Hva slags kunnskap, bevissthet og praksis har lærere i skolen rundt informasjonssikkerhet?
Masteroppgave ved UiA avdekker en mangelfull bevissthet rundt hva informasjonssikkerhet er og hvordan man som lærer, skoleleder og skoleeier praktiserer informasjonssikkerhet i skolen.
Artikkelen er mer enn to år gammel, og kan inneholde utdatert informasjon.
Masterstudentene Rune Vålandsmyr Olsen og Simen Tokerud ved Institutt for informasjonssystemer ved Universitetet i Agder er interessert i informasjonssikkerhet.
I sin masteroppgave, Teachers’ awareness, knowledge and practice of information security in school, har de under veiledning av førsteamanuensis Cathrine Tømte undersøkt hvordan lærere i skolen forholder seg til dette.
Denne våren mottok Olsen og Tokerud et masterstipend gjennom ProDiG-prosjektet fordi de gjennom sitt arbeid har bidratt til å utvikle kunnskap av relevans for prosjektet, hvis overordnede mål er å utvikle grunnskolelærerutdanninger som gjør nyutdannede lærere bedre i stand til å møte både læreplanens og skolenes krav og forventninger til profesjonsfaglig digital kompetanse.
Viktig tema
Nyhetsartikler om elever som har kommet seg inn i systemer i skolen de ikke burde hatt tilgang til gjorde at de to studentene ønsket å finne ut mer om informasjonssikkerhet i skolen.
– Vi ble nysgjerrige på spørsmål om hvordan disse elevene hadde fått tilgang til dataen og om det er systemet, læreren, skoleeier eller andre som har feilet, forteller Tokerud.
I og med at samfunnet og skolen blir mer og mer digitalt mener de at det er viktig at aktørene i skolen vet noe om risikoer knyttet til informasjonssikkerhet som følger med den digitale utviklingen.
– I skolen håndteres det for eksempel sensitive opplysninger om elever. Da er det spesielt viktig at de som jobber der har god kontroll på rutiner rundt informasjonssikkerhet for å hindre at disse opplysningene skal komme på avveie, sier Olsen.
Tømte påpeker også at en økende digitalisering av og i samfunnet betyr at vi må lære barn og unge å bli gode digitale borgere.
– Her er digital dømmekraft avgjørende og inn under digital dømmekraft finner vi også det som har med informasjonssikkerhet å gjøre. Dette må lærere og skoleledere ha kunnskap om slik at de både kan være gode rollemodeller og ikke minst pedagogisk legge til rette for at barna utvikler en god digital sikkerhetskultur, hevder hun.
Manglende fokus i skolen
Informasjonssikkerhet i skolen er et understudert tema i Norge. Det er gjort noen kvantitative undersøkelser, men Olsen og Tokerud har gått kvalitativt til verks i sitt mastergradsarbeid ved å intervjue lærere, IT-ansvarlige, rektorer og skoleeiere i Kristiansand og Vennesla kommuner.
– Vi fant ut at det er et forbedringspotensial knyttet til dette temaet i skolen, sier Tokerud.
– Kommunene har i stor grad brukt tid på anskaffelse av hardware og software for å oppnå 1:1-dekning for elevene og utvikling av pedagogiske opplegg som drar nytte av dette. Opplæring og trening for skolene i informasjonssikkerhet har til nå ikke blitt prioritet, til tross for at Vennesla kommunes nye digitaliseringsstrategi setter fokus på temaet, fortsetter han.
Manglende fokus på informasjonssikkerhet blir ifølge Olsen og Tokerud forklart med at lærere har det veldig travelt og har lite tid til overs i hverdagen.
– Dette er selvsagt forståelig, men da er det kommunens ansvar å prioritere informasjonssikkerhet, mener Olsen.
Både han og Tokerud mener at utfordringene knytta til informasjonssikkerhet i skolen henger sammen med organisasjonskulturen.
– Vi har snakket med rektorer og skoleeiere som sier at informasjonssikkerhet ikke er deres hovedfokus, forteller Tokerud.
– Samtidig opplevde mange av lærerne vi intervjuet at de ikke sitter med ansvaret for dette, men at det er enten IT-avdeling, rektor eller kommunen som har ansvaret for informasjonssikkerheten i skolen, forsetter han.
– Svaret er imidlertid at de alle har et delt ansvar for at dette skal fungere, sier Olsen.
Han legger til at alle som jobber i skolen har sine ansvarsområder avhengig av hvor i systemet de jobber. Både rektor, IT-avdeling og lærere må ha en felles forståelse av at de sammen har et samlet ansvar for informasjonssikkerheten.
