Wytyczne dla programów studiów z cyberbezpieczeństwa

Justyna Balcewicz Analizy, Kompetencje cyfrowe, Wszystkie wpisy Unia Europejska,

W 2017 roku grupa robocza, składająca się z największych międzynarodowych stowarzyszeń komputerowych opracowała wytyczne programowe dla programów kształcenia na poziomie ponadlicealnym w zakresie cyberbezpieczeństwa. Opublikowany raport jest zgodny z wymogami Bazy Uczelni Wyższych ENISA[1], a przedstawiony w nim program kształcenia w cyberbezpieczeństwie może posłużyć jako dobra praktyka lub też inspiracja dla polskich uczelni wyższych, pracujących nad własnymi programami w zakresie cyberbezpieczeństwa.

Rozwój nowoczesnych technologii i postęp cyfryzacji powodują wzrost ilości zagrożeń cyberbezpieczeństwa. Trend ten dodatkowo umocnił się podczas pandemii COVID-19. W maju 2020 roku Komisarz ONZ ds. rozbrojenia ostrzegała, że średnio co 39 sekund na świecie dochodzi do kolejnego ataku[2]. Nie dziwi więc rosnące zapotrzebowanie na specjalistów ds. cyberbezpieczeństwa. Zarówno źródła rządowe jak i pozarządowe przewidują, że do roku 2022 będziemy mieli prawie 1,8 mln wakatów w tym obszarze[3]. Konieczne jest więc dołożenie starań, aby jak najszybciej wykształcić brakującą kadrę specjalistów. Uczelnie wyższe na całym świecie podejmują inicjatywy utworzenia nowych programów z cyberbezpieczeństwa i otwierania kolejnych kierunków kształcenia, w ramach już istniejących wydziałów.

W celu promocji studiów z cyberbezpieczeństwa i zachęcania młodych ludzi w Europie do kształcenia w tym obszarze, w kwietniu 2020 roku Agencja UE ds. Cyberbezpieczeństwa (ENISA) stworzyła Europejską bazę studiów z cyberbezpieczeństwa. Baza zawiera aktualne dane o dostępnych w krajach UE studiach z cyberbezpieczeństwa, otwartych również na kształcenie cudzoziemców. Ma stanowić źródło informacji dla wszystkich, którzy chcą się szkolić i rozwijać swoje umiejętności. Studentom dostarcza informacje na temat istniejących możliwości nauki, a uczelniom daje szansę na propagowanie oferty edukacyjnej i zachęcenie jak najlepszych kandydatów (Więcej o bazie przeczytasz: LINK).

Zachęcamy polskie uczelnie do rejestracji studiów/kursów z obszaru cyberbezpieczeństwa!

Według raportu ENISA Cybersecurity Skills Development in the EU, jednym z większych wyzwań dla uczelni, otwierających studia z cyberbezpieczeństwa jest konieczność dopasowania umiejętności absolwentów do oczekiwań pracodawców. Kluczowe jest więc stworzenie programu nauczania w taki sposób, aby odpowiadał wymaganiom rynku i uwzględniał interdyscyplinarną specyfikę cyberbezpieczeństwa (wiedzę techniczną, wiedzę przekrojową, a także relacje z innymi dziedzinami nauki). Instytucje akademickie mogą znaleźć wsparcie w zakresie stworzenia takiego programu, w raporcie Cybersecurity Curricula 2017. Curriculum Guidelines for Post-Secondary Degree Programs in Cybersecurity, opracowanym w 2017 roku.

Raport Cybersecurity Curricula 2017

Raport został opracowany przez powołaną w 2015 roku grupę roboczą (Joint Task Force on Cybersecurity Education ,CSEC2017 JTF), składającą się z największych międzynarodowych stowarzyszeń komputerowych: Association for Computing Machinery (ACM)[4], IEEE Computer Society (IEEE CS)[5], Association for Information Systems Special Interest Group on Information Security and Privacy (AIS SIGSEC)[6], International Federation for Information Processing Technical Committee on Information Security Education (IFIP WG 11.8)[7]. Wśród 6 celów grupy, znalazło się opracowanie wytycznych programowych wspierających tworzenie programów z zakresu cyberbezpieczeństwa, a także opracowanie przykładowego programu nauczania z zachowaniem elastyczności, która pozwoli dostosowywać go do zmieniających się potrzeb. Powyższe założenia zostały zrealizowane w publikacji raportu: Cybersecurity Curricula 2017. Curriculum Guidelines for Post-Secondary Degree Programs in Cybersecurity. Raport powstał we współpracy licznymi interesariuszami, którzy brali udział w sesjach specjalnych, panelach, warsztatach, konferencjach i grypach roboczych organizowanych ze stowarzyszeniami zawodowymi Wydarzenia te odbywały się głównie w Europie i Stanach Zjednoczonych[8]. W 2016 roku, we współpracy z Intel Corporation i U.S. National Science Foundation, zorganizowano warsztaty w Filadelfii. Przeprowadzono również ankietę, która zebrała odpowiedzi od 231 osób z 20 krajów (pracowników nauki, przedstawicieli biznesu i administracji publicznej). 

