Opplæring i informasjonssikkerhet. gjennom hele livsløpet til innbyggeren. Nina Hoddø Bakås Studentnummer : 323

Opplæring i informasjonssikkerhet gjennom hele livsløpet til innbyggeren Nina Hoddø Bakås Studentnummer : 323 INF3510 vår 2015 08.05.2015

[OPPLÆRING I INFORMASJONSSIKKERHET] 2 Innholdsfortegnelse Innledning... 3 Opplæring i informasjonssikkerhet... 5 Hva er informasjonssikkerhet?... 5 Hvilken informasjon?... 5 Hvorfor er det viktig med sikring av informasjon?... 6 Hvorfor opplæring?... 6 Grunnskolen... 7 Barneskole 1.-4.trinn... 7 Barneskolen 5.-7. trinn... 8 Ungdomsskole... 9 Videregående skole... 11 Høyere utdannelse... 11 Sikkerhetsopplæring på Universitetet i Oslo... 12 Informatikk... 13 Sykepleier... 15 Lærer... 16 Arbeidslivet... 17 Helsesektoren... 18 IT-konsulent... 18 Lærer... 18 Privatlivet... 19 De eldre... 21 Konklusjon... 22

[OPPLÆRING I INFORMASJONSSIKKERHET] 3 Innledning Jeg har valgt å se på opplæring av informasjonssikkerhet i et livsløpsperspektiv fra man er født til man blir gammel her i Norge. Her vil jeg se på hvordan det står til med opplæringen av informasjonssikkerhet slik den er nå og i tillegg se på hva som burde vært annerledes med opplæringen i Norge for å kunne sikre enkeltpersonen, bedriftene og landet godt nok. Opplæring i informasjonssikkerhet: Hvorfor ikke bare la noen som allerede er flinke løse alle problemene? Hvorfor trenger alle å være «eksperter»? Informasjonssikkerhet vil alltid være aktuelt, på samme måte som at vi alltid vil være avhengige av å ha et godt rettssystem og politi. Jo flinkere vi blir på sikkerhet, jo flinkere vil også kjeltringene bli på datakriminalitet. Informasjonssikkerhet vil aldri gå ut på dato, heller blir det mer aktuelt jo mer vi legger ut på nett og jo mer vi bruker datasystemer. For hver nye epoke vil det være et nytt kapittel hvor epokens viktigste kompetansemål er beskrevet. Dette kan være kompetansemål som allerede er der eller burde vært der. Jeg vil trekke frem de forskjellige læreplanene fra forskjellige årskull og sammenligne med hva som er anbefalt fra de som jobber med eller forsker på informasjonssikkerhet. Det jeg vil gå dypere ned i er opplæringen i høyere utdanning og da trekke frem tre studier som eksempler. Jeg velger å begynne tidslinjen min med barneskolen fordi det er her barna får sitt første møte med internettpassord, IKT og andre arenaer. Riktig nok bør det nevnes at flere og flere barn allerede før skolepliktig alder begynner å legge bort barnebøkene til fordel for nettbrett. Dette er noe som kan by på problemer, men aller nødigst noe som kan ramme barna selv. Applikasjonene som er tilrettelagt for de aller yngste er i seg selv harmløse, men hvilket annet innhold på et nettbrett som med uhell kan deles av én under seks år, kan kun fantasien sette grenser for. Videre etter barneskolen, står både ungdomsskolen og videregående utdanning for tur. Ettersom tendensen er at tiden brukt på internett vokser i takt med alderen, er det liten tvil om at behovet for undervisning i nettvett også vokser i takt med klassetrinnene. Aktører som leverer nye tjenester som utvider horisonten av det sosiale nettverket, ser ut til å komme på

[OPPLÆRING I INFORMASJONSSIKKERHET] 4 løpende bånd. Ved et punkt på videregående skole vil elever bli myndige. Nå står de plutselig helt på egne ben, og er hundre prosent ansvarlig for sine egne handlinger. Dette er enda et lodd i vektskålen for at skolen kan legge til rette for at elevene allerede i ung alder er rustet til å bevege seg gjennom den stadig voksende IKT-verdenen så trygt som mulig.

Opplæring i informasjonssikkerhet [OPPLÆRING I INFORMASJONSSIKKERHET] 5 Hva er informasjonssikkerhet? Informasjonssikkerhet blir i de fleste sammenhenger i dag beskrevet som alle tiltak som sikrer konfidensialitet, integritet og tilgjengelighet til informasjon og IKT-systemer som behandler informasjon (CISSP, 2013) (Daler, Gulbrandsen, Høie, Sjølstad, 2014) (Datatilsynet, veileder internkontroll). Alle virksomheter og alle innbyggere behandler informasjon på mange ulike måter. En del informasjon er konfidensiell, hvilket vil si at den skal hemmeligholdes for enkelte personer eller virksomheter. Dette kan være helseopplysninger som er sensitive personopplysninger eller bedriftshemmeligheter. Annen informasjon er åpen for alle, for eksempel nyheter i nettavisene. Noe av informasjonen må være tilgjengelig til bestemte tider. Eksempelvis vil gjerne både kunder og eiere av banker at nettbanken er tilgjengelig 24 timer i døgnet alle dager i året (24/7). Annen informasjon trenger vi bare til bestemte tider, for eksempel selvangivelsen vår. Informasjon kan også ha forskjellig krav til integritet, som at den er korrekt og pålitelig. Børsinformasjon og medisiner har høye krav til integritet, mens annen informasjon, som for eksempel magasiner og ukeblader ikke trenger å ha samme grad av pålitelighet. Det er viktig at informasjonen er hemmeligholdt, pålitelig og tilgjengelig for de som skal bruke den. Hvilken informasjon? Informasjonssikkerhet er rett og slett sikring av informasjon og hvordan denne behandles, men hvilken informasjon? Informasjon kan være så mangt ut fra hvem du er og hva du gjør både i privatlivet og i arbeidslivet. Alt fra hvilken restaurant bedriften skal spise på under en viktig avtale til hvilket passord du har på Facebook. Et bilde kan også inneholde mye informasjon og en legejournal kan være kritisk for liv og død. Informasjon kan være kontonummer, kortinformasjon, personnummer, passnummer, helseinformasjon, dokumenter som absolutt ikke skal falle i feil hender, passord til private kontoer på sosiale medier eller rett og slett kontoene på sosiale medier. Dette er på mange måter nytt for oss å skulle sikre, og for mange er det uvant. Den gangen vi hadde alle kontantene våre i banken, og det var pengene vi hadde, ville vi jo ikke satt de i en bank uten sikkerhetsvakter eller en klar plan om hva som skal gjøres

