Den må tidlig krøkes som god datasnok skal bli
Behovet for digital sikkerhetskompetanse øker stadig. Det var sommerens dataangrep mot tolv norske departementer og Stortinget en kraftig påminnelse om. Hacking i organiserte former er løsningen, mener NTNU-forsker.
Ikke alle som hacker er ute etter å gjøre ugagn. Trolig befinner mange av morgendagens cybersikkerhetsstjerner seg nettopp blant dagens hackerspirer.
Og godt er det. Ifølge årlige rapporten «Cybersecurity Workforce Study»En årlig rapport som tar for seg det globale behovet for digital sikkerhetskompetanse. Rapporten leveres av ISC², verdens største ideelle medlemsorganisasjon for sertifiserte fagfolk innen IT-sikkerhet. var det nemlig en global mangel på hele 3,4 millioner ansatte innen IT-sikkerhet i 2022. Det er en økning på 26 prosent fra året før.
Cybersikkerhetens svar på «Champions League»
– Trenden er klar: Behovet for ansatte med digital sikkerhetskompetanse øker år for år. Det krever at vi tenker nytt rundt rekruttering.
Det mener førsteamanuensis Muhammad Mudassar Yamin. Han er ansatt ved Institutt for informasjonssikkerhet og kommunikasjonsteknologi på NTNU i Gjøvik. Yamin har både forsket på og deltatt som trener i Europas største cybersikkerhetskonkurranse, European Cyber Security Challenge (ECSC).
Dette er European Cyber Security Challenge (ECSC)
ECSC er en årviss cybersikkerhetskonkurranse som arrangeres i samarbeid mellom The European Union Agency for Cybersecurity, ENISA, og 35–40 europeiske land.
(ENISA er det europeiske byrået for nettverks- og informasjonssikkerhet. EUs ekspertisesenter for data- og informasjonssikkerhet.)
Hvert år sender deltakerlandene sine beste lag for å konkurrere i en rekke oppgaver knyttet til cybersikkerhet. Lagene består av ti deltakere i aldersspennet 14–25 år, hvorav kun fem kan være over 21 år. I 2022 deltok i alt 37 000 unge talenter.
Årets konkurranse er den åttende utgaven av arrangementet og vil finne sted i Vikingskipet på Hamar fra 24. til 27. oktober.
Arrangementet er en del av regjeringens nasjonale strategi for digital sikkerhet, og NTNU har fått i oppdrag fra Justis- og beredskapsdepartementet å gjennomføre det.
Det kjempes i det stille. Dyktige unge talenter under fjorårets finale i European Cyber Security Challenge. Foto: David Bohmann
– ECSC er litt som cybersikkerhetens svar på «Champions League», forklarer han.
Hvert år deltar mellom 35 og 40 land i den europeiske turneringen med et utvalgt unge talenter som har kvalifisert seg gjennom nasjonale konkurranser. Der får de anledning til å kjempe mot hverandre i oppgaver i alt fra dekryptering og nettsikkerhet til digital etterforskning.
Og i år er det i Vikingskipet på Hamar slaget skal stå.
– Holder ikke å dyrke stjerner
Det er ikke til å stikke under stol at det er mye prestisje involvert når man får muligheten til å prøve styrke med noen av Europas fremste cybersikkerhetstalenter. Håpet er likevel at deltakerne sitter igjen med mer enn bare heder og ære etter endt konkurranse.
Behovet for datasikkerhetseksperter øker år for år. Det krever at vi tenker nytt rundt rekruttering.
– På samme måte som at fotballspillerne i «Champions League» gjerne begynte i en lokal fotballklubb, vil det for mange fremtidige studenter og ansatte innen cybersikkerhetsfeltet være i konkurranser som dette det begynner, forklarer Yamin.
Han har sammen med kollegaer forsket på hvordan ulike land rekrutterer og trener opp sine deltakere til konkurransen. Forskerne har også undersøkt hva deltakerlandene håper å få ut av konkurransen og hvordan de lykkes med målene sine.