Cyberbezpieczeństwo jako nowa dyscyplina nauk komputerowych

Autorzy raportu proponują, aby dodać cyberbezpieczeństwo jako nową dyscyplinę do nauk komputerowych, definiowaną w następujący sposób:

Cyberbezpieczeństwo – nauka oparta na informatyce, wykorzystująca technologie, ludzi, informacje i procesy w celu przeprowadzania operacji zapewniających odporność na ataki z zewnątrz. Obejmuje tworzenie, działanie, analizowanie i testowanie bezpiecznych systemów komputerowych. Cyberbezpieczeństwo ma charakter interdyscyplinarny, zawiera aspekty prawa, polityki, wpływu tzw. „czynnika ludzkiego”, etyki i zarządzania ryzykiem.

W związku z rosnącym wykorzystywaniem Internetu i nowoczesnych technologii, cyberbezpieczeństwo stało się rozpoznawalną dyscypliną, w skład której wchodzi wiele zagadnień (np. rozwój oprogramowania, tworzenie sieci, zarządzanie bazami danych). Konieczne jest więc przygotowanie specjalistów, z różnych dziedzin, do zapewnienia bezpieczeństwa operacji i systemów.

Cyberbezpieczeństwo to przede wszystkim dziedzina komputerowa, ale posiada także aspekt interdyscyplinarny – zawiera  elementy prawa, polityki, wpływu czynnika ludzkiego, etyki i zarządzania ryzykiem. Zdaniem ekspertów, aspekt ten powinien zostać uwzględniony w programach studiów.

Cyberbezpieczeństwo jest bardzo młodą dyscypliną. Kierując się potrzebami rynku, globalne instytucje akademickie opracowują szereg programów edukacyjnych w tej dziedzinie, podczas gdy inne dostosowują istniejące programy uwzględniające treści cyberbezpieczeństwa innych dyscyplinach nauk komputerowych.

Charakterystyka programu nauczania z zakresu cyberbezpieczeństwa

Każdy absolwent programu studiów z zakresu cyberbezpieczeństwa powinien zrealizować podstawę programową, która obejmuje:

  • Podstawy nauk komputerowych (np. informatyka, technologia informacyjna).
  • Koncepcje przekrojowe, które mają szerokie zastosowanie w różnych specjalizacjach z zakresu cyberbezpieczeństwa
  • Niezbędną wiedzę i umiejętności z zakresu cyberbezpieczeństwa
  • Bezpośrednią relację z zakresem specjalizacji odpowiadającym zapotrzebowaniu rynkowemu
  • Kwestie etyczne, szczególnie w wykonywaniu obowiązków zawodowych.

Program nauczania z zakresu cyberbezpieczeństwa

Eksperci pracujący w ramach grupy roboczej CSEC2017 JTF opracowali program nauczania z zakresu cyberbezpieczeństwa, który ma służyć jako wsparcie dla instytucji akademickich, planujących uruchomienie studiów w tym obszarze. Program stworzony został w oparciu o istniejące ramy programowe edukacji z zakresu cyberbezpieczeństwa, głównie w Stanach Zjednoczonych.

Program wymaga uwzględnienia treści programowych z:

  • Wiedzy teoretycznej i konceptualnej, niezbędnej do zrozumienia dyscypliny cyberbezpieczeństwa.
  • Możliwości rozwijania praktycznych umiejętności, z zastosowaniem wiedzy teoretycznej.

Założenia programu są zbudowane na trzech filarach:

  • obszary wiedzy związane z cyberbezpieczeństwem,
  • zagadnienia przekrojowe,
  • wiedza z zakresu IT.

Dodatkowo, program uwzględnia wykorzystanie kompetencji pochodzących z poprzednich etapów edukacji (umiejętność komunikacji, liczenia, umiejętności analityczne i rozwiązywania problemów, krytyczne myślenie, praca zespołowa itp.).

