Vi mangler IT-sikkerhedsfolk, apply within
Jeg sendte for nyligt et skriv afsted som startede med:
Manglen på IT-folk er tydelig og manglen på IT-sikkerhedsresourcer er skræmmende. Vi står overfor et væld af trusler, og situationen forværres næsten dag for dag. Det er fakta for danske netværk, danske virksomheder og organisationer.
Vores værn er en hård kerne af IT-sikkerhedsfolk som dagligt traver rundt og gør deres bedste. Vi er dog for få, alt for få. Hvis man kunne klone sig selv ville jeg straks overveje det.
Det blev et par dage efter til et tweet der blandt andet indeholdt:
Ting der kan skræmme mig, manglen på IT-folk.
Specielt manglen på IT-sikkerhedsfolk
Vi har ekstrem mangel som gør hele branchen usund på flere måder.
Der er ikke ledige ressourcer til at udføre opgaverne, hvilket betyder at sikkerheden falder
Skræmmende 2022 udsigter
https://twitter.com/kramse/status/1460217359160033284
Der var en del aktivitet på tweetet, og derfor prøver jeg nu at samle tankerne lidt. Til dette indlæg er det officielle soundtrack en playliste med Smooth Jazz, måske kan det berolige mig lidt https://open.spotify.com/playlist/37i9dQZF1DXdwTUxmGKrdN?si=6c245232729b49fc
Advarsel: Dette indlæg er baseret på min begrænsede viden. Jeg er underviser, og med stort held har jeg fået lov til at undervise i ting jeg brænder for. Jeg har ingen stor pædagoisk baggrund og dette indlæg skal derfor tages med mindst et par kilogram salt.
Er formel uddannelse i IT-sikkerhed nødvendig
I forlystelsesparker står der skilte med, you must be this tall to ride, underforstået, man skal have en hvis minimumshøjde for at køre med.
Eksempelvis skal man være mindst 132cm for at køre med Dæmonen i Tivoli
https://www.tivoli.dk/da/haven-og-forlystelser/forlystelser/daemonen
Vi har ikke samme krav indenfor IT-sikkerhed. Specielt har vi ikke krav om formel uddannelse. Hov, men jeg har set jobopslag der kræver CISSP, CEH, kandidatuddannelse og 10 års erfaring.
Det er helt rigtigt, mange opslag søger en enhjørning som kan IT-sikkerhed, pentest, arbejde fra A til Z, arbejde selvstændigt og skrive gode rapporter.
Bemærk at jeg her ændrede kandidatuddannelse til skrive gode rapporter, det er en ting jeg har med fra min datalogi cand.scient fra DIKU. Jeg lærte at læse og skrive, selvfølgelig på et andet niveau end folkeskolen. Tilsvarende kan man lære og udføre opgaver uden at have taget en specifik certificering.
Min egen IT-sikkerhedsviden bunder primært i interesse og selvlærte ting. Min adgang til akademiske papers via Internet og FTP gjorde at jeg fandt papers som
The Internet Worm Program: An Analysis af Eugene H. Spafford
Dem læste jeg over cornflakes som en ung studerende i starten af 1990erne. Der var ikke dengang IT-sikkerhedsuddannelser og der var næsten ingen kurser på DIKU, måske lidt kryptering i et fag. Det er bedre i dag, men der er meget få formelle uddannelser. De fleste i vores branche er derfor i stort omfang selvlærte og drevet af egen interesse. Nogle har eksperimenteret sig til viden, andre har læst bøger og mange har været i communities - herunder konferencer.
Det har også været min vej, en masse bøger og en masse konferencer.
Så du kan også starte i IT-sikkerhed, og hvis du har viden og erfaringer fra andre jobs i din karriere så brug den.
Du behøver ikke formel uddannelse.
Dit fundament
Jeg arbejder på KEA og underviser på Diplom i IT-sikkerhed som er efteruddannelse efter en studieordning der er næsten magen til Professionsbachelor i IT-sikkerhed. Så hvorfor siger jeg at uddannelse ikke er nødvendig?! Misforstå mig ikke, uddannelse er ekstremt vigtigt, og jeg har udvidet min kontrakt som underviser på KEA af samme årsag.
Jeg siger som jeg gør fordi et krav kan fungere som gatekeeper, altså holde folk ude af branchen, hvilket jeg ikke mener er gavnligt. Vi har jo alle de folk som allerede er i branchen, hvor en stor del ikke har hverken uddannelse eller certificeringer. Vi har også en mangel og vi har ikke kapacitet til at uddanne alle dem vi gerne vil.
Så hvis du har lyst og mulighed så kan du tage formel uddannelse, kurser og certificeringer. Gør det. Jeg mener der er mange fordele og man får typisk et andet og bedre overblik. Det er dog ikke den eneste vej og ikke vejen for alle.
Faktisk kan du komme igang med din nuværende viden og genbruge den til at skabe god sikkerhed.
Eksempler, og husk det er kun meget få.
Hvis du kan skrive og sætte et dokument op kan du skrive en IT-sikkerhedspolitik, en incident response policy eller de mange andre dokumenter som indgår i et ISMS En struktureret tilgang til dokumenter og styring er nødvendig. Der skal tales til ledelse, medarbejdere, høres mange grupper. Godkendes og vedligeholdes. Undervejs vil det være nødvendigt at spørge organisationen om mange ting og koordinere.
