Kortlægning af viden- og uddannelsesaktiviteter inden for cyber- og informationssikkerhed på danske uddannelses- og forskningsinstitutioner

Transkript

1 Kortlægning af viden- og uddannelsesaktiviteter inden for cyber- og informationssikkerhed på danske uddannelses- og forskningsinstitutioner 15. december 2015 Luke Herbert

2 Indholdsfortegnelse Projektets mål Scope Metode Uddannelseskortlægning o Overblik o Udbudssammenligning o Konklusioner Forskningskortlægning o Overblik o Konklusioner Hovedkonklusioner 2015 Deloitte 2

3 Projektets mål 2015 Deloitte 3

4 Projektets overordnede mål Overbliksskabende kortlægning med fokus på udbudssiden i forskning og uddannelse indenfor cyber- og informationssikkerhed 2015 Deloitte 4

5 Projektets delmål Uddannelse Hvem er de vigtigste uddannelsesaktører i Danmark? Hvilke uddannelsesaktiviteter gennemføres i regi af disse? Hvilke ønsker til aktiviteter findes hos disse aktører? Hvad er de væsentligste styrker indenfor uddannelse i Danmark? Hvad er de væsentligste svagheder indenfor uddannelse i Danmark? Forskning Hvem er de vigtigste forskningsaktører i Danmark? Hvilke forskningsaktiviteter gennemføres i regi af disse aktører? Hvilke ønsker til aktiviteter findes hos disse aktører? Hvad er de væsentligste styrker indenfor forskning i Danmark? Hvad er de væsentligste svagheder indenfor forskning i Danmark? 2015 Deloitte 5

6 Scope 2015 Deloitte 6

7 Undersøgte uddannelsesinstitutioner Københavns Erhvervsakademi (KEA) Cphbusiness Erhvervsakademi Dania Erhvervsakademi Kolding Erhvervsakademi MidtVest Erhvervsakademi Sjælland Erhvervsakademi Sydvest (EASV) Erhvervsakademi Aarhus (EAAA) Erhvervsakademiet Lillebælt Forsvarsakademiet Erhvervsakademi (10) Dansk Institut for Internationale Studier (DIIS) Alexandra Instituttet DELTA FORCE Technology Teknologisk Institut Forsknings institution (1) GTSinstitut (4) Professionshøjskolen Metropol Professionshøjskolen UCC VIA University College University College Lillebælt University College Nordjylland Profession s-højskole (7) University College Sjælland University College Syddanmark Politiskolen Danmarks Tekniske Universitet (DTU) Handelshøjskolen i København (CBS) Uddannels es-center (1) IT-Universitetet i København (ITU) Københavns Universitet (KU) Roskilde Universitet (RUC) Syddansk Universitet (SDU) Aalborg Universitet (AAU) Universitet (8) Aarhus Universitet 2015 Deloitte (AU) 7

8 Kortlægning Kun materiale, som er offentligt tilgængeligt er blevet undersøgt Undersøgelsen er begrænset til data fra de udvalgte uddannelsesinstitutioner fra foråret 2015 eller tidligere. Alle specialkurser, engangskurser m.m. er blevet frasorteret. Lukkede kurser er ikke inkluderet i undersøgelsen. Sammenligningen mellem det danske og udenlandske kursusudbud er udelukkende baseret på de udvalgte referenceorganisationer. Undersøgelsen bygger på antagelsen at beskrivelser af kurser er fyldestgørende 2015 Deloitte 8

9 Metode 2015 Deloitte 9

10 Tilgang til kortlægningen Uddannelsesaktiviteter, certificeringsaktiviteter og forskningsaktiviteter, både i og uden for Danmark, er data-mined, for at finde et naturligt konvergenspunkt af deres cybersikkerhedsindhold. Der er brugt en automatiseret webcrawler som har gennemsøgt alt tilgængeligt materiale på de udvalgte uddannelsesinstitutioners webservere som indeholdt bestemte søgeord. Herefter udtog webcrawler-værktøjet nøgleord fra disse hjemmesider, som i første omgang bestod af alle ord, som ikke var almindelige biord. Manualt check af cybersikkerhedseksperter blev udført for at fjerne ikkerelevante ord. Herudfra blev i alt 50 nøgleord, kaldet cybersikkerhedsfelter, fundet. Disse blev inddelt ud fra deres aktiviteter i fire cybersikkerhedsdomæner: Govern, Prevent, Detect og React Deloitte 10

11 Kortlægning på uddannelsesområdet Opbyg en liste af danske cybersikkerhedskurser Udtræk nøgleord fra kursusbeskrivelserne Alle nøgleord samlet Inddel i domæner Opbyg en liste af de bedste udenlandske cybersikkerhedskurser Udtræk nøgleord fra kursusbeskrivelserne 2015 Deloitte 11

12 Kortlægning på forskningsområdet Opbyg en liste af danske forskere Find samarbejdspartnere Udtræk nøgleord fra publikationer 2015 Deloitte 12