[OPPLÆRING I INFORMASJONSSIKKERHET] 6 om et ran skulle forekomme. Nå som kontantene blir færre, men beløpene større, er det også flere verdier som ikke finnes fysisk. På den måten er det heller ingen som fysisk kan ta de, men likevel kan de bli borte. Her kommer informasjonssikkerhet inn. Informasjonssikkerhet er på mange måter dagens vektere. Hvorfor er det viktig med sikring av informasjon? Jeg velger å se på personvern og taushetsplikt som en del av informasjonssikkerheten. Personopplysningsloven (Lovdata, personopplysningsloven) styrer med hvilke opplysninger om enkeltindivider som er lov å dele og hvilke som ikke skal deles med noen uten personens samtykke. I tillegg har de fleste arbeidsplasser en viss taushetsplikt som man plikter å holde. Det kan være bade private og offentlige arbeidsplasser. De offentlige styres av forvaltningsloven (Lovdata, forvaltningsloven). Grunnen til dette med taushetsplikt i bedrifter er for å holde bedriftshemmeligheter i riktig hender og hoder, og om bedriften eller arbeidstaker jobber med personopplysninger kan det gi store problemer for både ansatt, bedrift og kunde om dette havner på avveier. Konto- og betalingsinformasjon er også svært viktig at blir godt ivaretatt og at ikke hvem som helst kan plukke det opp. Hvorfor opplæring? Opplæring av informasjonssikkerhet er viktig av den enkle grunn i at vi aldri kommer til å bli kvitt skurkene i samfunnet. Desto flinkere samfunnet blir på sikkerhet, desto flinkere blir også skurkene til å hente ut informasjon. Informasjon er i dag veldig verdifullt og kan selges blant de kriminelle. Kredittkort og bedriftshemmeligheter er gode salgsvarer. Sikkerhet har nok aldri vært lettere, men det har også blitt enda viktigere å være svært nøye med den. Mens vi hadde nøkler til husene, som det kun gjaldt å passe på, så begynner det å bli vanligere med kodelås. Selv om det ikke er noen nøkkel å miste, kan nøkkelen likevel bli stjålet. Når alle behandler informasjon, og vi trenger å sikre informasjonen og hvordan den behandles, er det også viktig at vi alle har kunnskap om hvordan vi sikrer den. Vi bør også kjenne til hvorfor vi skal ha ulike sikringstiltak. Dette gjelder enten om du er en privatperson, barn eller voksen, om du har en lederjobb, driver for deg selv eller er ansatt. De som lager IKT-systemer eller er leder for en virksomhet eller behandler spesielt konfidensiell informasjon har et særdeles viktig ansvar og trenger ekstra opplæring.

[OPPLÆRING I INFORMASJONSSIKKERHET] 7 Grunnskolen Det året et barn fyller seks år begynner det i norsk grunnskole. Her får de gjerne sitt første passord og de første personlige tilbakemeldingene over nett. Det er derfor viktig å lære hva et passord er og hvor viktig det er at det er godt og at det skal holdes hemmelig så tidlig som mulig. Skolen har dermed et stort ansvar for et barns første møte med informasjonssikkerhet og personvern. Det er Utdanningsdirektoratet som står for lære- og kompetansemålene for grunnskolen hvor IKT og nettvett begynner å bli mer synlig. Det er likevel opp til den enkelte lærer om hvor mye tid som skal brukes på hvert av læremålene. I denne alderen er også foreldrene viktige rollemodeller for barna. De har også ansvar og har fullt innsyn i barnets helsejournaler og hva som er aktuelt på skolen. Det at foreldrene har et så stort ansvar for hva barnet gjør, gjør at foreldrene må sette klare grenser for hva som er greit og ikke. Som for andre aktiviteter, som sport og kultur, må de også sette grenser og følge med på hva barna gjør når de er på nett. Hvilke spill bruker de, hvem spiller de med, hvilken informasjon og bilder deler de med andre. I mange tilfeller klarer ikke foreldre å følge med på hva som skjer av nye spill og sosiale medier på nett. Mange foreldre og lærere kjenner heller ikke godt til hva som f eks er et godt passord. Dagens barn kan teknologi mye bedre, og er mer oppdaterte på teknologien, enn sine foresatte. Derfor er det viktig at hvert fall skolen er oppdaterte og kan lære barna å sette egne grenser. Regjeringen sin nasjonale strategi for informasjonssikkerhet (Regjeringen, Nasjonal strategi) sier at alle barn og unge skal ha en basiskompetanse innen informasjonssikkerhet. Barneskole 1.-4.trinn Elevene i 1.-4. klasse er 5-10 år. I løpet av 1. klasse får de sitt eget passord. Nivået på seksåringene er ofte veldig variabelt, hvor noen allerede kan lese og andre så vidt kan noen bokstaver. For å kunne huske et passord må de kunne vite hvilken bokstav som har hvilken lyd. Om de ikke klarer dette blir de nødt til å ha en lapp med passordet sitt tilgjengelig hele tiden. På en annen side blir vi nødt til å tenke hvor privat en seksårings passord skal være. Men det er også viktig at de tidlig lærer holdningene til sikkerhet. Kanskje er det best at siden hvor elevens læringskurve beskrives kun er tilgjengelig for foresatte eller skal kommunikasjon og tilbakemeldinger på eleven skje muntlig eller ved fysiske papirer.

