For gjennomføring av dette prosjektet så har jeg kikket litt på og tatt litt utgangspunkt i en masteroppgave i regi av Marie Wilhemsen, selv om jeg kanskje ikke er helt enig i alle de konklusjonene som trekkes i denne masteroppgaven.
https://www.duo.uio.no/bitstream/handle/10852/96151/5/Master_thesis_mariwilh.pdf
Masteroppgaven inneholder en spesifikasjon for hvordan nman ser for seg at man kan utvikle en “applikasjon” for opplæring i “Cybersikkerhet”, og når man ser litt nærmere på disse kriteriene (side 65-66) så ser man jo at det som bekrives kan identifiseres som “de typiske egenskapene” som typisk finnes hos de mange LMS-Learning Management Systemer som finnes tilgjengelig.
Her er en gjengivelse av dise spesifikasjonene:
So, the requirements to the functionalities in this application was derived from what I thought would be important to include in the application. The
following list contains some of the requirements that I thought would be either important or interesting features.
- The system shall display all courses
- The system shall display chapters in currently chosen course
- The system shall display users’ chapter and course progression
- Users need to login to be able to access the features of the application
- Users shall be able to read theoretical content
- Users shall be able to watch video version of theoretical content
- Users shall be able to take chapter quizzes
- Users shall be able to do practical assignments
Denne prototypen på et kursopplegg er bygd opp rundt et standard LMS som i utgangspunktet bør møte alle disse kriteriene. Det LMS’et som er brukt innehoder funksjoner for pålogging og individuell oppfølging av den enkelte kursdeltaker, hvis dette er en ønsket funksjon, men i utviklingsfasen så synes jeg det er vel så greit å la innholdet ligge åpent, slik at det er mulig å føre en dialog rundt innhold og gjennomføring.
Det som jeg er forholdvis uenig i det er hvordan man definerer opplæringsbehovene innenfor yrkesfagene og elektrofagene spesielt, i forhold til den generelle opplæringen i forhold til “Cyber Security Awareness”, som kanskje “folk flest” bør kjenne til. I masteroppgaven så kan man vel få et inntrykk av at dette er “to sider av samme sak”. Slik som jeg ser det så er det snakk om to ganske ulike opplæringsbehov, med ganske forskjellig innhold.
Slik som jeg velger å organisere læringsressursene, så starter det hele opp med et grunnkurs i “Cyber Security Awareness”, altså den type kompetanse rundt Cybersikkerhet som “folk flest” bør kjenne til. Der etter så vil det jo kreve en ganske omfattende “teknisk grunnkopetanse” for å kunne gå inn i den tekniske delen av “Cibersikkerhet for IT systemer” og “Cybdersikkerhet for operasjonell teknologi OT”, dsv atbeidsområdene for IT-fag arbeidere, elektrikere, automatikere og andre teknisk rettede fag.
Det som jeg for min del har syntes har vært litt komplisert og krevende det har vært å klare å se både grensen mellom “Cyber Security Awareness” og “den tekniske delen av Cyber Security” og hvordan disse “fagområdene” spiller sammen som en helhet. Ved gjennomlesning av en rapport som handler om angrepet mot elforsyningen i Ukraina i 2015, så synes jeg det kom fram på en ganske tydelig og godt beskrevet måte, prinsippene omkring hvordan menneskelige og tekniske faktorer kan spille sammen som en helhet. Rapporten heter “When the lighets go out” og er skrevet av Booz-Allen-Hamilton. Jeg har nok hentet litt inspirasjon fra denne rapporten ved utarbeidelse av læringsressursene.
Andre ressurser som jeg har hatt stor nytte av er Schneider sin informasjonside om “teknisk cybersikkerhet” og Locheed Martin sin informasjonsside omkring “The Cyber Kill Chain“. Jeg har også hatt stor nytte av Telenor sin sikkerhetsblogg.