13 Domæneinddeling Governance Prevent Detect React 2015 Deloitte 13

14 Nøgleord cybersikkerhedsfelter fordelt på domæner ud fra deres aktiviteter Intelligence Assurance Compliance Copyright Laws Crisis Handling Cyber Warfare Data Protection Fraud Detection Governance (general) Intellectual Property IT Ethics Legal risk management National Security Patents Privacy Regulatory Aspects Risk Analysis and Management Security Policies Cybercrime Access Control Authentication Authorisation Cryptography Formal Methods Confidentiality Firewalls Integrity Physical security Quantum Cryptography Secure Communication Trust Vulnerability Analysis Internet Security IDS/IPS Network Security Phishing Social engineering Threat Analysis Identity Management Algorithms Security Critical Technologies Standards Biometrics Attack Analysis Containment Reserve Engineering Malware Analysis Forensics Incident response Recovery Govern Prevent Detect React 2015 Deloitte 14

15 Survey Blev sendt ud til uddannelses- og forskningspersoner gennem CFIR / Innovationsnetværket for Finans IT og dets faglige referencegruppe. Surveyen var online fra til I alt blev 59 svar modtaget. Surveyen bestod af seks sider med 48 spørgsmål i alt. I surveyen kom man til de relevante spørgsmål alt afhængig af, om man svarede ja eller nej til at man har uddannelse og forskningsaktiviteter inden for feltet. Surveyen var understøttet af interviews med udvalgte aktører Deloitte 15

16 Interviews DTU Christian D Jensen AU Ivan Damgård ITU Thomas Hildebrandt KU Ken Friis Larsen RUC Niels Christian Juul AAU Jens Myrup Pedersen Tom Nyvang KEA Dany Kallas Copenhagen Business Academy Tue Becher SDU Jacob Aae Mikkelsen 2015 Deloitte 16

17 Uddannelseskortlægning Overblik 2015 Deloitte 17

18 Udbudsinstitutioner [13] og kurser [106] Københavns Erhvervsakademi (KEA) 4 kurser Cphbusiness 3 kurser Erhvervsakademi Sydvest (EASV) 1 kursus Erhvervsakademi Aarhus (EAAA) 3 kurser Erhvervsakademi (10) Universitet (8) Forsvarsakademiet 1 kursus Danmarks Tekniske Universitet (DTU) 28 kurser Handelshøjskolen i København (CBS) 6 kurser IT-Universitetet i København (ITU) 12 kurser Københavns Universitet (KU) Roskilde Universitet (RUC) Syddansk Universitet (SDU) Aalborg Universitet (AAU) 13 kurser 2 kurser 6 kurser 12 kurser Aarhus Universitet (AU) 15 kurser 2015 Deloitte 18

19 Studielinjer [63] på institutioner [12] Københavns Erhvervsakademi (KEA) 3 studielinjer Cphbusiness 2 studielinjer Erhvervsakademi Sydvest (EASV) 1 studielinje Erhvervsakademi (10) Universitet (8) Forsvarsakademiet 1 studielinje Danmarks Tekniske Universitet (DTU) 16 studielinjer Handelshøjskolen i København (CBS) 5 studielinjer IT-Universitetet i København (ITU) Københavns Universitet (KU) Roskilde Universitet (RUC) 8 studielinjer 8 studielinjer 1 studielinjer Syddansk Universitet (SDU) Aalborg Universitet (AAU) Aarhus Universitet (AU) 3 studielinjer 6 studielinjer 9 studielinjer 2015 Deloitte 19

20 Studielinjer med mere end 20% fokus på cybersikkerhed Danmarks Tekniske Universitet (DTU) 3 studielinjer 4 studielinjer IT-Universitetet i København (ITU) 1 studielinje Erhvervsakademi (10) Universitet (8) Københavns Universitet (KU) 1 studielinje Aarhus Universitet (AU) 2 studielinjer Aalborg Universitet (AAU) 1 studielinje Studielinjer med >20% cybersikkerhedsindhold i mindst et af de fire cybersikkerhedsdomæn er (3) Studielinjer med overordnet >20% cybersikkerhedsindhold, på tværs af alle fire cybersikkerhedsdomæn 2015 Deloitte 20 er (9)

21 Uddannelsesaktører 92 ud af de 106 identificerede kurser med et cybersikkerhedselement blev udbudt ved de otte danske universiteter. Der blev identificeret 52 undervisere tilknyttet kurser med et cybersikkerhedselement på disse universiteter Deloitte 21

22 Certificeringer i Danmark [75] fra 13+ udbydere SANS EC-Council OFFENSIVE Security Cisco CompTIA ISC2 ISACA Mile2 IAPP IACRB MICT IFCI C-Cure (og andre som f.eks. CSIS, Digicure, Symbic) 2015 Deloitte 22

23 Primære karakteristika af certificeringer Generelt kortvarige forløb med en typisk længde på ca. 1 uge. Typisk taget som efteruddannelse af personer som allerede har en del viden indenfor feltet. Mere fokus på snævre områder med et praktisk anvendelsesfokus. Tjener som en blå stempling af evner som ofte er blevet modnet i andre regi Deloitte 23

24 Uddannelseskortlægning Udbudssammenligning 2015 Deloitte 24

25 Kurser på udenlandske referenceinstitutioner Springfield Technical Community College American Military University University of California, Berkeley 9 kurser 3 kurser 30 kurser Royal Holloway 28 kurser Stanford University 25 kurser Massachusetts Institute of Technology 24 kurser Erhvervsakademi (2) Universitet (6) University of Cambridge 9 kurser California Institute of Technology 5 kurser 2015 Deloitte 25

