Att lära ut ”cybersäkerhet” som ett ”digitalt självförsvar”

av | maj 16, 2022 | Blogg, Cybersäkerhet

Jesper Värn

Jag är lärare. Eller rättare – jag är pedagog. I nästan alla jobb jag haft har jag på något sätt varit ”instruktör”. Men även på fritiden ägnar jag en hel del tid åt att lära medmänniskor saker de från början inte kan – jag är nämligen boxningscoach.

På Cuebid har det således funnit sig naturligt att jag arbetar med utbildning på olika sätt – antingen att hålla olika former av säkerhetsutbildningar för företag och myndigheter eller som inhyrd lärare på olika eftergymnasiala utbildningar, såsom yrkeshögskolor och utbildningsföretag.

I min roll som lärare ställs man ibland inför ett antal frågor (jag tror att det är viktigt att just ställa sig de här frågorna innan man startar en utbildning, under tiden man håller den, och i efterarbetet) kring VAD man vill lära ut – HUR man ska göra det och VARFÖR det är viktigt att man gör på just det sätt man gör. Den pedagogiska approachen ser givetvis olika ut om jag (vidare-)utbildar redan tränade ingenjörer än om jag är inhyrd lärare i en klass för blivande tekniker. Och båda dessa skiljer sig i sin tur åtskilligt från hur jag t.ex. lär ut ”säker hantering av information” i en grupp ekonomer på en kommun eller region.

Under en sådan här ”enskild utvärdering” med frågorna VAD?, HUR?, VARFÖR? för några månader sedan föddes så en tanke – kanske att jag skulle kunna dra erfarenheter från min fritids-lärar-roll – kampsportsinstruktören för att tänka på min yrkeslärar-roll – den konsultande läraren? Om jag kan tänka ut något sätt att använda det ena som en metafor, eller symboliskt ramverk i det andra?

Och där föddes konceptet ”Cuebid Dojo”. Cuebid Dojo – för Er som ännu inte hört talats om det – är Cuebids numer rådande ”pedagogiska ramverk”. Vi tänker oss att de utbildningar vi själva utvecklar och genomför är kurser i ”digitalt självförsvar”.

Själva ordet ”Dojo” är japanska och betyder ungefär ”lärandets väg”. Det är ofta ett tempel eller en skola – men där man inte ”studerar för en examen” utan i stället studerar för sin egen skull – ett slags självförbättring. Dojo är ofta vad olika kampsportsklubbar och kampkonstskolor kallar sin träningslokal.

I kampsportstraditionen lär man sig – då man ska lära sig traditionella kampsporter (som t.ex. karate, taekwondo, ju jutsu) ofta kampsporten enligt två metoder: den ena går ut på att lära sig rörelserna. Den kallas ”Kata”. Här tränar man sig i rörelsemönster och grundprinciper inom sporten – hur man går, står, slår, sparkar, blockerar och så vidare – men man gör det ”i luften”.

Den andra metoden man använder sig av är ”sparring” – där man så att säga kan ”provtrycka” vad man lärt sig i Kata – mot någon annan (som själv också är tränad i samma kampsport) – som gör ett aktivt motstånd. Ens sparringpartner blockar ens attacker – men kontrar på dem, så att man själv får öva på att blockera och kontra. Man kan så att säga ”simulera kamp”.

Just såhär tänkte jag kring våra olika utbildningar i Cybersäkerhet: Vi kan använda samma metodik, där vi lär oss grundprocesser, grundbegrepp, lär oss förstå vad vi ska göra och varför i olika ”kata-moment”. Dessa kan t.ex. vara våra föreläsningar, våra seminarier och workshops. Vi kan sedan ”provtrycka” vad vi faktiskt lärt oss genom att ”simulera kamp” på olika sätt. För att se att ens tekniker faktiskt håller.

Om jag t.ex. ska lära någon ”att inte klicka på farliga länkar” kan jag hålla en lång föreläsning (och med många spökhistorier som belysande exempel. 😊 ) – men det är inte förrän vi faktiskt testat – genom att skicka ut fejkmejl och ”simulerade attacker” som vi säkert kan validera att kunskaperna finns. Kunde eleven/studenten faktiskt blocka attacken? Kunde hen kontra? Och kan vi bedöma hur det gick?

Lär vi någon något om SIEM eller IDS/IPS-system är detta på något sätt Kata i processen ”incidenthantering”, men det är inte förrän vi stresstestar processen (genom t.ex. penetrationstest, eller etisk hacking) som vi kan verifiera att kunskaperna sitter. Det krävs alltså ”sparring” för att lära sig ett effektivt digitalt självförsvar!

Och det här blev ett ”aha-moment” för mig. Dels kom jag till insikt om hur jag skulle kunna göra våra utbildningar bättre och mer verklighetsanpassade (min VAD-fråga tidigare), dels fick jag tänka rätt mycket på HUR jag skulle kunna införa ”sparring” i det – men framförallt ett ”varför”. För utbildning handlar inte om en examen. Utbildning i cybersäkerhet handlar inte om certifikat eller diplom. Utbildning i cybersäkerhet handlar om ett digitalt självförsvar!

Så – nu är mattan öppen, ringrepen särade. På med boxhandskarna, så kör vi. Välkommen till Cuebid Dojo.

/Jesper Värn