[OPPLÆRING I INFORMASJONSSIKKERHET] 8 Utdanningsdirektoratet har utviklet kompetansemål i samfunnsfag som sier at en elev etter 4. årssteg skal kunne (Udir, kompetansemål) finne og presentere informasjon om samfunnsfaglige temaer fra tilrettelagte kilder, også digitale, og vurdere om informasjonen er nyttig og pålitelig. bruke grunnleggende nettvett i digital samhandling og ha kunnskaper om reglene for personvern i digitale medier. Ut ifra denne informasjon kan jeg konkludere med at kompetansemålene dekker godt med kunnskap om bruk av internett, mens det er snaut med generell datasikkerhet, som passord, sikkerhetskopier, oppdateringer. Barneskolen 5.-7. trinn I NRK sin nettavis ble det 05.05.15 postet en sak om Henriette Bråten, som er lærer i 5. klasse på Porsgrunn Barneskole (NRK 2015). Hun skulle lære elevene sine om nettvett og hvor fort informasjon kan bli spredt over internettet. Som eksempel brukte hun et bilde som informasjon og Facebook som plattform å dele bildet på. Bildet ble lagt ut 29. april og er i dag, 7. mai 15, delt 25 505 ganger (Facebook). Bråthen sier i intervjuet med NRK at hun synes både lærere og elever ville hatt godt av å lære mer om nettvett og om hvor lett bilder og kommentarer kan spres. Videre forteller hun at hun ble selv sjokkert over hvor fort og langt bildet spredde seg. Dette eksperimentet var ment for å vise at man ikke bør mobbe over internett, men kan også være et godt eksempel for at all informasjon lett kan komme på ville veier om man deler det på feil sted eller til feil person. I et intervju i lokalavisen Gudbrandsdalen Dagningen (GD, 2015) sier rektor ved Røyslimoen barneskole i Lillehammer, Trude Halvorsen, at de jobber mye med nettvett hos dem. Det er ofte konflikter og mobbing på internett med barna som må ordnes opp i. Foreldrene ved skolen er også aktive og har hatt nettvett som tema på foreldremøter. Avisen har også snakket med flere andre skoler i distriktet hvor temaet nettvett også var blitt tatt opp. Skolene ser ut til å i større grad snakke om nettvett og mobbing, men i mindre grad hvordan de sikrer datamaskinen. Det er likevel et fremskritt at nettvett er i fokus. Elisabeth Staksrud, ekspert på barn og sosiale medier ved Universitetet i Oslo, sier i et intervju i samme avis (GD,

[OPPLÆRING I INFORMASJONSSIKKERHET] 9 2015) at hun etterlyser mer deltakelse fra foreldre og foresatte. Hun sier også at det er stor forskjell mellom aldersgrensene på de sosiale mediene og alderen på de yngste som bruker dem. Staksrud mener at foresatte må snakke med egne barn og med hverandre om hva som er greit og hva man bør styre unna på internett. Hun mener foresatte er lite interesserte i barns mediebruk sammenlignet med interessen de har for barnets fritidsaktiviteter som fotball, speideren eller ballett. Etter 7.årssteg sier kompetansemålene fra Utdanningsdirektoratet i samfunnsfag (Udir, samfunn) at skal eleven kunne dette innen internettbruk finne og trekke ut samfunnsfaglig informasjon ved søk i digitale kilder, vurdere funnene og følge reglene for nettvett og nettetikk. bruke digitale verktøy til å presentere samfunnsfaglig arbeid og følge reglene for personvern og opphavsrett. Å følge regler for personvern og opphavsrett kan for de fleste være komplisert. Personopplysningsloven har mange paragrafer og mange krav. Til daglig opplever mange at noen legger ut bilder av seg, som det ikke er spurt om samtykke og tillatelse til. Slettmeg får daglig mange henvendelser i året på bilder som er ønsket slettet (Slettmeg, 2014). For 2014 hadde Slettmeg 7.344 direkte henvendelser fra noen som ønsket å slette informasjon fra internett. De hadde 240.000 besøk på nettsiden sin, som trolig ikke så mange besøker uten at de har en grunn til det. Mange kjenner ikke lovene og mange bryr seg heller ikke om å følge det. Dette mener jeg kan tyde på at mange ikke får nok opplæring på skolen. Også disse årskullene har klare mål på hva de skal lære innen nettvett og personvern, men lite om annen sikkerhet av datamaskinen. Hva gjør man for eksempel om datamaskinen går i stykker og man ikke har en sikkerhetskopi? Da er ikke informasjonen lenger tilgjengelig, og derfor er det viktig å lære dette også. Ungdomsskole Året eleven fyller 13 er det over på ungdomsskolen og de tre siste årene av grunnskolen. Det er også her elevene får sine første møter med karakterer. Karakterer er en informasjon det er mange som ikke vil ha spredd overalt, så det gjelder å finne et godt passord for plattformen hvor tilbakemeldinger og evalueringer blir delt mellom elev og lærer. Som 13-åring får man sitt først møte med Facebook, om aldersgrensen holdes. Med over tre millioner norske brukere i