26 Sammenligning: Alle domæner Edge = 100% INSERT DIAGRAM/FIGURE International Danmark 2015 Deloitte 26

27 Sammenligning: Govern Edge = 10% International Danmark 2015 Deloitte 27

28 Sammenligning: Prevent Edge = 10% Internet Security International Danmark 2015 Deloitte 28

29 Sammenligning: Detect Edge = 10% Network Security International Danmark 2015 Deloitte 29

30 Sammenligning: React Edge = 10% Malware Analysi International Danmark 2015 Deloitte 30

31 Uddannelseskortlægning Konklusioner 2015 Deloitte 31

32 Styrker Der er en god balance mellem projektorienteret arbejde og formelle undervisningsmetoder. o Nogle institutioner ligger betydelig vægt på projektarbejde. o Læring i dette regi er meget drevet af den studerendes interesser. o Disse projekter kan udgøre en betydelig brøkdel, op til 1/3 af læringsbyrden i nogle uddannelser. Der er et stort fokus på Prevent-domænet i de udbudte kurser. Danmark har stærke kompetencer inden for cybersikkerhedsfelterne Cryptography og Formal Methods. Vægtningen af det Danmark udbud matcher bredt fokus i udenlandske eliteinstitutioner Deloitte 32

33 Svagheder Emner inden for Govern og Response samt specifikke avancerede områder som Quantum Cryptography og IT Security Law, blev identificeret af respondenterne som manglede på de nuværende studielinjer. Der er meget lidt fokus på de følgende cybersikkerhedsfelter i det nuværende udbud af cybersikkerhedskurser: o System Security, Privacy, National Security, Cybercrime, Data Protection, Fraud Detection, Phishing, Forensics, Biometrics, Malware Analysis og Physical Security. Surveyen viste en næsten 50/50 inddeling i forhold til de undervisere, som havde samarbejde med erhvervslivet, og dem, som havde et meget begrænset eller intet samarbejde i deres undervisning med erhvervslivet. o Interviews afdækkede at det var svært at bryde ind i et samarbejde med erhvervslivet. Surveyen viste, at der er noget men ofte begrænset tværfagligt samarbejde inden for cybersikkerhedsuddannelser Deloitte 33

34 Barrierer De primære barrierer var en mangel på ressourcer o Tid og funding o Samarbejdspartnere o Interesse blandt studerende Nogle respondenter mente, at der var en manglede opbakning fra ledelsen på uddannelsesstederne i forhold til at starte cybersikkerhedsuddannelser op. Nogle respondenter mente, at det var svært at skabe realistiske cybersikkerhedsproblemstillinger for de studerende. Nogle respondenter mente fremdriftsreformen muligvis kunne være medvirkende til, at de studerende ikke tog de mere komplekse cybersikkerhedskurser, da de ikke ville kunne afmelde sig eksamen igen Deloitte 34

35 Ønsker Surveyen viste et entydigt stort flertal af de adspurgte udtrykte et klart ønske om, at erhvervssamarbejdet blev stærkere. Surveyen viste et entydigt stort flertal af de adspurgte udtrykte et klart ønske om, at det tværfaglige samarbejde blev stærkere. Inkludering af emner inden for Quantum Cryptography, IT Security Law og Security Critical Technologies som en del af de nuværende studielinjer, eller som selvstændige studielinjer. Nemmere at oprette nye studielinjer i universitets regi. Flere midler til undervisning Deloitte 35

36 Forskningskortlægning Overblik 2015 Deloitte 36

37 Forskere I alt er der blevet identificeret 111 cybersikkerhedsforskere fra otte universiteter; de samme otte universiteter, som udbød kurser inden for området. Disse blev identificeret ud fra de cybersikkerhedsfelter, som deres publikationer og offentlige tilgængelige profiler indeholdt. Der er et meget stort overlap med de identificerede undervisere på universiteterne. Det skyldes, at det danske undervisningssystem betoner forskningsbaseret undervisning, og at forskere er forpligtet til at undervise. Forskere var karakteriseret af en stor personlig drift i deres arbejde med søgen efter viden i et specifikt område som det motiverende i deres arbejde. o Konkrete forskningsprojekter muliggør at man kan få midler men de underliggende forskningsmål skifter kun langsomt hos den individuelle forsker Deloitte 37

38 Unge forskere I denne undersøgelse er unge forskere blevet identificeret som forskningsassistenter, videnskabeligt personale, PhD-forskere, postdocs og adjunkter. Disse blev identificeret ved at krydsreferere uddannelses- og forskningsinformation inden for cybersikkerhed, fundet i de tidligere undersøgelser, med forskernes titler. Ud fra denne definition blev der fundet 26 unge forskere fra fem universiteter. o Unge forskere er meget mobile og forlader ofte Danmark for at optage fuldtidsforsker stillinger i udlandet eller tage til erhvervslivet. Såfremt det nuværende behov for undervisere og forskere skal dækkes fremadrettet, vil der være behov for at tiltrække flere unge forskere Deloitte 38

39 Forskningsområder 2015 Deloitte 39

40 Forskningskortlægning Konklusioner 2015 Deloitte 40

41 Styrker Danmark har stærke verdenskendte kompetencer inden for cybersikkerhedsfelterne Cryptography og Formal Methods. o Danmark har også gode kompetencer inden for cybersikkerhedsfelterne Privacy og Network Security. o Disse styrker er meget bundet op i de individuelle forskere. Der er et tæt bånd mellem forskning og undervisningsaktiviteter, da det ofte er de samme aktører, som udfører begge opgaver. Dette gør vidensdeling nemmere Deloitte 41

