget af den nuværende kønsforskel. Denne indsats vil bidrage til, at Danmark får flere unge med tekniske interesser, som alt andet end lige, er en væsentlig del af vores fremtid. Og dette vil i sidste ende også give flere med interesse for cybersikkerhed.

En karriere inden for Cybersikkerhed

Mange tekniske uddannelser tilbyder i dag en eller anden form for uddannelse i sikkerhed. Det giver de studerende en vis grundlæggende forståelse for sikkerhed. Men at arbejde inden for cyber- og informationssikkerhed kræver mere end uddannelse, så det er vigtigt, at de får mulighed for at komme ud og afprøve deres viden i praksis – og lære alle de ting, som man ikke lærer på en uddannelse.

Hos Dubex begyndte vi for mange år siden at tilrettelægge vores arbejde på en måde, så vi har en struktur, hvor vi har plads til at tage særligt studerende ind. Vi giver dem noget intern uddannelse, hvorefter de kommer til at indgå i vores forskellige teams, hvor der er konkrete, praktiske opgaver, de kan løse, samt den nødvendige opbakning fra erfarne ansatte.

Det er vores erfaring, at de er hurtige til at lære og generelt er gode og værdifulde medarbejdere – og for os giver det samtidig et godt grundlag til rekruttering af kommende fuldtidsansatte. Samtidig kan vi også se, at langt hovedparten af de studerende, som har været hos os på en eller anden måde, vælger at arbejde med cyber- og informationssikkerhed efterfølgende. Så på den måde er vi også med til at sikre, at der rent faktisk kommer flere ind i sikkerhedsbranchen.

Så opfordringen er, at flere virksomheder giver plads til at unge og ofte uerfarne får en mulighed for at komme til at arbejde med sikkerhed, da dette er den måde, vi kan være med til at sikre, at der fremover er nok unge, der får en karrierer inden for cybersikkerhed.

Viden og forstående for Cybersikkerhed

Danmark er et af de lande i verden som er længst med digitalisering både i det offentlige og i private virksomheder. Men det har også den konsekvens, at langt de fleste projekter har en eller anden form for digital vinkel, og meget ofte er de kundevendte og dermed særligt eksponeret for cyberangreb. Samtidig bliver de digitale løsninger mere og mere vigtige for foreningen.

Al erfaring viser, at sikkerhed skal være en del af løsningen fra starten, og man ikke kan tilføje sikkerhed senere. Det, vi derfor ser, er et behovet for viden om, at sikkerhed findes ude i forretningen, hvor projekterne fødes og lever – altså er der er en slags sikkerhedssuperbrugere med i forretningsprojekterne. Den opgave, som den traditionelle it-sikkerhedsafdeling i stedet skal løfte, er at opstille regler og politikker og fungerer som en rådgivende funktion for forretningen. Hos Dubex har vi blandt andet sammen med Forsikringsakademiet lavet en uddannelse, som netop skal give medarbejderne denne viden. Det er vigtigt at bemærke, at dette ikke er en erstatning for den generelle awareness-uddannelse, som bør tilbydes til alle medarbejdere, men et supplement til dem, som skal være ambassadører for cybersikkerhed.

Der skal gøres end indsats

At løse kompetenceudfordringerne på cyber- og informationssikkerhedsområdet er ikke nogen simpel opgave, og den er nødt til at blive betragtet som del af den større udfordring med at sikre de nødvendige digitale kompetencer helt generelt. Uden dette på plads får vi ikke den nødvendige bredde i forhold til rekruttering – og cybersikkerhed bliver ved med at være stort set kun for mænd.

Derfor er indsatsen nødt til at starte helt tilbage i skolen med at få børnene introduceret meget mere for teknologi og it. Denne indsats skal så følges op igennem hele deres skole- og studieforløb, og vi skal sørge for gode muligheder for at få en karriere inden for området. Ellers vil mangel på kompetencer formentlig blive ved med at være i problem mange år endnu.

Læs mere fra Jacob

Månedens udvalgte: Tre lektier fra angrebet på Colonial Pipeline - Cyberangreb på kritisk infrastruktur

Colonial Pipeline blev i starten af maj udsat for et ransomware-angreb, der havde alvorlige konsekvenser bl.a. for forsyningen af brændstof til den amerikanske østkyst. I denne Månedens Udvalgte sætter Jacob Herbst fokus på i hvert fald tre af de ting, som denne hændelse kan lære os.

Månedens udvalgte: Sikkerhed i cloudtjenester kommer ikke af sig selv

Cloudtjenester er blevet en del af næsten alle moderne it-løsninger. De seneste år har cloudtjenester fået kæmpe succes, da de har været med til at understøtte virksomhedernes ændrede behov. Men hvad bør man være opmærksom på? Det kommer Jacob Herbst med nogle bud på i denne Månedens Udvalgte.

Månedens udvalgte: Samfundssind og Coronapas

I denne Månedens Udvalgte fortæller Jacob Herbst om deltagelse i forskellige Advisory Boards, nedsat under Coronapandemien, som er med til at rådgive omkring smittesporingsappen og nu det nye Coronapas. Men hvordan kan det ene blive en succes, når det andet måske ikke helt levede op til potentialet?