[OPPLÆRING I INFORMASJONSSIKKERHET] 1 0 2014 (Metronet, 2014) er sannsynligheten stor for at de fleste 13-åringene lager seg én bruker. Det er et godt argument til å lære seg både nettvett og personvern i grunnskolen, så lærer man seg hva som er et viktig passord, at det skal holdes hemmelig og ikke deles med noen. Det som derimot er vanskelig er å få dem til å skjønne at det kan være like fatalt å dele passordet med en venn. 23% av unge mellom 9 og 16 år forteller i medietilsynets barn- og medieundersøkelse fra 2014 (Medietilsynet 2014) at de har delt passordet sitt med venner eller kjenner til venners passord til sosiale nettsteder. Dette er en nedgang fra 2012, så her har kunnskapen kommet frem. I løpet av ungdomsskolen er det kanskje vanligere at datamaskinen begynner å bli brukt i undervisning og som et hjelpemiddel i mye større grad enn på barneskolen. Her burde oppdatering av operativsystem, viktigheten av å ta en sikkerhetskopi, brannmur og antivirusprogrammer også stått på programmet i hva som skal læres. Det er i tillegg viktig å lære seg og ikke stole på alt man finner på internett og at ikke alt av det dine venner deler er trygt (VG, 2015). Det vil alltid være noen du har kontakt med som kommer til å få et lignende virus og som deretter sprer dette videre, enten det er på Facebook eller mail. Det kan være en viktig lærdom, som gjør informasjonen og datamaskiner, både på skolen og privat, mye sikrere.

Videregående skole [OPPLÆRING I INFORMASJONSSIKKERHET] 1 1 Fra videregående skole av er elevene mer selvstendig og det er mange endringer som skjer. Man får kanskje første møte med arbeidsgiver og viktigere karakterer. Her møter også nye systemer til innleveringer og tilbakemeldinger. Man får flere passord til skolesider og ikke minst mange private tjenester hvor man trenger passord og å tenke på informasjonssikkerhet. Her møter de også en hverdag med daglig bruk av datamaskin i skolesammenheng. Man får egen PC på skolen, som man skriver skoleoppgaver som skal leveres og lagres. Hvordan skal man bruke denne og hvordan skal man sikre den? Det er her viktig at man lærer de viktigste sikringstiltakene på en PC, slik at man ikke får virus på PC og at man forstår at ikke uvedkommende skal få tilgang og at man skal ta sikkerhetskopi av viktig informasjon, som skoleoppgaver o.l. Mange venner ønsker også å stole på hverandre og deler passord og datamaskin. Og man får et dilemma mellom å stole på hverandre og å holde passordet hemmelig. Mange har brent seg på det, når bestevennen ikke er venn med deg lenger og misbruker Facebook kontoen eller snoker på PC-en. Har lærerne god nok kompetanse til å lære bort de grunnleggende sikringstiltakene til en PC, men å installer antivirus, oppdatere alle programmer, installere brannmur, ha gode passord og ta sikkerhetskopi (NorSIS, 2015). I tillegg til at elevene har egen PC er det også forberedelse til arbeidsliv og videre utdanning. I denne alderen er man også mer selvstendig privat. Som 16-åring vil man få fullt ansvar over egen personlig informasjon og ingen andre, som foreldre eller foresatte, vil ha rett til innsyn. Dette kan skape nye utfordringer som vi burde få offentlig obligatorisk opplæring i. Det finnes mange nettsider hvor man kan få hjelp. Men ofte er det vel de som trenger hjelpen minst som leter etter informasjonen. Mange søker ikke etter gode råd før de har fått virus på PC-en eller at skoleoppgaven er mistet. Eksempelvis er Personvernskolen (Personvernskolen) og Nettvett (www.nettvett.no) gode tilbud, men mange kjenner ikke til tjenestene og bruker dem dermed ikke. Høyere utdannelse Høyere utdanning er studier som er tatt videre etter videregående er fullført. Man kan også ta utdannelsen på yrkeserfaring, men det er mest vanlig å bygge på videregående. Høyere utdannelse kan foregå på høyskole, universitet, fagskole eller private utdanningsinstitusjoner.