42 Svagheder Der er et manglende forskningsmæssigt fokus på governance-aspektet og juridiske aspekter. o Der er også en avancerede kvantekryptografiske emner hvor Danmark kunne udvikle sig yderligere. Der er et vist samarbejde med erhvervslivet. o Et entydigt stort flertal af de adspurgte udtrykte et klart ønske om, at et sådant samarbejde blev stærkere. Der er et vist tværfagligt samarbejde o To klare grupperinger; en mindre gruppe forskere med meget tværfagligt samarbejde, og en større gruppe forskere med meget begrænset eller intet tværfagligt samarbejde. o Et stort flertal af respondenterne udtrykte ønske om, at et sådant samarbejde blev stærkere, f.eks. IT og jura, IT og forretningsledelse/strategi, IT og risikostyring Deloitte 42

43 Barrierer De primære barrierer var en mangel på ressourcer o Tid og funding o Samarbejdspartnere o Personer med kompetencer til at forske inden for cybersikkerhed (PhDer, PostDocs) Derudover mente nogle respondenter også, at der manglede opbakning fra ledelsen på forskningsinstitutionerne i forhold til at starte og fortsætte cybersikkerhedsforskningsaktiviteter. Forskningen på området er relativt spredt, hvorfor nogle grupperinger har et godt samarbejde, mens andre ikke har lokal kritisk masse Deloitte 43

44 Eksempler på forskningsprojekter Surveyen og de gennemførte interviews afdækkede en række forskningsprojekter. Nogle af hovedemnerne i disse projekter var privacy, authentication, infrastruktur, kryptografi, cloud-computing, menneske-maskine interaktion, big data og malware. De identificerede forskningsprojekter fokuserer på konkrete behov inden for forskellige sektorer i erhvervslivet, samt at de har et tæt samarbejde med erhvervslivet Deloitte 44

45 Forskningsønsker (1/2) Yderligere forskning vedrørende implementering af sikkerhed igennem hele ICTudviklingsprojektets livscyklus. Sammenspil mellem life-programming, sikkerhed og korrekthed af systemer. Metoder, som gør end-users i stand til at forandre systemet, hvor ændringerne ikke introducerer sikkerhedshuller. Detektion af covert channels med fokus på at forbedre forsvar mod cybersikkerhedstrusler og forebygge cyberkriminalitet og industrispionage, herunder eksempelvis Botnet. Samarbejde med forskere i programmeringssprog, logik, systems and human computer interaction, omhandlende hele fødekæden for udviklingen af en protokol, dvs. processen for den teoretiske del til den egentlige implementering. Forskning i brugen af programmeringsteknologi, som eksempelvis typer, statiskanalyse eller kodeinstrumentering for at sikre informationssikkerhedsegenskaber, som f.eks. privacy Deloitte 45

46 Forskningsønsker (2/2) Forskning i sikring af dansk, kritisk infrastruktur (inkl. it og kommunikation, betalingssystemer, autentifikationstjenester, centrale myndighedsfunktioner o. lign.) Forskning i tillidsværdige it-systemer, herunder metoder til at analysere systemers afhængighed af delsystemer, og hvordan tillidsværdigheden af det samlede system påvirkes af fejl, mangler og evt. kompromitterede delsystemer. Forskning i, hvordan man bygger sikkerhed ind i de it-systemer, der bygges ind i dagligdagsobjekter (herunder sikkerhed i it-i-alt og "Internet of Things"). Forskning i inkludering af folk med særlige behov (funktionelle eller ægte analfabeter, handikappede, udviklingshæmmede o. lign.) i det digitale samfund Deloitte 46

47 Hovedkonklusioner 2015 Deloitte 47

48 Hovedkonklusioner 1/2 Størstedelen af al undervisning indenfor dette område foregår på de otte universiteter. Kurserne fokuserer i stor udstrækning på Prevent-domænet, dvs. på de mekanismer som kan beskytte en organisation mod et cyber-angreb. Der er desuden fokus på det matematiske og tekniske grundlag, men begrænset fokus på andre aktiviteter indenfor dette domæne. Der er på uddannelsessiden meget begrænset fokus på aktiviteter inden for de andre domæner, dvs. Govern, Detect og React. Dette betyder også, at der er begrænset fokus på de aktiviteter som tilhører disse domæner, bl.a. Privacy, Data Protection og Forensics Deloitte 48

49 Hovedkonklusioner 2/2 Der uddannes ikke specialister med dybdegående viden inden for et bestemt domæne. Der uddannes ikke generalister og dermed har en bred viden inden for de nævnte fire domæner. Der er stor afhængighed af en begrænset gruppe mennesker til både at forske og undervise indenfor dette felt. Såfremt det nuværende behov for undervisere og forskere skal dækkes fremadrettet, vil der være behov for at tiltrække flere unge forskere. Der er stor spredning i forskningsområder, hvilket betyder, at det i mange områder ikke er muligt at opbygge lokal kritisk masse. Danmark er forskningsmæssig stærk inden for en række aktiviteter, bl.a. kryptologi og tilhørende aktiviteter indenfor Prevent- domænet. Barrierer på både uddannelses- og forskningssiden er generelt en mangel på ressourcer Deloitte 49