Awareness træning er et andet område som er meget vigtigt i organisationer. Mennesker, adfærd og en god dosis diplomati er her gode skills at have. Dette hænger forøvrigt sammen med ændringer af processer, identifikation af uheldig brug af IT.
Ovenstående begynder allerede at ligne projektledelse så alle erfaringer med projektledelse, mennesker, processer fra andre fag kan være en stor hjælp i sikkerhedsarbejde.
Hvis du har specifikke færdigheder som eksempelvis Windows Server og Active Directory vil du også kunne skære en niche ud ved at finde et af værktøjerne til audit af AD og lære det. Det vil kunne give næsten alle danske virksomheder nogle konkrete råd til opdatering af infrastrukturen.
Der er altså rige muligheder for at du kan udnytte dit eksisterende fundament til at gå i retning af IT-sikkerhed.
IT-sikkerhed er gruppearbejde
En anden vigtig pointe indenfor IT-sikkerhed er at det er gruppearbejde.
Vi kan ikke selv nå det hele og afdække alle opgaverne. Vi har brug for både tekniske
og ikke tekniske kompetencer, samt en masse bindeled imellem grupperne.
Vi ser også at det er nødvendigt med udveksling af erfaringer mellem organisationer. Det betyder at hvis du kan indgå i sådanne fælleskaber kan du skabe bedre sikkerhed.
I den forbindelse kom jeg måske med en lille hvid løgn ovenfor, undskyld.
Løgnen er at du ikke behøver en minimumsviden, for faktisk vil jeg for din egen skyld anbefale at du sørger for at have nogle grundbegreber på plads indenfor IT-sikkerhed. Det vil lette samarbejdet hvis man kan bruge nogle fagtermer og det vil også være nødvendigt for at dykke ned i litteraturen og deltage mere effektivt på konferencer og communities.
Hvis du ikke har IT-viden/IT-sik overhovedet, men synes det lyder spændende, anbefaler jeg således to bøger fra Nostarch.
Den første giver en introduktion til infosec og indeholder en masse definitioner som du vil have glæde af at kende.
Foundations of Information Security: A Straightforward Introduction
by Jason Andress ISBN-13: 9781718500044
Den anden bog er mere teknisk, men indeholder gode beskrivelser af de kerneprotokoller som alle netværk benytter.
Practical Packet Analysis, 3rd Edition
Chris Sanders ISBN-13: 9781593278021
Dernæst omgiv dig med IT-sikkerhed, kom på Bornhack og lignende events.
Næste skridt
Hvis du er kommet hertil og vil have nogle flere konkrete råd så vil jeg anbefale at se på nedenstående links.
Et foredrag jeg holdt på BornHack Getting Started in Network and Security desværre ikke optaget, men præsentationen er på Github
Mine lektionsplaner fra mine kurser på KEA Kompetence er helt åbne og indeholder boglister, links til papers og alle materialer er på Github. Så kan du i ro og mag sætte dig for at læse de kapitler i eget tempo.
En del af mine kurser har ligeledes øvelseshæfter, med relativt små opgaver. Du kan eksempelvis se på Nmap workshop og sætte dig for at du vil scanne dit eget netværk hjemme. Når du har øvet dig på det kan du lave en scanning af organisationens eksterne adresser. Husk at bede om lov og aftale på forhånd.
https://github.com/kramse/security-courses/tree/master/courses/pentest/nmap-workshop
Mit materiale til kommunikation og netværkssikkerhed har øvelseshæfte med +65 opgaver du kan tygge dig igennem.
https://github.com/kramse/security-courses/tree/master/courses/networking/communication-and-network-security
Sæt dig sammen med nogle andre og lær parallelt, parallel leg for voksne :-)
Old skool referencer
Hvis du tænker IT-sikkerhed lyder spændende kan jeg også anbefale en tur tilbage i tiden.
Jeg har ofte anbefalet bogen the Cuckoos Egg af Clifford Stoll https://en.wikipedia.org/wiki/The_Cuckoo%27s_Egg_(book) - som jeg har med hans autograf. Det er som at læse en spionroman og handler om en astronom som ender med at skulle optrevle et hackerangreb.
Hvis du er mere teknisk anlagt så læs de gamle papers nedenfor og forklar mig hvorfor vi ikke har løst problemer med eksempelvis buffer overflows og spoofing.
Security problems in the TCP/IP protocol suite, S. M. Bellovin samt *A Look Back at “Security Problems in the TCP/IP Protocol Suite” *
Hint: vi gør IT-sikkerhed forkert, så måske skal vi have folk med anden erfaring og et nyt syn på til at hjælpe os.
Efterskrift - diversitet
Jeg har ikke ovenfor berørt emnet, men hvis du - ja dig - ikke er med til at byde diversitet velkommen indenfor IT-sikkerhedsområdet. Ja, så er vi ikke venner og så kan DU faktisk undværes indenfor IT-sikkerhed.
Jeg tilslutter mig BornHack Code of Conduct , og jeg betragter det efterhånden som standard at vi har den slags og gør vores bedste for at følge dem. Dette er btw ikke et oplæg til diskussion.
PS HumbleBundle
Da jeg har et mindre misbrug af bøger er HumbleBundle også en vigtig kilde til materiale, og der har været en masse sikkerhedsbundles og hacking bundles. Så følg med der også. Eksempelvis er der et Python bundle pt. https://www.humblebundle.com/books/python-programming-oreilly-books
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