[OPPLÆRING I INFORMASJONSSIKKERHET] 1 2 Det er blitt svært vanlig å ta en videre utdannelse etter videregående nå sammenlignet med hva det var tidligere. Vi kan nesten si at høyere utdannelse har vokst proporsjonalt med landets internettbruk. Dermed har dette også blitt en viktig plattform til å lære bort for eksempel sikker databruk og sikring av informasjon. Høyere utdanning har blitt en viktig vei ut mot yrkeslivet og mye av erfaringen man bygger opp i studietiden vil man gjerne bygge videre på etter å ha kommet ut i arbeid. Om sikkerhetsopplæringen under høyere utdannelse er god vil også yrkeslivet stå sikrere. Det var i 2014 så mange som 250 463 studenter i Norge (UIB, 2014) mot 11 158 studenter i 1988. Hvilket vil si at hver 20-ende nordmann er student. I dag er man nærmest avhengig av en god utdannelse for å få jobb senere. I tillegg er det en god måte å sikre seg at man får en jobb innenfor noe man trives med. Ettersom så mange nordmenn utdannes til enhver tid vil vi også treffe på veldig mange dersom vi begynner med obligatorisk opplæring av informasjonssikkerhet på de forskjellige studieinstitusjonene. Jeg vil se på tre forskjellige utdannelser som alle har informasjonssikkerhet som en viktig del av yrket etter endt utdanning. Studieløpene jeg vil se på er informatikk, sykepleier og grunnskolelærer. Begge studiene grunnskolelærer og sykepleier har egne forskrifter om utdannelsens løp i Norges lover, mens informatikk har ingen faste betingelser om programplanen. Jeg velger å fokusere på bachelorutdannelsene til disse og se hvor prioritert informasjonssikkerhet er i utdannelsesløpet. I tillegg skal jeg på den generelle informasjonssikkerhetsopplæringen på Universitetet i Oslo. Sikkerhetsopplæring på Universitetet i Oslo Jeg begynte på Universitetet i Oslo august i 2013. Informasjonen er hentet fra mine opplevelser og erfaringer. Som ny student ved Universitetet i Oslo må du ta noen bestemte kurs for å få en fullført grad. Dette er sikkerhetskurs i HMS. Det var gjerne spesifikke eksempler som hva skal jeg gjøre om noen slutter å puste, om det begynner å brenne eller om man må evakuere av andre grunner. Det er en trygghet for oss alle å vite at alle må gå igjennom disse kursene. I tillegg er det en

[OPPLÆRING I INFORMASJONSSIKKERHET] 1 3 trygghet for samfunnet og fremtidige arbeidsplasser ettersom så mange velger å ta videre utdannelse, så er det også veldig mange som får gode kurs i HMS. Alt av farer er dessverre ikke kun på synlig plan lenger og det er mye som kan ligge på lur på internett. På UiO er internett godt prioritert og har vel litt over 30 000 brukere. Alle brukerne har eget brukernavn og passord og dette må tastes inn for å ta i bruk det trådløse internettet. I tillegg har alle med brukernavn og passord tilgang til de mange tilgjengelige datamaskinene som står på UiO. Likevel er ikke sikring av informasjon et obligatorisk kurs på samme plan som HMS i begynnelsen av en grad. Her burde nye studenter lært om passord og enkel informasjonssikkerhet for å kunne motvirke eventuelle angrep mot UiO sine PC-er og internett. Brukernavnet og passordet er også det samme til studentmailen, diverse sider hvor besvarelser blir sent inn og tilbakemeldinger levert og til siden hvor studieløpet blir organisert og karakterer blir lagt ut. På disse sidene ligger også en del personopplysninger og noen sensitive personopplysninger. Her er det mye som kan komme på avveier. Obligatorisk opplæring av alle studentene ville trolig redusert problemer for IT-avdelingen mye, og også redusert virus og andre problemer i forhold til skolearbeid og privativ på nett til studentene. Informatikk Informatikk er vitenskapen om strukturen, driften og anvendelsen av en datamaskin og datamaskinsystemer (https://snl.no/informatikk). Informatikkstudiene handler om konstruksjonen av maskinvare og programvare på datamaskinen. Det er også læren om matematiske algoritmer datastrukturer og kunstig intelligens. I Norge ble informatikk anerkjent som eget universitetsfag i midten av 1970-tallet og har siden da blitt et stort fagområde med mange studieplasser over hele landet. Informatikkstudentene er fremtidige programmerere som skal utvikle systemene og datamaskinene hvor all informasjonen går igjennom. Det kan være systemer til banker, private systemer innad i bedrifter hvor lønninger og arbeidstimer blir registrert eller helsesystemet hvor ryggoperasjonen din og all informasjonen rundt blir registrert. Alt i alt er det mye informasjon en programmerer skal ha noe med å gjøre. Likevel er det ikke alle studieprogrammene innenfor informatikk som har et eget fag innenfor sikkerhet. Man kan sammenligne det å studere informatikk uten å tilegne seg noe kunnskap informasjonssikkerhet med det å være en