– Behovet for ansatte med digital sikkerhetskompetanse øker år for år, sier førsteamanuensis Muhammad Mudassar Yamin ved NTNU i Gjøvik. Foto: Kenneth Nordahl Pedersen
– Det er bred enighet blant deltakerlandene om at det å identifisere unge cybersikkerhetstalenter og å skape interesse og bevissthet rundt tematikken, er blant de viktigste målene med konkurransen.
Og det handler om mer enn bare å dyrke stjerner:
– Forskningen antyder at deltakere som ikke når helt til finalen kan være like interessert – og i enkelte tilfeller mer interessert i en karriere innen cybersikkerhet som finalistene.
Det bør ha konsekvenser for hvordan konkurransene organiseres, mener Yamin.
Deltakere som ikke når helt til finalen kan være like – og kanskje mer – interessert i en karriere innen cybersikkerhet som finalistene.
– Er målet å skape interesse rundt og rekruttere til cybersikkerhetsbransjen, vil det være å gi avkall på en kjempemulighet om vi kun dyrker stjernene. Da må vi satse mer på de tidlige fasene av konkurransen og sørge for å få flest mulig med.
– Vi må kort sagt trene så mange som mulig, så lenge som mulig. Forskningen vår tyder på at det trolig også vil være av stor betydning for mangfoldet blant deltakerne, sier Yamin.
– Et sunt tre har sterke røtter
Måten deltakere rekrutteres og trenes til konkurransen sier oss dessuten noe om hvor godt utviklet cybersikkerhetsmiljøet i de aktuelle landene er, ifølge Yamins forskning.
– Tre-modellen oppsummerer hovedfunnene våre godt. Et sunt tre har sterke røtter. Det er derfra stammen henter nødvendig næring til å vokse. Først når stammen er sterk nok, vil treet kunne spre grenene sine ordentlig og bære frukter, forklarer Yamin.
Han utdyper:
– Landene som satser på rot-nivå, altså barne- og ungdomstrinnet, gjør det generelt veldig bra i ECSC. Det reflekteres også i et mer utviklet nasjonalt cybersikkerhetsmiljø. Et grunt rotsystem gir derimot grunnlag for en puslete stamme og glissen krone.
Ingen forutsetning for den helt store avlingen, med andre ord.
- Les også: Når huset ditt sladrer på deg
En potensiell publikumssport?
Med to poengtavler – en avansert og en enkel – skal det ikke være nødvendig å kunne verken reglene eller å ha inngående kunnskap om cybersikkerhet – for å leve seg inn i aktivitetene som finner sted i Vikingskipet 24. til 27. oktober.
– Måten man har klart å gjøre sjakk til allemannseie på, viser at det er mulig å gjøre aktiviteter med forholdsvis kompliserte regler og høy teknisk vanskelighetsgrad engasjerende, selv uten at det nødvendigvis skjer så mye fysisk, mener Yamin.
Og om etisk hacking ikke skulle bli den nye nasjonalsporten, er i alle fall sjansene gode for at aktiviteten bringer med seg en jevn strøm av nye studenter og arbeidstakere til cybersikkerhetsområdet.
Referanser:
De Zan, T. & Yamin, M.M. (2021). Towards a Common ECSC Roadmap: Success factors for the implementation of national cyber security competitions. April 2021. Research Gate
Yamin, M.M., Katt, B., Torseth, E. (2021). Selecting and Training Young Cyber Talent: A European Cybersecurity Challenge Case Study. I: Schmorrow, D.D., Fidopiastis, C.M. (Red.) Augmented Cognition. HCII 2021. Lecture Notes in Computer Science(), vol 12776. Springer, Cham. https://doi.org/10.1007/978-3-030-78114-9_32
Yamin, M.M., Erdodi, L., Torseth, E., Katt, B. (2022). Selecting and Training Young Cyber Talent: A Recurrent European Cyber Security Challenge Case Study. I: Schmorrow, D.D., Fidopiastis, C.M. (Red.) Augmented Cognition. HCII 2022. Lecture Notes in Computer Science(), vol 13310. Springer, Cham. https://doi.org/10.1007/978-3-031-05457-0_24
