2019-12-04

Kjære regjering, ikke glem IT-bredden!

At regjeringen vil «toppe laget» ved å sikre at flere nordmenn tar en doktorgrad innen IT-sikkerhet er vel og bra, men ikke glem bredden.

Thomas Tømmernes IT-sikkerhetsekspert

Tidligere publisert på digi.no.

I norsk idrett vil debatten om bredde versus topp sannsynligvis leve evig. Hvordan skal ressursene fordeles mellom dem som allerede i tidlig alder utpeker seg som den neste Marit Bjørgen eller Karsten Warholm– og dem som ikke nødvendigvis dominerer sin årsklasse i tenårene?

I starten av november fortalte NRK at 2 av 3 norske doktorgrader innen IT er tatt av utlendinger, og videre om utfordringen ved at de i mange tilfeller ikke kan sikkerhetsklareres for jobber som går ut på å beskytte nasjonens interesser. – Da får vi ikke tilgang på den kompetansen, sier samfunnssikkerhetsminister Ingvil Smines Tybring‐Gjedde til NRK.

I artikkelen går det også frem at regjeringen de siste årene har satset flere titalls millioner kroner på å utdanne flere innen IT-sikkerhet – en satsning jeg virkelig vil hylle. Men den må for all del fortsette. For selv om det har ført til en økning, er altså realiteten at Norge fortsatt vil mangle 4.100 personer med IT-sikkerhetskompetanse i år 2030.

Når regjeringen i neste års statsbudsjett nå har foreslått 18 doktorgradsstipendiat-stillinger bare for personer som kan sikkerhetsklareres, til den nette sum av 11,8 millioner, så gjør det meg umiddelbart bekymret for om det vil gå ut over «breddelaget» på utdanningsinstitusjonene.

Flere hoder og hender

Jeg mener bestemt at vi må ivareta alle som har en interesse for IT-sikkerhet, ikke kun de som sikter mot å bli professorer, nettopp for å kunne møte det omtalte «underskuddet» på kompetanse som vi styrer mot i 2030. For vi vet at det også finnes mange viktige stillinger innenfor IT-sikkerhet som ikke krever sikkerhetsklarerering.

Regjeringen må sørge for at de øremerkede bevilgningene til norske doktorgradsstipendiater ikke må gå på bekostning av å promotere IT-sikkerhet som et spennende fagområde for våre unge – eller ta imot alle dem som har ønske om å utdanne seg og bli i Norge for å utøve yrket sitt.

Det siste vil både gi oss flere hoder og hender og det vil på sikt styrke fagmiljøet – som i neste omgang kan bidra til at enda flere av dem som kan sikkerhetsklareres ønsker og klarer å gå hele veien til en doktorgrad.

Akkurat som det er vanskelig å bygge et sterkt landslag i fotball uten et stort antall spillere på et høyt nivå som landslagssjefen kan velge fra, så vil det trolig også være utfordrende å få nok kvalifiserte og motiverte nordmenn til å gå for en doktorgrad uten et stort og sterkt fagmiljø i ryggen. Da er det kanskje heller ikke så dumt å hente noen IT-sikkerhetstalenter fra utlandet til Norge – eller gode fotballspillere for den saks skyld – som kan være med på å heve nivået, selv om de ikke kan gå inn på «landslaget».

Og selv om vi er Norge og opptatt av nasjonal sikkerhet, så er det fortsatt slik at alle norske virksomheter benytter teknologi utviklet i utlandet, som gjør at vi i mange tilfeller nettopp må henvende oss der teknologien er utviklet for å finne ekspertene og den kompetansen vi trenger.

Sertifisering i IT-sikkerhet?

For å styrke bredden i det norske IT-sikkerhetsmiljøet så bør målet være å få alle IT-studenter i Norge til å ha samme grunnutdannelse uansett om de studerer privat eller offentlig, høyskole eller universitet. Jeg har derfor tidligere utfordret norske myndigheter til å lage en offentlig sertifiseringsordning med utgangspunkt i NSMs grunnprinsipper for IT-sikkerhet og sikkerhetsfaglige anbefalinger ved tjenesteutsetting. Det er prinsipper som alle vi som jobber med IT-sikkerhet bør etterfølge og levere våre produkter og tjenester i tråd med.

Med en sertifisering knyttet til prinsippene som et minimum for en ferdigutdannet student, sikrer man både at virksomhetene som ansetter, og Norge som nasjon, får et økt gjennomsnittsnivå på ressurser som jobber helt eller delvis med IT-sikkerhet.

Når antallet sertifiserte etter hvert øker, kan myndighetene i neste omgang, for eksempel som en prøveordning, kreve denne sertifiseringen for å kunne jobbe i IT-sikkerhetsbransjen, tilsvarende det som gjelder for eksempel for revisorer og advokater. Slik vil også de som allerede jobber med IT-sikkerhet til daglig hive seg rundt å ta sertifiseringen.

Vi må med andre ord ta både bredde og topp på alvor, for min påstand er at uten breddeidretten så hadde heller ikke våre største idrettshelter oppnådd de resultatene de har gjort.