[OPPLÆRING I INFORMASJONSSIKKERHET] 1 4 byggingeniør uten å lære om brannsikkerhet (Audun Jøssang, lecture 1). Vi kan også se på ITstudenter/-konsulenter uten kunnskap om informasjonssikkerhet som en del av problemet. Jeg har valgt å se på de forskjellige informatikkstudiene i Norge for å se hvor mange som har egne fag i informasjonssikkerhet og hvorvidt dette faget er obligatorisk for å ta en grad i informatikk eller om dette faget er helt frivillig. Om faget er frivillig vil jeg også gå noe ned og se på hvor mange som velger å ta faget sammenlignet med hvor mange studenter det er på studiet. Informatikkstudier i Norge Studie med Informasjonssikker studiested het Kommentar Referanser Informatikk ved UiO 1 valgfag Personopplysningsl oven er 1/10 av et obligatorisk fag En stor andel av studentene velger i dag Informasjonssikkerhet som valgfag. http://www.uio.no/studier/pro gram/inf-pro/oppbygging/ Informatikk ved UiB 1 valgfag http://www.uib.no/studieprogr am/basv-ikt/plan Informatikk ved NTNU ingen http://www.ntnu.no/studier/st udieplanrealfag#programmecode=bi T&year=2014 Informatikk ved UiT Informatikk ved HiOA 1 obligatorisk http://uit.no/studietilbud/progr am?p_document_id=279505 #oppbygging 1 obligatorisk http://www.hioa.no/studierogkurs/tkd/bachelor/informasj onsteknologi/programplanfor-bachelorstudium-iinformasjonsteknologi-2014 Informatikk ved HiG 1 obligatorisk fag 3 valgfag http://www.hig.no/studiehaand bok/studiehaandboeker/2015_2 016/studiehaandbok_2015_201 6/imt/bachelor_i_drift_av_nettv erk_og_datasystemer#emnetabell

Informatikk ved HiØf [OPPLÆRING I INFORMASJONSSIKKERHET] 1 5 1 obligatorisk http://www.hiof.no/studieinfor masjon/studieplaner?displayitem =2433&module=studieinfo&typ e=studieue&subtype=1 Informatikk ved HBV ingen https://www.hbv.no/bachikt/c ategory23464.html Informatikk ved HiT Informatikk ved HiST 1 obligatorisk http://www.hit.no/nor/hit/so eker/studietilbud/ingenioer-ogteknologi/informatikk-ogautomatisering-a-vei 1 obligatorisk 15 studiepoengsfag http://hist.no/content/84205/s tudieplan Informatikk ved HiB ingen http://www.hib.no/studietilbud /studieprogram/studieoppbyg ging/?studieprogramkode=in F&infotermin=2015H#fellese mner-forinformasjonsteknologi I tillegg har HiG, NTNU, UiB egne bachelorgrader i informasjonssikkerhet, men disse velger jeg å ikke se på nå. Det at disse bachelorgradene er der gir derimot også flere muligheter til valgfag til de som velger å studere informatikk på de aktuelle studieinstitusjonene. Min mening er at informasjonssikkerhet bør være obligatorisk fag i alle informatikkstudier. Det bør også være en del av mange andre studier. Som et eksempel i programmering, bør man ha undervisning om typiske sikkerhetsutfordringer og sikker programmering, f eks for å unngå Cross-site scripting (CISSP) (http://no.wikipedia.org/wiki/cross_site_scripting). Sykepleier Sykepleier er en bachelorutdannelse på tre år. I løpet av de tre årene skal også mye av tiden brukes ute i praksis. I forskriftene står det at praksisperiodene skal til sammen utgjøre 50 uker av studieløpet ( 3 (A (Lovdata, SF). I løpet av praksisperiodene vil studenten ta del i mye sensitive personopplysninger (Lovdata, personopplsyning). Dette kan være rasemessig eller etnisk bakgrunn, helseforhold eller seksuelle forhold som kommer frem fra en pasient til studenten under praksisperiodene. Det er personopplysningsloven 2 8) som bestemmer at

[OPPLÆRING I INFORMASJONSSIKKERHET] 1 6 dette er sensitive personopplysninger og personopplysningsloven 9 bestemmer om hvordan disse skal behandles. Hvilket vil si at man er nødt til å ha opplæring i hvordan informasjon skal behandles allerede før første praksisperiode. Sykepleiere får mye helseopplysninger og det er svært viktig at de for eksempel lærer å låse PC eller logge av når de går fra PC-en og at de ikke snakker om pasientene sine til noen de ikke skal snakke med dem om. Dette er informasjonssikkerhet og må tas på alvor i opplæringen. Det er uklart i det som kommer frem i læreplanen om de lærer nok om dette før de skal ut i praksis. Lærer Jeg velger å se på utdannelsen grunnskolelærer. Lærer er fireårig utdannelse med mye praksis fra tidlig i studiet. I både praksis og senere yrke vil informasjonssikkerhet være en viktig del av arbeidsoppgavene. Som lærer skal man jobbe med personopplysninger og det vil man også gjøre som lærerstudent (Lovdata, grunnskole). Som lærer står taushetsplikten høyere enn de fleste andre yrker. Du har et ansvar om mye viktig informasjon for elevene og deres foresatte. Det er derfor viktig å kjenne til hvilket reglement som gjelder og også viktig å vite hvilke andre lover som gjelder i Norge når det gjelder privatpersoner. Som lærer vil det være forvaltningsloven (Lovdata, forvaltningsloven),som man skal forholde seg til og da spesielt kapittel tre om alminnelige regler om saksbehandling 13. Lærere har også et stort ansvar i å lære opp elevene i informasjonssikkerhet. De legger grunnlaget for hvilke holdningen og hvilken kompetanse barn får om temaet. Dette er noe barna tar med seg videre og vil være viktig for kompetanse og holdninger for resten av studiet, privatlivet og arbeidet. Det at man som lærer får et så stort ansvar gjør at man kan forvente at lærerne får god utdannelse og har klare kriterier på hva de må kunne angående informasjonssikkerhet før de drar ut i praksis og før de er ferdig utdannede. I et intervju med en lærerstudent ved Høyskolen i Sør-Trøndelag(HiST) kommer det frem at de ikke har hatt noen spesifikke kurs om taushetsplikt eller personvern før de drar ut i praksis. De hadde første ukene i praksis bare seks uker etter studiestart og de fikk da en muntlig beskjed om at de ikke skulle fortelle noe særlig om det de opplever i praksis og spesielt ikke om det omhandler en elev. De har heller ikke hørt noe om det siden den gangen. Da jeg spør om de har lært noe om nettvett forteller hun at de ikke har det og at det eneste hun har sett til det er at en av klassene hun har vært i praksis hos hadde fokus på dette. Jeg spurte også om de måtte

