Kategorie
Cyberbezpieczeństwo Edukacja

Jak w Europie przygotowuje się specjalistów z cyberbezpieczeństwa? Polska jest dopiero na 18 miejscu.

W roku 2020 zostałem poproszony przez zespół CyberSec4Europe o określenie jakie zagadnienia dotyczące cyberbezpieczeństwa są uwzględnione w programie kursów na studiach magisterskich na kierunku informatyka, na Uniwersytecie Marii Curie-Skłodowskiej w Lublinie. O taką ankietę poproszono ponad 100 europejskich Uczelni z 28 krajów. W lutym w czasopiśmie IEEE Security & Privacy ukazał się artykuł zatytułowany Are We Preparing Students to Build Security In? A Survey of European Cybersecurity in Higher Education Programs”, który odpowiada na pytanie, czy na Uniwersytetach w Europie odpowiednio przygotowujemy specjalistów z Cyberbezpieczeństwa.

Autorzy na podstawie frameworków ACM oraz NIST określili 9 głównych obszarów cyberbezpieczeństwa, wśród nich określono: Data security, Software security, Component security, Connection security, System security, Human security, Organizational security, Operate and maintain and Societal security. Autorzy sprawdzili w 28 krajach, jakie zagadnienia z cyberbezpieczeństwa są realizowane w ramach obowiązkowych przedmiotów programu studiów magisterskich. Szczegóły zostały zaprezentowane na poniższym rysunku. 

Analiza pokazuje, że wszystkie obszary cyberbezpieczeństwa są w pełni realizowane w Hiszpanii oraz Francji (9 obszarów jest realizowanych w 100%, czyli przyjęto 900%). Niemcy są bardzo blisko, realizując 9 obszarów w 800%.

Pytanie, które miejsce zajmuje Polska w ramach 28 krajów, gdzie zostały przeprowadzone badania. Polska zajmuje 18 miejsce i w ramach 9 obszarów cyberbezpieczeństwa realizowanych jest wyłącznie 5 obszarów i zostały pokryte jedynie w 210%.  Badania wykazały, że ponad 50% zagadnień dotyczących cyberbezpieczeństwa to Connection Security oraz Data Security. Inne poruszane zagadnienia to System Security, Software Security i Human Security.

Pytanie, dlaczego tak słabo wypada Polska w tym rankingu? Dlaczego na Uniwersytecie uczymy tylko niektórych zagadnień i są to głównie bezpieczeństwo danych (data security) oraz bezpieczeństwo sieci (connection security)? Moim zdaniem, główny powodem takiego stanu rzeczy na Uczelniach jest brak odpowiedniej infrastruktury oraz oprogramowania, które pozwalałaby uczyć czegoś innego niż bezpieczeństwa danych oraz bezpieczeństwa sieci. Do realizacji tych zajęć potrzeba tylko Linuxa, gdzie można nauczyć stosowanej kryptografii, przy pomocy aplikacji oraz biblioteki openssl. Bezpieczeństwo sieci uczy się pokazują wiresharska, czy iptables. Wspomniane tematy są bardzo ważne i dobrze, że są realizowane w ramach przedmiotów, ale żeby stać się specjalistą cyberbezpieczeństwa należy edukować z pozostałych 7 domen cyberbezpieczeństwa. Co więcej, ta edukacja nie może dotyczyć wyłącznie aspektów teoretycznych, należy zadbać o nauczanie praktyczne.

Kategorie
Cyberbezpieczeństwo Edukacja

Kiedy zacząć edukację w dziedzinie cyberbezpieczeństwa?

Od kilkunastu lat prowadzę wykłady z cyberbepiezeństwa, zarówno na Uniwersytecie Marii Curie-Skłodowskiej w Lublinie jak i na Polsko-Japońskiej Akademii Technik Komputerowych w Warszawie. Przedmiot cyberbezpieczeństwo jest realizowany na 3 roku studiów. Na początku wykładów pytam: Ile osób pracuje w domenie cyberbezpieczeństwa? Z grona około 200 studentów zgłasza się zazwyczaj tylko 2-3 studentów. Trzeba zaznaczyć, że około 75% studentów na 3 roku studiów, na kierunku Informatyka, już pracuje. Zadałem sobie zatem pytanie, dlaczego tylko 1% studentów wybiera kierunek cyberbezpieczeństwo? Przecież, według badań Forbsa, jest to najlepiej opłacany zawód w ramach IT (w zeszłym tygodniu mój znajomy otrzymał bardzo ciekawą ofertę z wynagrodzeniem 50 tysięcy na miesiąc). Dodatkowo, praca jako cyberspecjalista jest niezwykle ciekawa, nie towarzyszy jej monotonia, to także praca, którą można wykonywać zdalnie z dowolnego miejsca na Ziemi.

Mam pewną hipotezę w tej sprawie. Moim zdaniem edukację cyberbezpieczeństwa zaczynamy zdecydowanie zbyt późno. Jeżeli pierwszy kontakt z tą tematyką mają studenci dopiero na 3 roku, to wówczas trafia to do osób, które już posiadają odpowiedni warsztat programistyczny i już pracują i rozwijają się w konkretnej technologii. Jeżeli jeszcze nie pracują, to są na etapie poszukiwania pracy, a wejście w tematykę cyberbezpieczeństwa zajęłoby im dodatkowy rok nauki. W takie sytuacji studenci wybierają pracę jako programiści.

Moją hipotezę zdają się potwierdzać studenci, ponieważ zapytałem ich wprost: Czy warto rozpoczynać edukację cyberbezpieczeństwa wcześniej? Przeprowadziłem ankietę, w której wzięło udział 103 studentów i 73 z nich stwierdziło, że według nich rozpoczęli edukację w tym zakresie zbyt późno. Zapytałem tych samych studentów, czy chcieliby pracować jako specjalista ds. cyberbezipieczeństwa. Wśród zapytanych 103 studentów, 16 odpowiedziało zdecydowanie pozytywnie, a aż 58, poważnie zastanawiają się na wyborem tej drogi kariery. Duże zainteresowanie cyberbezpieczeństwem świadczy o tym, że ta tematyka wzbudza ciekawość. Nie mniej jednak, analizując dalszą karierę studentów, tylko nieliczne osoby wybierają cyberbezpieczeństwo. Zazwyczaj decydują się na pracę dostępną od zaraz i zostają programistami.

Kiedy zatem warto zacząć naukę w dziedzinie cyberbezpieczeństwo? Moim zdaniem, tym czasem jest szkoła średnia lub nawet 7-8 klasa szkoły podstawowej. Warto poznać środowisko pracy cyberspecjalisty, czyli system Kali Linux. Dodatkowo, trzeba poznać zasady działania sieci komputerowych, systemów bazodanowych oraz nauczyć się automatyzować zadania, pisząc skrypty w języku python lub używając skryptów powłoki. Aktualnie mam opiekę merytoryczną nad grupą osób, które przygotowują się do zawodu cyberspecjalisty i uczą się wcześniej wspomnianych zagadnień. Są to osoby, które uczęszczają do 7 klasy szkoły podstawowej oraz 1 klasy szkoły średniej i muszę stwierdzić, że przy zastosowaniu odpowiednich metod edukacyjnych, to jest dobry moment na rozpoczęcie budowania kompetencji w tym zawodzie.

Myślę, że warto zadbać o to, żeby wprowadzać edukację w tym zakresie przynajmniej w szkole ponadpodstawowej, dzięki czemu w przyszłości będziemy mieli wystarczająca liczbę kompetentnych osób, które będą chroniły nas w Cyberprzestrzeni.