50 Om Deloitte Deloitte leverer ydelser indenfor Revision, Skat, Consulting og Financial Advisory til både offentlige og private virksomheder i en lang række brancher. Vores globale netværk med medlemsfirmaer i mere end 150 lande sikrer, at vi kan stille stærke kompetencer til rådighed og yde service af højeste kvalitet, når vi skal hjælpe vores kunder med at løse deres mest komplekse forretningsmæssige udfordringer. Deloittes ca medarbejdere arbejder målrettet efter at sætte den højeste standard. Deloitte Touche Tohmatsu Limited Deloitte er en betegnelse for Deloitte Touche Tohmatsu Limited, der er et britisk selskab med begrænset ansvar, og dets netværk af medlemsfirmaer. Hvert medlemsfirma udgør en separat og uafhængig juridisk enhed. Vi henviser til for en udførlig beskrivelse af den juridiske struktur i Deloitte Touche Tohmatsu Limited og dets medlemsfirmaer.

51 Yderligere materiale 2015 Deloitte 51

52 De centrale begreber (1/2) Aktiviteter inden for cybersikkerhed kan inddeles i fire overordnede grupper eller cybersikkerhedsdomæner: Govern, Prevent, Detect og React. Disse cybersikkerhedsdomæner beskriver forskellige aktiviteter, som er nødvendige for at organisere, forhindre, detektere og reagere ift. cybersikkerhed. Et cybersikkerhedsfelt er et emne, eller et tema, inden for cybersikkerhed. Det kan f.eks. være Cybercrime. Der arbejdes med 50 cybersikkerhedsfelter i denne undersøgelse. Disse er blevet fundet gennem data-mining, hvor alle de nøgleord, som uddannelsessteder brugte til at beskrive cybersikkerhedsundervisning eller -forskning, blev tilføjet listen af cybersikkerhedsfelter. Ud fra det fokus, som cybersikkerhedsfeltet har, blev disse herefter inddelt i de fire cybersikkerhedsdomæner. Det vil sige, at cybersikkerhedsfelter, som beskæftiger sig med Prevent-aktiviteter, blev tilføjet dette cybersikkerhedsdomæne og så videre. Nogle cybersikkerhedsfelter, f.eks. Cybercrime, kan indeholde aktiviteter, som er relevante i mere end ét cybersikkerhedsdomæne, og vil i sådanne tilfælde tilføjes alle de cybersikkerhedsdomæner, som feltet har aktiviteter i. Cybersikkerhedselement: En general betegnelse for, om en given aktivitet, f.eks. et kursus, indeholder nogle cybersikkerhedsfelter. Det vil sige, at hvis der f.eks. i en kursusbeskrivelse bruges cybersikkerhedsfeltet Cybercrime, men ingen andre cybersikkerhedsfelter, vil kurset blive registeret som at have et cybersikkerhedselement Deloitte 52

53 De centrale begreber (2/2) Dækningsgrad er et hyppighedsindeks for, hvilket cybersikkerhedsindhold et kursus har. Dette kan udregnes både for et enkelt cybersikkerhedsfelt, for et specifikt cybersikkerhedsdomæne, eller for alle fire cybersikkerhedsdomæner, for et kursus, eller for alle kurser på et givent uddannelsessted, eller for alle kurser med et cybersikkerhedselement udbudt i Danmark eller i udlandet. Det udregnes som det antal gange et givent cybersikkerhedsfelt optræder i det indsamlede data (f.eks. i kursusbeskrivelsen) / det samlede antal gange alle cybersikkerhedsfelter er identificeret i det indsamlede data * 100%. Det vil sige, at hvis et givent kursus har en dækningsgrad på 10% inden for Copyright Laws, betyder det, at kurset fokuserer 10% på dette cybersikkerhedsfelt. o Bemærk, at dækningsgrad ikke siger noget om kvalitet og ikke tager hensyn til niveauforskelle mellem f.eks. kurser på forskellige uddannelsessteder, niveauer eller studielinjer. Bemærk desuden at der kun tages udgangspunkt i tilgængeligt materiale, f.eks. kursusbeskrivelsen, da en af de grundlæggende antagelser i denne undersøgelse var at denne ville være fuldt dækkende for kurset og opdateret. Disse forhold omkring dækningsgradsbegrebet gør at de analyser og konklusioner som er foretaget på baggrund af denne laves med forbehold for de begrænsninger som ligger i denne metode Deloitte 53