[OPPLÆRING I INFORMASJONSSIKKERHET] 1 7 gjennom en prøve som de måtte bestå om taushetsplikt, nettvett og personvern før de fikk ut i praksis, men det har de ikke. Arbeidslivet Idet man kommer inn i arbeidslivet vil alle regler være helt annerledes enn det man har lært andre steder. De aller fleste opererer med egne og forskjellige systemer. Selv om systemet er det samme som er brukt av den nyansatte tidligere er det alltid noen retningslinjer som er nye å forholde seg til. Derfor bør alle bedrifter ha en egen sikkerhetsopplæring i opplæringsperioden. Det er også viktig at alle ansatte får løpende opplæring underveis i yrket sitt om sikker bruk av systemer og behandling av informasjon. Forsikringsselskaper tilbyr nå cyberforsikring. Dette er nytt i Norge og det er mye diskutert om man skal kjøpe slik forsikring eller ikke. De aller fleste har forsikring for brann. Det er sjelden det brenne, men om det gjør det, får det veldig store skader, og koster mye å bygge opp igjen. I dag er det IT-systemer og informasjon som har store verdier og det er vanskelige å sikre seg helt mot datakriminelle. Derfor vil mange i dag vurdere å forsikre seg mot cybertrusler. (Sintef 2015) (Sintef, 2014) (DN 2014) (NTB) Det er veldig forskjellig fra bedrift til bedrift om hvor viktig informasjonssikkerhet er. I noen yrker er det veldig naturlig at informasjonssikkerhet viktigere enn i andre. Dette er bedrifter som holder på mye viktig og hemmelig informasjon, for seg selv eller andre. Det kan også være verdier som ikke skal komme bort for både kunde og bedriften selv. Eksempler på slike bedrifter hvor informasjonssikkerheten er ekstremt viktig er banker, helse, skoler, NAV eller nettbutikker. Likheter mellom svært mange arbeidsplasser er at man har taushetsplikt. Man kan se på taushetsplikten som en informasjonssikkerhets viktig del av konfidensialitetsdelen av informasjonssikkerheten. Taushetsplikten dekker både muntlig, skriftlig i flere former og digital kommunikasjon. Uansett så vil det være ansatte som jobber i en virksomhet og som kan avgjøre om det er god sikkerhet eller om informasjon kommer på avveier. Derfor er et viktig sikkerhetstiltak å lære opp de ansatte i informasjonssikkerhet.

Helsesektoren [OPPLÆRING I INFORMASJONSSIKKERHET] 1 8 Jeg valgte å ta en titt på sykepleier som utdanning og hvilke informasjonssikkerhetstiltak de får opplæring i der. Her vil jeg se på hvilken opplæring de får etter å ha kommet ut i arbeidslivet. Helsesektoren er jo så mye mer enn sykepleiere. Under denne kategorien kan vi også legge leger på store sykehus, fastleger på private legekontorer og de som jobber på sykehjem uten utdannelse. Noen kommer også fra yrkesutdanningen, som man kan ta på videregående skoler. IT-konsulent Som tidligere nevnt veksles mer og mer informasjon over internett og gjennom systemer. Dette er en enklere måte enn å ha kun én kopi på papir eller lagret på én server, som tidligere. For å utvikle programmer og systemer trenger man programmerer, systemutviklere, systemprogrammerere, driftspersonell osv. Dette er gjerne ansatte som ikke kan noe om bransjen han/hun er ansatt for å lage eller drifte et system til og da heller ikke kan retningslinjene eller deres moral og etikk angående informasjonssikkerhet og personvern. De aller fleste av de som har dette yrket kommer fra informatikkstudiene. Som min studie av studiene viser er det ikke alle disse som har med seg noe kunnskaper om informasjonssikkerhet eller personvern fra studiene. Derfor er opplæring i bedriften konsulentene er ansatt i helt relevant/nødvendig. Mange av disse tar spesielle kurs som er tilpasset de programmene, de brannmurene eller de nettverkene de jobber med. Mange av disse kursene er om sikkerhet. Sikkerhetsopplæringen er veldig knyttet til det de jobber med teknisk, og man mister helheten for bedriften Lærer Skole er mye nevnt i denne oppgaven, men til nå kun fra elevens perspektiv. Hvilket ansvar har læreren? Hvor mye forventes at man som lærer skal kunne innenfor informasjonssikkerhet og personvern? Som lærer står taushetsplikten høyere enn de fleste andre yrker. Du har et ansvar om mye viktig informasjon for elevene og deres foresatte. Det er derfor viktig å kjenne til hvilket reglement som gjelder og også viktig å vite hvilke andre lover som gjelder i Norge når det gjelder privatpersoner.

