W roku 2020 zostałem poproszony przez zespół CyberSec4Europe o określenie jakie zagadnienia dotyczące cyberbezpieczeństwa są uwzględnione w programie kursów na studiach magisterskich na kierunku informatyka, na Uniwersytecie Marii Curie-Skłodowskiej w Lublinie. O taką ankietę poproszono ponad 100 europejskich Uczelni z 28 krajów. W lutym w czasopiśmie IEEE Security & Privacy ukazał się artykuł zatytułowany „Are We Preparing Students to Build Security In? A Survey of European Cybersecurity in Higher Education Programs”, który odpowiada na pytanie, czy na Uniwersytetach w Europie odpowiednio przygotowujemy specjalistów z Cyberbezpieczeństwa.
Autorzy na podstawie frameworków ACM oraz NIST określili 9 głównych obszarów cyberbezpieczeństwa, wśród nich określono: Data security, Software security, Component security, Connection security, System security, Human security, Organizational security, Operate and maintain and Societal security. Autorzy sprawdzili w 28 krajach, jakie zagadnienia z cyberbezpieczeństwa są realizowane w ramach obowiązkowych przedmiotów programu studiów magisterskich. Szczegóły zostały zaprezentowane na poniższym rysunku.
Analiza pokazuje, że wszystkie obszary cyberbezpieczeństwa są w pełni realizowane w Hiszpanii oraz Francji (9 obszarów jest realizowanych w 100%, czyli przyjęto 900%). Niemcy są bardzo blisko, realizując 9 obszarów w 800%.
Pytanie, które miejsce zajmuje Polska w ramach 28 krajów, gdzie zostały przeprowadzone badania. Polska zajmuje 18 miejsce i w ramach 9 obszarów cyberbezpieczeństwa realizowanych jest wyłącznie 5 obszarów i zostały pokryte jedynie w 210%. Badania wykazały, że ponad 50% zagadnień dotyczących cyberbezpieczeństwa to Connection Security oraz Data Security. Inne poruszane zagadnienia to System Security, Software Security i Human Security.
Pytanie, dlaczego tak słabo wypada Polska w tym rankingu? Dlaczego na Uniwersytecie uczymy tylko niektórych zagadnień i są to głównie bezpieczeństwo danych (data security) oraz bezpieczeństwo sieci (connection security)? Moim zdaniem, główny powodem takiego stanu rzeczy na Uczelniach jest brak odpowiedniej infrastruktury oraz oprogramowania, które pozwalałaby uczyć czegoś innego niż bezpieczeństwa danych oraz bezpieczeństwa sieci. Do realizacji tych zajęć potrzeba tylko Linuxa, gdzie można nauczyć stosowanej kryptografii, przy pomocy aplikacji oraz biblioteki openssl. Bezpieczeństwo sieci uczy się pokazują wiresharska, czy iptables. Wspomniane tematy są bardzo ważne i dobrze, że są realizowane w ramach przedmiotów, ale żeby stać się specjalistą cyberbezpieczeństwa należy edukować z pozostałych 7 domen cyberbezpieczeństwa. Co więcej, ta edukacja nie może dotyczyć wyłącznie aspektów teoretycznych, należy zadbać o nauczanie praktyczne.