Cybersikkerhet – Oversikt over eksisterende læringsressurser på nett.
Cybersikkerhet for IT oG OT.
Temaet «cybersikkerhet» kan nok deles opp i mange undertema. Kanskje en hovedoppdeling kan være mellom «Cybersikkerhet for informasjonsteknologi – IT» og «Cybersikkerhet for operajonell teknologi – OT.
IT eller informasjonsteknologi har å gjøre ned registrering, lagring og bearbeiding av data, inklusive persondata. OT eller operasjonell teknologi har å gjøre med alle typer automatiserte systemer, som intelligente bygninger, smarhus, elforsyning, fabrikker og oljeraffenerier.
Konsekvensene av at et IT system eller et OT system blir usatt for vellykkede hackerangrep kan være helt forskjellige. For IT systemer så dreier det seg gjerne om data som kommer på avveie, eller blir ødelagt, og man snakker vanligvis om økonomiske konsekvenser.
Konsekvensene av at OT systemer blir hacket kan for eksempel bli brann, innbrudd, eksplosjon, tap av elforsyning, vannforsyning, tografikk, flytrafikk, forurensning av natur og/eller tap av menneskeliv.
Cybersikkerhet for Operasjonell Teknologi – OT har i løpet av de siste årene blitt til en meget aktuell problemstilling, men det finnes i dag, så vidt meg bekjent ingen kjente undervisningsopplegg innenfor denne typen cybersikkerhet, for den videregående skolen.
De undervisningsoppleggene som finnes er for forskjellige varianter av «Cybersikkerhet for Informasjons Teknologi – IT»
«Cyber security awarness» og «teknisk IT sikkerhet».
Det kan vel være praktisk og fornuftig å dele opp temaet «Cybersikkerhet for IT» opp i to undergrupper, det som kanskje vil være mest aktuelt for kontorpersonale, skoleelever og andre, det som går ut på å utarbeide «cyber security awareness», dva gode holdninger og en generell, men ikke teknisk fundert forståelse av problemstillingene rundt cybersikkerhet.
Så har vi en annen målgruppe og en annen variant av «Cybersikkerhet for IT» som er det som gjelder for de som arbeider med teknisk arbeidsutførelse relatert til implementering og drift av IT teknologiske systemer.
Manglende teknoligiforståelse som begrensende faktor.
Hacking eller angrep mot IT systemer bygger jo ganske ofte på å utnytte svakheter hos mennesker og hos teknologi, eller en kombinasjon av disse svakhetene.
Hvis man skal gå noe særlig i dybden av hvordan disse hackerangrepene gjennomførs og hvordan man kan risikovurere et IT system og forebygge angrep, og hvis vi skal oppnå noen særlig grad av dybdelæring i forhold til dette, så forutsetter det en forholdsvis omfattende teknologiforståelse.
Det er nok et gjennomgående problem, i den videregående skolen, at kompetansenivået i forhold til den underliggende informasjonsteknologien er såpass svak at dette i nokså stor grad begrenser hva som er praktisk mulig å lære.
Hvis man, dvs elevene skal lære om en type cybersikkerhet som også har med teknologiforståelse å gjøre, så fourtsetter dette at man også har tid og mulighet til å sette av et forholdsvis stort antall timer til å bygge opp elevenes teknologikompetanse.
Dagens læreplaner inneholder i liten grad de målformuleringene som ville være nødvendig dersom elevene skal kunne oppnå noen større grad av «teknisk fundert forståelse» i forhold til det som går på cybersikkerhet.
Det som kanskje ikke blir forstått «i dybden» det er hvordan hackere rent praktisk går fram for å gjennomføre angrepene.
Læringsressurser hos NDLA.
Det finnes et forholdsvis enkelt opplegg beregnet for VG1 Informasjonsteknologi og medieproduksjon og som Verktøykasse for lærere.
- Teknologiforståelse – Datasikkerhet
- Verktøykassa for elever
- Verktøykasse for lærere
- Sikkerhet – VG2 Salg og Service
Noe av dette kunne nok være aktuelt lærestoff for alle elever, men den pedagogiske oppbygningen bør nok vurderes.
GDPR og personvern er nevnt i den del forskjellige sammenhenger:
- VG1 Informasjonsteknologi og medieproduksjon
- VG1 Salg og Service
- VG1 Elektro og datateknologi
- VG2 Informasjonsteknologi
For å oppnå noen særlig grad av dybdelæring og for å forstå hvordan cyberangrep mot IT og OT systemer gjennomføres, så behøves det en viss form for teknologiforståelse. Her har NDLA et undervisningsopplegg som er rettet mot VG2 Informasjonsteknologi.
Læringsressursene rundt Cybersikkerhet hos NDLA framstår vel som litt «fragmentariske»? Ville det være en ide å få samlet noe av dette?
NORSIS – Norsk Senter for Informasjonssikring.
NORSIS er en ideel forening som arbeider for å ivareta et målrettet arbeide for informasjonssikring. I denne sammenheng så blir det også utarbeidet en del rapporter og kursopplegg, hvorav noen også er rettet mot den videregående skolen.
Nettvett – Kursopplegg og veiledninger.
Slettmeg.no – Resurser for å få slettet opplysninger fra nett.
Datatilsynets informasjonsside.
Datatilsynets informasjonsside om egne rettigheter er vel ikke laget spesielt for den videregående skole, men den informerer vel på en forholdsvis grei og forståelig måte.
Læringsressurser fra Lørntech
Disse er vel ikke spesielt rettet mot deb videregående skolen, men kan vel allikevel fungere som en interessant referanse:
Mitt eget forsøk på å bygge opp en nettressurs for IT sikkerhet.
Det aller meste av de jeg har gjennomført av praktisk undervisning innenfor cybersikkerhet har vært teknologirettet og/eller rettet mot OT – Operasjonell teknologi. (Elektro/Automasjon).
Ved en anledning så kom jeg også til å bygge opp et «rammeverk» for et opplegg i cybersikkerhet for IT , rettet mot grunnleggende nivå.
Utenlandske fagressurser.
God referanseinformasjon.
- Telenor sin sikkerhetsblogg
- NSM – 10 sårbarheter
- NSM – Nasjonalt Digitalt Risikobilde
- NSM – Sikkerhetsfaglig råd
IT og OT – Purdue Modellen
Purdue modellen er en standard modeller som brukes for å forklare samspillet mellom IT og OT og den samlede sikkerhetsproblematikk relatert til dette.
Mange angrep mot OT systemer starter ofte opp i IT delen av systemet, slik at IT og OT sikkerhetsproblematikk egentlig henger godt sammen.
Spørsmål om innholdet i bloggposten kan rettes til denne adressen: ag_at_nvit_dått_no