54 Styrker og svagheder ved metodevalget (1/2) Metode Styrker Svagheder Adressering af svagheder Data-mining Der er fokus på de kurser m.m., som udbyderne selv mener er relevante for cybersikkerhed. Alt offentligt tilgængeligt materiale bliver gennemsøgt. Domæneind deling Sikkerhedsfe lter Domæneinddeling skaber overblik, struktur og klarhed. Derudover, ved at bruge en cybersikkerhedsdomæneinddelin g, som er alment kendt inden for risikovurdering og cybersikkerhed, skabes et klart overblik over resultaterne. Der er fokus på de cybersikkerhedsfelter, som udbyderne selv mener, er relevante for cybersikkerhed. Alt offentligt tilgængeligt materiale bliver gennemsøgt. Kurser og andet data, som ikke indeholder cybersikkerhedsfelterne eller søgetermer, som bruges, vil ikke blive fundet. Domæneinddelingen kan være begrænsende eller misvisende. Kurser og andet data, som ikke indeholder de cybersikkerhedsfelter eller søgetermer, som bruges, vil ikke blive fundet. Surveyen og interviews gav uddybende data. Derudover var det en grundlæggende antagelse, at materiale, som ikke var offentlig tilgængeligt, ikke var relevant da mulige brugere ikke ville kunne finde det Domæner og inddeling af cybersikkerhedsfelter til cybersikkerhedsdomæner er foretaget ud fra offentlige standarder, som f.eks. ISO, samt anderkendte anbefalinger fra f.eks. European Union Agency for Network and Information Security (ENISA) Surveyen og interviews gav uddybende data. Derudover blev cybersikkerhedsfelter samt deres tildeling til cybersikkerhedsdomæner foretaget ud fra offentlige standarder, som f.eks. ISO samt, anderkendte standarder som ENISA Deloitte 54

55 Styrker og svagheder ved metodevalget (2/2) Metode Styrker Svagheder Adressering af svagheder Tilgængeligt materiale Interviews Survey Ved kun at undersøge data, som er offentlig tilgængeligt og fra foråret 2015 eller tidligere, sikres, at det undersøgte materiale er relevant for både studerende og erhvervslivet, deri at det er i brug og dermed kan vurderes. Man kan få dybdegående svar. Man kan løbende tjekke informanternes forståelse af spørgsmålene. Endvidere er der mulighed for en direkte opfølgning på eller uddybning af informanternes svar. Ved at foretage en surveyundersøgelse kan man på kort tid indsamle meget data. Derudover opnår man høj reliabilitet på grund af det strukturerede spørgeskema. Der kan være materiale, som ikke er offentlig tilgængeligt, som kan være relevant, eller kurser m.m., som først er startet i efteråret 2015, som er relevante for undersøgelsen. Interviews kan ikke genskabes og kan afhænge af intervieweren og den, der interviewes, såvel som selve interviewsituationen. Undersøgelsen giver ikke mulighed for, at der kan integrere nye spørgsmål undervejs. De strukturerede svarkategorier kan samtidig reducere nuancerne i svarene, og dermed kan man miste informativ data. En detaljeret beskrivelse af metode tilgangen såvel som scope vil tydeliggøre rapportens afgræsninger. Processen for interviews blev beskrevet, og detaljerede og råd og regler, foreskrevet i den akademiske litteratur omkring interviews, blev fulgt nøje. Der var altid mindst to interviewpersoner tilstede til interviews. Derudover blev alle interviews transskriberet og sent til interviewpersonen til godkendelse. Surveyen bruges til at give et indblik i cybersikkerhed i Danmark, som er et meget lille/begrænset felt med få uddannelsessteder og et begrænset antal forskere og undervisere. Selvom ikke alle, som er involveret i cybersikkerhed, svarere på surveyen, giver denne et indblik i emner, som surveyen berørte 2015 Deloitte 55

56 Cybersikkerhedsfelter Governance 1/2 Assurance Sikkerhed for, at en påstand om et IT-system er sand. Compliance At noget udføres i overensstemmelse med en regel, såsom en specifikation, politik, standard eller lov. Copyright Laws Love som vedrører ophavsret, der giver skaberen af et originalt værk eneret vedrørende dets anvendelse og distribution. Crisis Handling Den proces, hvor en organisation håndterer en stor begivenhed, der truer med at skade organisationen, dens interessenter, eller offentligheden. Cyber Warfare En internetbaseret konflikt der involverer politisk motiverede angreb på informationssystemer og informationssystemer. Cybercrime Enhver forbrydelse, der involverer en computer og et netværk. Computeren kan have været brugt i udførelsen af en forbrydelse, eller det kan være målet. Data Protection Juridisk kontrol over adgangen til og brugen af data lagret i computere Fraud Detection Handlinger for at beskytte kunders og virksomhedens information, aktiver, konti og transaktioner mod snyd/svindel gennem realtid, nær- realtid eller batch analyse af aktiviteter af brugere og andre definerede enheder. Governance (general) De processer, der sikrer en effektiv brug af IT i muliggørelsen af en organisations mål. Identity Management Den aktivitet i et IT-system, der går ud på at tildele subjekter og objekter entydige identiteter, beskytte disse identiteter mod uvedkommende og fastslå hvilket subjekt eller objekt en given identitet svarer til Deloitte 56