Wymiar 1: obszary wiedzy  związane z cyberbezpieczeństwem (Knowledge Areas)

Obszary wiedzy służą jako podstawowa struktura organizacyjna dla treści związanych z cyberbezpieczeństwem. Każdy obszar wiedzy składa się z wiedzy krytycznej o dużym znaczeniu w wielu dyscyplinach komputerowych i między nimi. Obszary wiedzy są zbudowane jako elastyczne segmenty, aby umożliwić ich modyfikację w razie potrzeby. Łącznie obszary wiedzy stanowią pełny zasób wiedzy w dziedzinie cyberbezpieczeństwa.

Kluczowe zagadnienia (Essentials)

Kluczowe zagadnienia określają minimum treści w każdym z obszarów, które student musi poznać, niezależnie od ukierunkowania programu.

Tematy  (Knowledge Units)

Kluczowe zagadnienia podzielone są na tematy, które zawierają wymagane treści programowe i efekty kształcenia.

Wymiar 2: Zagadnienia przekrojowe

Zagadnienia przekrojowe pomagają studentom odkrywać powiązania między obszarami wiedzy i mają fundamentalne znaczenie dla rozumienia dyscypliny również przez osoby, które dotychczas kształciły się w innym obszarze. Zagadnienia przekrojowe wzmacniają również sposób myślenia o cyberbezpieczeństwie w innych dyscyplinach nauki. Autorzy programu wymienili 6 zagadnień przekrojowych:

  • Poufność – zasady ograniczenia dostępu do informacji dla osób nieupoważnionych
  • Integralność – zapewnienie, że informacja jest prawdziwa i nie została zmieniona
  • Dostępność – zagwarantowanie dostępności danych, informacji i systemów
  • Ryzyko – możliwość wystąpienia zagrożeń
  • Myślenie wsteczne – Proces myślenia uwzględniający potencjalne działania siły przeciwnej działającej przeciwko pożądanemu rezultatowi.
  • Myślenie systemowe – Proces myślenia uwzględniający wzajemne powiązania między obiektami wpływającymi na siebie wzajemnie. 

Wymiar 3: wiedza IT

Wiedza IT dotyczy zagadnień pochodzących z nauk komputerowych, takich jak Inżynieria komputerowa, Informatyka, Systemy informacyjne, Technologie informacyjne, Inżynieria oprogramowania.

Obszary wiedzy:

Bezpieczeństwo danychKoncentruje się na ochronie danych w czasie ich przechowywania, przetwarzania i przesyłania. Ten obszar wiedzy wymaga znajomości funkcjonowania algorytmów matematycznych i analitycznych. Student poznaje zagadnienia z podstaw kryptografii, informatyki śledczej i bezpieczeństwa przechowywania informacji.
Bezpieczeństwo oprogramowaniaCyberbezpieczeństwo systemu i przechowywanych w nim danych w dużej mierze zależy od bezpieczeństwa oprogramowania. Musi ono odpowiadać potrzebom organizacji, a także być projektowane, wdrażane i utrzymywane zgodnie z zasadami.  W tym obszarze wiedzy student uczy się podstaw projektowania, wymagań bezpieczeństwa, zasad testowania oprogramowania, a także roli etyki w kwestii ujawniania podatności na zagrożenia.
Bezpieczeństwo komponentówBezpieczeństwo systemu częściowo zależy od bezpieczeństwa jego komponentów, a więc sposobu ich zaprojektowania, doboru, testowania, połączenia z innymi elementami, użytkowania i konserwacji. W tym obszarze wiedzy student poznaje zagadnienia dotyczące podatności komponentów systemu, cyklu ich życia, zasad bezpiecznego projektowania, używania i konserwacji, a także testów bezpieczeństwa komponentów i elementy inżynierii wstecznej (reverse engineering).
Bezpieczeństwo komunikacji sieciowejBardzo ważne jest, aby każdy specjalista ds. Cyberbezpieczeństwa posiadał podstawową wiedzę na temat komunikacji sieciowej, bezpiecznych połączeń pomiędzy komponentami. W tym obszarze wiedzy student poznaje zagadnienia dotyczące architektury systemów, interfejsów komponentów i oprogramowania, a także zdobywa wiedzę z zakresu ataków sieciowych.
Bezpieczeństwo systemówKoncentruje się na wiedzy na temat różnych aspektów bezpieczeństwa systemów, które składają się z komponentów, oprogramowania i łączności pomiędzy nimi. Ten rodzaj bezpieczeństwa wymaga całościowego, holistycznego spojrzenia na system. Student poznaje zagadnienia z zakresu: polityki bezpieczeństwa, reguł uwierzytelniania, kontroli dostępu, monitorowania, odzyskiwania danych, testowania systemu, a także prowadzenia dokumentacji.
Bezpieczeństwo ludziKoncentruje się na ochronie danych osobowych i prywatności użytkowników w życiu zawodowym i prywatnym, a także na badaniu zachowań ludzkich (tzw. czynnika ludzkiego) w kontekście cyberbezpieczeństwa. Student poznaje zagadnienia z zakresu inżynierii społecznej, prywatności w kontekście systemów komputerowych i bezpieczeństwa danych osobowych.
Bezpieczeństwo organizacjiKoncentruje się na ochronie organizacji przed zagrożeniami cyberbezpieczeństwa i zarządzaniu ryzykiem. Student poznaje zagadnienia związane z zarządzaniem bezpieczeństwem w organizacji, zarządzaniem ryzykiem, a także strategią i planowaniem w kontekście cyberbezpieczeństwa.
Bezpieczeństwo społeczneKoncentruje się na zagrożeniach cyberbezpieczeństwa, które wpływają na społeczeństwo. Ilość tych zagrożeń w globalnym społeczeństwie systematycznie rośnie. W tym obszarze student poznaje zagadnienia z zakresu cyberprzestępczości, prawa, etyki i polityki i prywatności.

