Ny KTH-kurs ska lära företag att tänka som hackare

- Vi har blivit tagna på sängen under det senaste decenniet. Det har visat sig att det behövs ett betydligt större fokus på cybersäkerhetsfrågor än vad vi har trott tidigare, säger Pontus Johson på Kungliga Tekniska Högskolan.

Han vet vad han talar om. I rollen som professor i nätverk och systemteknik på KTH följer Pontus Johson noggrant utvecklingen inom cybersäkerhet.

Under de senaste åren har vi sett allt fler fall av uppseendeväckande it-attacker som riktas mot samhällskritisk infrastruktur. Cyberattacken mot elkraftnätet i Ukraina 2015 är ett tydligt exempel på den utvecklingen.

- I dag utgör datorer ryggraden i exempelvis det globala finansiella systemet. Vi blir allt mer beroende av system som faktiskt har visat sig vara mindre säkre än vad vi trott, säger Pontus Johson.

För att hjälpa till att stävja den utvecklingen startar KTH i vår en ny kurs som ska utbilda svenska företag i cybersäkerhet.

Kursen är en vidareutveckling av utbildning för teknologer på KTH. I den har studenterna fått lära sig att tänka som hackare genom att leta efter säkerhetsluckor i en konstgjord it-infrastruktur, byggd i molnet för att efterliknande de it-miljöer som finns hos många företag i dag.

- Efter att den kursen drog i gång förra hösten märkte vi att det finns ett stort sug efter en likande utbildning även hos näringslivet.

Den 19 mars sätter sig 50 representanter från svenska företag i skolbänken hos KTH.

På schemat står allt från att lära sig hacka brandväggar och wifi-nätverk, till att manipulera system för att få root-acess (vilket ger full behörighet) och få testa att installera fjärrstyrningsprogram på kapade datorer.

Kursen är tänkt för systemadministratörer, utvecklare och säkerhetspersonal.

- Vi förväntar oss att deltagarna har grundläggande kunskaper inom exempelvis programmering och nätverksteknik. Men det finns inga krav på att man ska ha jobbat med penetrationstester sedan tidigare, till exempel.

- Kursen ges till självkostnadspris. Jag hade gärna sett att den var gratis, men pengarna som KTH får från staten kan inte användas på det sättet.

Enligt Pontus Johnson hoppas KTH kunna uppnå två saker med kursen: Dels att företag kan lära sig att bygga säkrare system om de vet hur angripare tänker. Dels att öka de allmänna kunskaper om cybersäkerhet – något som är viktigt i synnerhet med tanke på den rådande bristen av personer som med kunskaper inom it-säkerhet

Fokus under kursen ligger på ”etisk hackning”. Det vill säga kunskaper som ska användas för att skapa säkrare system - inte åsamka skada.

- För att integrera den etiska dimensionen i kursen låter vi under kursen deltagarna umgås med olika moraliska dilemman, säger Pontus Johnson.

- ”Hack back” är ett exempel på ett intressant och kontroversiellt etiskt dilemma som vi ska diskutera under kursen. Ska man få hacka hackare? 2016 tog en användare som kallade sig Phineas Fisher sin in i säkerhetföretaget Hacking Teams system. Efter intrånget spred Fisher dokument som visar att Hacking Team hade ägnat sig oetisk hackning. Gör avslöjande att Fishers hackning av berättigad, eller var den fortfarande fel? Det är en intressant frågeställning.