57 Cybersikkerhedsfelter Governance 2/2 Intellectual Property Mentale kreationer: opfindelser; litterære og kunstneriske værker; og symboler, navne og billeder, der anvendes i handel. IT Ethics Etiske problemstillinger ifm. Dataindsamling, sammenkøring, deling mm som er lagret i IT systemer. Legal risk management Det juriske aspekt af risikostyring En systematisk tilgang til håndtering af risici i målsystemer National Security Patents Privacy Et begreb der omhandler at en regering bør beskytte staten og dens borgere mod alle former for "nationale" kriser gennem en række af magt fremskrivninger, såsom politisk magt, diplomati, økonomisk magt, militær magt, etc. En ret givet til opfinderen af en (1) proces, maskine, fremstillet genstand, eller sammensætning af stof, (2), der er nyt, nyttigt og ikke- indlysende. Et patent er retten til at udelukke andre fra at bruge en ny teknologi. Evnen en person eller gruppe har til at udelukke sig selv, eller oplysninger om sig selv, og derved udtrykke sig selektivt. Grænserne for og indholdet af, hvad der anses privat varierer mellem kulturer og individer, men deler fælles temaer. Regulatory Aspects Lovgivningsmæssige aspekter af it-sikkerhed. Risk Analysis and Management Den strukturerede tilgang til analyse og håndtering af risici. Security Policies En definition af, hvad det betyder at være sikker for et system, organisation eller andre enheder. Standards Teknikker generelt angivet i offentliggjort materiale, der består af samlinger af værktøjer, politikker, sikkerhed koncepter, sikkerhedsforanstaltninger, retningslinjer, risikostyringstilgange, handlinger, uddannelse, bedste praksis mm Deloitte 57

58 Cybersikkerhedsfelter Prevent 1/2 Access Control Styring af et subjekts rettigheder til at tilgå objekter i et informationsbehandlingssystem. Algorithms Authentication Authorisation Biometrics Cryptography En procedure eller formel til løsning af et problem. Den aktivitet, der gennemføres for at bevise, at en bruger eller et IT-system er den, som han eller hun påstår at være. Tilladelse til at udføre nærmere bestemte aktiviteter inden for et informationsbehandlingssystem. Målinger relateret til menneskelige egenskaber. Biometri godkendelse anvendes i datalogi bl.a. som en form for identification, adgangskontrol og til at identificere individer i grupper, der er under overvågning. Praksis og undersøgelse af teknikker til sikker kommunikation under tilstedeværelse af tredjeparter. Formal Methods Confidentiality Cybercrime Security Critical Technologies Firewalls Identity Management Teknikker, der anvendes til at modellere komplekse systemer som matematiske enheder. Den egenskab ved et informationsbehandlingssystem, at information ikke gøres tilgængelig for uvedkommende personer eller processer. Enhver forbrydelse, der involverer en computer og et netværk. Computeren kan have været brugt i udførelsen af en forbrydelse, eller det kan være målet. Teknologier hvis sikkerhed er vital for at en organisation, enhed, land etc. kan forsætte med at fungere. Komponenter i et netværk, der overvåger ind- og udgående trafik til og fra netværket og kun tillader trafik, der overholder en given politik, til at passere. Den aktivitet i et IT-system, der går ud på at tildele subjekter og objekter entydige identiteter, beskytte disse identiteter mod uvedkommende og fastslå hvilket subjekt eller objekt en given identitet svarer til. Integrity Den egenskab ved et informationsbehandlingssystem, at data der lagres eller transmitteres igennem systemet ikke må ændres af uvedkommende personer eller ved fejl i systemet Deloitte 58

59 Cybersikkerhedsfelter Prevent 2/2 Internet Security IDS/IPS Network Security Phishing Physical security Quantum Cryptography En del af IT-sikkerhed specifikt relateret til internettet, ofte involverer browser sikkerhed, men også netsikkerhed på et mere generelt plan som det gælder for andre applikationer eller operativsystemer som helhed. IPS er et kontrolredskab og IDS er et synligheds værktøj. Intrusion Detection Systems sidder på siden af netværket, overvåger trafik på mange forskellige punkter, og giver synlighed i sikkerhedssituationen i netværket. Processen med at tage fysiske og software forebyggende foranstaltninger til at beskytte den underliggende netværksinfrastruktur fra uautoriseret adgang, misbrug, fejl, ændring, ødelæggelse, eller uretmæssig meddelelser. En form for angreb, baseret på social manipulation, hvor formålet er at få offeret til at afsløre personlige data. Den del af IT-sikkerhed, der fokuserer på sikring af de fysiske omgivelser for informationsbehandlingssystemer, herunder beskyttelse mod naturlige katastrofer, brand, oversvømmelser, indbrud, hærværk, fysisk nedbrud osv. Kunsten og videnskaben at udnytte kvantemekaniske egenskaber til at udføre kryptografiske opgaver. Secure Communication Social engineering Standards Threat Analysis Trust Vulnerability Analysis Når to enheder kommunikerer og ikke ønsker en tredjepart kan lytte med. For at gøre dette skal de kommunikere på en måde, der ikke er modtagelige for aflytning eller overvågning. En ikke-teknisk metode til indtrængen som hackere bruger, der er stærkt afhængig af menneskelig interaktion og ofte indebærer at disse snydes til at bryde de normale sikkerhedsprocedurer. Teknikker generelt angivet i offentliggjort materiale, der består af samlinger af værktøjer, politikker, sikkerhed koncepter, sikkerhedsforanstaltninger, retningslinjer, risikostyringstilgange, handlinger, uddannelse, bedste praksis mm. Analyse af et forhold eller hændelse, der kan true sikkerheden i et informationsbehandlingssystem. Graden af tro på, at en påstand om et IT-system eller dettes data er sand. I forbindelse med IT-sikkerhed ofte mere specifikt tillid til, at en påstand om et subjekt eller objekts identitet eller andre sikkerhedsmæssige egenskaber er sand. Analyse af en svaghed i et informationsbehandlingssystem, som kan udnyttes til at igangsætte hændelser, som er i strid med den sikkerhedspolitik, der er fastlagt for systemet Deloitte 59