PODSUMOWANIE:

  1. Wraz z rosnącą liczbą zagrożeń cyberprzestrzeni, zwiększa się zapotrzebowanie na specjalistów ds. cyberbezpieczeństwa. Według szacunków, na świecie do 2022 roku będziemy mieć 1,8 mln wakatów w tym obszarze.
  2. Grupa robocza, składająca się z przedstawicieli największych stowarzyszeń komputerowych na świecie w 2017 roku przygotowała propozycję programu dla studiów z zakresu cyberbezpieczeństwa. Jest on zgodny z wymogami Bazy Uczelni Wyższych ENISA.
  3. Program może służyć jako inspiracja dla polskich uczelni, które otwierają kierunki studiów z zakresu cyberbezpieczeństwa.
  4. Program zaproponowany przez grupę roboczą składa się zarówno z wiedzy z nauk komputerowych (inżynierii komputerowej, informatyki, technologii informacyjnych), jak i wiedzy z nauk interdyscyplinarnych (prawa, polityki, zarządzania ryzykiem, czy etyki).
  5. Wiedzę, którą powinni przyswoić specjaliści ds. cyberbezpieczeństwa podzielono na 8 obszarów:
    • Bezpieczeństwo danych
    • Bezpieczeństwo oprogramowania
    • Bezpieczeństwo komponentów
    • Bezpieczeństwo komunikacji sieciowej
    • Bezpieczeństwo systemów
    • Bezpieczeństwo ludzi
    • Bezpieczeństwo organizacji
    • Bezpieczeństwo społeczne
  6. Każdy z obszarów dzieli się na tematy i szczegółowe wytyczne programowe. Program jest ogólnodostępny. Całość jest częścią raportu Cybersecurity Curricula 2017 (do pobrania pod tym artykułem).
Raport Cybersecurity-Curricula-2017Pobierz

[1] W kwietniu 2020 roku Agencja UE ds. Cyberbezpieczeństwa (ENISA) stworzyła bazę danych, która gromadzi kursy i studia z dziedziny cyberbezpieczeństwa dostępne w krajach UE. Baza ma stanowić źródło informacji dla wszystkich, którzy chcą się szkolić i rozwijać swoje umiejętności. Studentom dostarcza informacje na temat istniejących możliwości nauki, a uczelniom daje szansę na propagowanie oferty edukacyjnej i zachęcenie jak najlepszych kandydatów. Więcej można przeczytać na: https://cyberpolicy.nask.pl/aktualnosci/enisa-buduje-baze-danych-studiow-z-zakresu-cyberbezpieczenstwa-w-ue-koordynujemy-zgloszenia-polskich-uczelni/

[2] Lederer E.M., Top UN official warns cyber crime on rise in pandemic, Boston News, 23.05.2020 (https://www.boston.com/news/politics/2020/05/23/top-un-official-warns-cyber-crime-on-rise-in-pandemic) dostęp 26.05.2020.

[3] Raport Cybersecurity Curricula 2017. Curriculum Guidelines for Post-Secondary Degree Programs in Cybersecurity. 31.12.2017, s. 9

[4] https://www.acm.org/

[5] https://www.computer.org/

[6] https://aisnet.org/default.aspx

[7] https://www.ifiptc11.org/wg118

[8] Raport Cybersecurity Curricula 2017. Curriculum Guidelines for Post-Secondary Degree Programs in Cybersecurity. 31.12.2017, s. 12

TAGI Unia Europejska,

Zobacz także: