Allerede neste høst får master-studenter i informatikk ved Universitetet i Oslo penetrasjonstesting på timeplanen. Ikke alle er glade for den utviklingen.
– IT-personell må kjenne til hvordan hackere tenker for å kunne stoppe dem, sier forsker og foreleser Laszlo Erdödi ved Institutt for informatikk til eget nettsted.
20 studenter
Det blir plass til rundt 20 studenter, og alle skal få grundig innføring i hvordan penetrasjonstesting fungerer.
Universitetet er allerede i gang med et pilotkurs der studentene prøver å bryte seg inn i ulike systemer.
Der skal de få bryne seg på ekte IT-systemer som tilsynelatende er oppdatert og har foretatt nødvendige forholdsregler med tanke på sikkerheten.
Mange blir overrasket
Eierne av nettsidene har inngått en avtale med universitetet om at studentene skal få lov til å prøve å utfordre sikkerhetstiltakene.
– Flere er sikre på at deres systemer er vanntette, og mange blir derfor overrasket over de sårbarhetene vi finner. Det kan være små ting de selv ikke har tenkt på, men som en utenforstående hacker raskt vil se.
– Det er bedre at dette avdekkes av etiske hackere enn fiendtlige, sier Erdödi til eget nettsted.
Penetrasjonstestingen kan ikke gjøres uten at konkrete avtaler ligger på bordet.
Må ha klare avtaler
Der kommer også etikken inn i bildet.
Finnes det ingen avtale om å teste sikkerheten, er penetrasjonstestingen som ondsinnet hacking å regne.
Erdödi understreker derfor viktigheten av å ha formalitetene på plass før de går i gang.
– I forkant av hver undervisningstime understreker jeg hvor viktig det er at de må ha en signert kontrakt på at de kan hacke de aktuelle nettsidene. Har de ikke det, er det de gjør ulovlig. De blir oppdatert på gjeldede juridisk regelverk på området, sier han.
– Det er helt krise
Professor Audun Jøsang ved Institutt for Informatikk forteller til digi.no at det i dag er mulig å studere informatikk og datavitenskap ved flere norske universiteter uten at man trenger å ha noen kunnskap om sikkerhet.
– Det er helt krise. Det er det samme som om bygningsarkitekter ikke skal ha noen kunnskap om brannsikkerhet.
UiO-professoren sier det er en politisk drakamp på Universitetet i Oslo om å få den viktige sikkerhetsundervisningen inn i studieprogrammene.
– Alle er jo enige om at informasjonssikkerhet er viktig, men alle er ikke nødvendigvis positive til å få det inn i undervisningen. Mange forelesere er nok redde for at elevene deres skal bytte emne, og jobber derfor for å motvirke utviklingen.
– Det er litt som kannibalisme. De fleste forelesere er jo opptatt av prestisje, og vil ikke at deres allerede etablerte emner skal falle ut av studieprogrammene, argumenterer Jøsang til digi.no.