60 Cybersikkerhedsfelter Detect Algorithms Security Critical Technologies Intelligence En procedure eller formel til løsning af et problem. Teknologier hvis sikkerhed er vital for at en organisation, enhed, land etc. kan forsætte med at fungere. En samling af viden og data, der anses for vigtig og af værdi, for eksempel politisk eller militær værdi. Internet Security IDS/IPS Identity Management Network Security En del af IT-sikkerhed specifikt relateret til internettet, ofte involverer browser sikkerhed, men også netsikkerhed på et mere generelt plan som det gælder for andre applikationer eller operativsystemer som helhed. IPS er et kontrolredskab og IDS er et synligheds værktøj. Intrusion Detection Systems sidder på siden af netværket, overvåger trafik på mange forskellige punkter, og giver synlighed i sikkerhedssituationen i netværket. Den aktivitet i et IT-system, der går ud på at tildele subjekter og objekter entydige identiteter, beskytte disse identiteter mod uvedkommende og fastslå hvilket subjekt eller objekt en given identitet svarer til. Processen med at tage fysiske og software forebyggende foranstaltninger til at beskytte den underliggende netværksinfrastruktur fra uautoriseret adgang, misbrug, fejl, ændring, ødelæggelse, eller uretmæssig meddelelser. Phishing En form for angreb, baseret på social manipulation, hvor formålet er at få offeret til at afsløre personlige data. Social engineering Standards Threat Analysis En ikke-teknisk metode til indtrængen som hackere bruger, der er stærkt afhængig af menneskelig interaktion og ofte indebærer at disse snydes til at bryde de normale sikkerhedsprocedurer. Teknikker generelt angivet i offentliggjort materiale, der består af samlinger af værktøjer, politikker, sikkerhed koncepter, sikkerhedsforanstaltninger, retningslinjer, risikostyringstilgange, handlinger, uddannelse, bedste praksis mm. Analyse af et forhold eller hændelse, der kan true sikkerheden i et informationsbehandlingssystem Deloitte 60

61 Cybersikkerhedsfelter React Algorithms En procedure eller formel til løsning af et problem. Attack Analysis Biometrics Analyse af et forsætligt forsøg på at udføre aktiviteter på et informationsbehandlingssystem, der er i strid med systemets sikkerhedspolitik. Målinger relateret til menneskelige egenskaber. Biometri godkendelse anvendes i datalogi bl.a. som en form for identifikation, adgangskontrol og til at identificere individer i grupper, der er under overvågning. Containment En metode, hvorved adgang til information, filer, systemer eller netværk styres via adgangspunkter. Reverse Engineering Det at tage et objekt fra hinanden for at se, hvordan det fungerer med henblik på at kopiere eller forbedre objektet. Forensics Incident Response Den del af retsvidenskaben som omfatter genopretning og efterforskning af materiale, der findes i digitalt udstyr, ofte i relation til it-kriminalitet. En organiseret tilgang til løsning og styring i kølvandet på et brud på sikkerheden eller et angreb. Målet er at håndtere situationen på en måde, der begrænser skader og reducerer restitutionstid og omkostninger. Malware Analysis Analyse af programmel, der konstrueres til at have en skadelig virkning på det system, hvor det installeres. Recovery Security Critical Technologies Standards Den aktivitet, der har til formål at retablere et informationsbehandlingssystems regnekraft og data efter en systemfejl. Teknologier hvis sikkerhed er vital for at en organisation, enhed, land etc. kan forsætte med at fungere. Teknikker generelt angivet i offentliggjort materiale, der består af samlinger af værktøjer, politikker, sikkerhed koncepter, sikkerhedsforanstaltninger, retningslinjer, risikostyringstilgange, handlinger, uddannelse, bedste praksis mm Deloitte 61

62 Populære områder i Danmark Keyword Access Control Keyword Keyword Vulnerability Virtualization Analysis Keyword Assurance Keyword Validation 60 Keyword Authentication Keyword Traffic Analysis Keyword Automata Keyword Certificates Keyword System Security Keyword Cloud Keyword Stochastic Techniques 50 Keyword Compliance Keyword Software security Keyword Context-free Languages Keyword Security Policies 40 Keyword Countermeasures Keyword Security Infrastructure 30 Keyword Crisis Handling Keyword Secure Communication Keyword Cryptography Keyword Risk management 20 Keyword Cryptosystems Keyword Research 10 Keyword Data Flow Keyword Redundancy 0 Keyword Database Keyword Randomness Keyword Distributed Systems Keyword Proxy Keyword Fault Tolerance Keyword Program Analysis Keyword Fixed Point Theory Keyword Physical security Keyword Formalism Keyword Pervasive Systems Keyword Frequency Analysis Keyword Penetration Test Keyword Hacking Keyword Packet Inspection Keyword Identity Management Keyword Network Security Keyword Induction Keyword Modelling Keyword Infrastructure Keyword Mobile Systems Keyword Mainframe Keyword Intellectual Property Keyword Lightweight Keyword Keyword Intrusion Internet Detection Of Things Keyword IT Cryptography Security Practices Keyword IT Ethics Systems 2015 Deloitte 62