[OPPLÆRING I INFORMASJONSSIKKERHET] 1 9 En lærer har mange problemstillinger, der det er viktig å kjenne til lover og hva som er god sikkerhet. Dette gjelder f eks deling av og bruk av bilder, tilbakemeldinger til elevene og hva man kan snakke med andre lærer og foreldre om og mye personlig informasjon som skal håndteres. Datatilsynet hadde fokus mot skolene i 2013 og 2014 (Datatilsynet). Oppsummert sier direktør for Datatilsynet, Bjørn Erik Thon: «Gjennom flere møter og kontroller ved en rekke barnehager, grunnskoler og videregående skoler, har vi kartlagt flyten av personopplysninger om de unge. Konklusjonen er at dette er et felt med personvernmessige utfordringer, men der aktørene selv ønsker bedre retningslinjer og opplæring, sier direktør Bjørn Erik Thon i Datatilsynet». Datatilsynet hadde tilsyn på elleve grunnskoler, fire videregående skoler og i fem barnehager og konkluderer med: Det lagres mye data om personer og det er lite kontroll og rutiner for å sikre de Foresatte og elever får ikke god nok informasjon om hvilke opplysninger som lagres, hva de skal brukes til og hvor lenge de skal lagres. De ansvarlige har ikke har god nok kunnskap og kompetanse om dette selv. De ansvarlig vet ikke engang alltid hvem som er ansvarlig for hva Skolene ønsker felles retningslinjer og regler for bruk og lagring av personopplysninger Ifra Datatilsynets rapport vet vi at det ikke er god nok kompetanse innen informasjonssikkerhet på skolene, og det bør være mer opplæring for elever og lærere. For å kunne lære opp elever må lærere først bli utdannet. Privatlivet I en vanlig hverdag trenger man i dag datamaskinen til mange dagligdagse gjøremål. Det offentlige digitaliserer tjenester. Vi søker på skole og barnehageplasser digitalt. Regninger blir betalt, banktjenester blir gjort og selvangivelsen blir levert digitalt. Vi bestiller kino- og konsertbilletter, frisørtimer og legeundersøkelser på en datamaskin over internett. Den aller meste av kommunikasjon med venner, familie og kollegaer går gjennom sosiale medier og chattetjenester som er digitalt. Også bokhyllen med fotoalbum, leksikon, ordbøker og kokebøker er byttet ut med et nettbrett, en datamaskin eller en mobiltelefon. Om ikke lenge er de fleste TV-ene byttet ut med internettbaserte streamingtjenester som Netflix og HBO. Vi er rett og slett blitt avhengige av å kunne bruke den digitale teknologien og vi ser tydelig at de i besteforeldregenerasjonen som ikke har vært avhengig av å lære dette tidligere, for eksempel i arbeidslivet, synes det er vanskelig å skulle begynne å lære seg det nå.

[OPPLÆRING I INFORMASJONSSIKKERHET] 2 0 I privatlivet ser vi mer og mer at IT blir brukt fast fra ung alder. Barn ned i ett-årsalderen bruker både nettbrett og mobil, og innen de er to kan de mer enn sine besteforeldre. Datamaskinen har blitt en så stor og viktig del av ikke bare skole og arbeidsliv, men også på privaten er det en nærmest uerstattelig bit. I skole og på jobb har vi gjerne noen som sitter ansvarlig for informasjonssikkerheten. Hjemme på privaten er det derimot kun oss selv som kan være ansvarlige om noe skjer, med mindre man har forsikret seg med cyber-forsikring. (Sintef, 2015). Det at vi selv står som hovedansvarlige på våre private datamaskiner gjør at dette antageligvis er det viktigste feltet å drive opplæring. På en annen side er det ikke her de største tapene kan forekomme ved en glipp. Jeg vil si opplæringen innenfor personvern i privatlivet bør komme fra man starter å bruke en datamaskin. Dette skjer tidligere enn før og gjerne så tidlig som 2-årsalderen. De fleste starter nok ikke så tidlig, så la oss si at de fleste får sitt første møte med teknologi før fylte fem. Det er selvfølgelig grenser på hva man kan lære en to-åring, og dermed er det også grenser på hvor mye man kan la de få lov til og få ansvar for. Kanskje er det kun et nettbrett som skal brukes og det skal kun brukes til spill, så hvor galt kan det gå? Men mange bruker kanskje pappas nettbrett, som han også bruker på jobben. Og da kan det faktisk gå galt! Kun det siste året er eksemplene hvor dette har gått forferdelig galt mange. (aftenposten, 2013). I denne alderen er barnet og det barnet gjør foreldrenes ansvar, men tydeligvis følger de ikke med hele tiden. Dermed bør små regler lages og læres bort. En start kan være at nettbrett, eller mobil, skal ikke lånes bort til noen andre og om noen spør, så skal heller ikke passordet for å komme inn på nettbrettet bli sagt til noen. Man bør også være klar på det som forelder å ha passord på betalingstjenestene som barnet ikke kan. Etter hvert som barnet blir eldre vil opplæringen deles mellom skole og foreldre. Barnet vil også gjøre research og finne ut av ting på egenhånd. Når opplæringen er et samarbeid mellom skole og foresatte er det viktig at de er enige og at foresatte forhører seg med hva skolen lærer bort og om noe mangler heller fyller på det nødvendige. I 2015 er en stor del av det å være en privatperson og være på sosiale medier. Tall for 2014 viser at i Norge er over tre millioner på Facebook, 1065 000 norske brukere på Instagram og 930 000 på Twitter, 1,1 millioner bruker Snapchat. (Metronet, 2014).