– Lærere og skolen generelt må få kunnskap om for hvor viktig dette er, og kommunen og rektorer må prioriterer informasjonssikkerhet høyere slik at lærerne får tid til å sette seg skikkelig inn i stoffet, sier han.
Tokerud og Olsen minner om at det ofte er en langvarig og krevende prosess å endre en organisasjonskultur.
– Det er derfor viktig at vi kommer i gang med denne prosessen så fort som mulig, og at det i mellomtiden gjøres mer forskning på området for å sikre tilstrekkelig digital kompetanse i hele skolesystemet, sier de.
Funn og tiltak
Tabellen viser en oppsummering av alle funnene og tiltak Olsen og Tokerud anbefaler i sin masteroppgave (2020).
| Problem |
Suggestion |
| Lack of formal training |
Courses and workshops for the teachers and students held by experts or external companies. |
| Lack of management support |
Change in culture encouraged by the municipality, information security workshops for principals. |
| Little skepticism towards software |
Higher awareness and knowledge levels with regular discussions about security. |
| Low focus on information security from the municipality |
Change of focus towards information security. |
| Lack of time and resources |
The municipality should prioritize information security higher. |
| Varying password strength |
Introduce password manager. |
| Low use of multi-factor authentication |
More use of multi-factor authentication. |
| Low Knowledge and awareness of information security |
More formal training on information security terms and information security in general. Appoint a project champion to lead regular discussions and initiatives. |
| Software issues |
A thorough research process before software procurement, more focus on training in software use. |
| Hardware issues |
Regular hardware updates, more focus on taking good care of the hardware. |
| Reuse of passwords |
Introduce a password manager. |
| Forgotten passwords |
Introduce a password manager. |
| Account sharing |
More use of multi-factor authentication. Ensure everyone has the digital licenses they need. |
| Lost emails |
Move away from email towards other solutions such as MS Teams. |
| Insufficient backup routines |
Team up with cloud backup providers, consider local backups. Improve backup routines. |
Et felles ansvar
Olsen og Tokerud mener at det må settes av tid til arbeid med informasjonssikkerhet på ulike nivåer i skolesektoren hvis det skal skje noen positiv endring.
– Først og fremst er det viktig at alle lærere innser at de har et samlet ansvar, sier Olsen.
Han oppfordrer lærere til å be om å få gå på kurs om informasjonssikkerhet og at de følger de retningslinjene som skolen kommer med.
– Det er viktig at lærerne stiller seg kritisk til bruk av applikasjoner eller tjenester utenom det IT-avdelingen og kommunen anbefaler. Sjekk gjerne hvem som lager tjenesten, og om de har et dårlig rykte når det gjelder informasjonssikkerhet, fortsetter Olsen.
Studentene oppfordrer også lærerne til å være oppmerksomme på at elever kan komme seg inn i systemer som ikke de skal ha tilgang til.
– Skoleeier bør på sin side prioritere tid til opplæring og trening av informasjonssikkerhet i skolen, og vi anbefaler at det i samarbeid med skolene arrangeres informasjonssikkerhetsuker, gjerne i samarbeid med nasjonale initiativer som nettvettdagen og personverndagen, sier Tokerud.
– For å vedlikeholde kunnskapen og bevisstheten blant lærerne kan skolene for eksempel utnevne en forkjemper for informasjonssikkerheten som har ansvar for å lede ukentlige diskusjoner på 5-10 minutter rundt temaet, forslår han.
De nyutdannede masterstudentene anbefaler også at skoleeier arrangerer kurs for rektorer.
– Det er utrolig vanskelig å endre skolens syn på informasjonssikkerhet hvis rektor ikke er klar over risikoene digitalisering innebærer, og hvor viktig det er at skolen beskytter seg mot disse, sier Olsen.
Hva er informasjonssikkerhet?
- Informasjonssikkerhet = Konfidensialitet, Integritet og Tilgjengelighet
- Konfidensialitet - at data ikke blir kjent for uvedkommende.
- Integritet - at data ikke blir endret utilsiktet eller av uvedkommend.
- Tilgjengelighet - at data er tilgjengelig ved behov.
- Det er både menneskelige (f.eks. rutiner, retningslinjer og praksis) og tekniske (f.eks. antivirusprogrammer, brannmurer og sikker software) aspekter ved informasjonssikkerhet.
- C3-rammeverket er et mye brukt rammeverk for å evaluere digitale kunnskaper og inneholder tre kunnskapsdomener: Cyberethics, Cybersafety og Cybersecurity.
- Cyberethics handler om moralske valg man tar online og innebærer nettvett, opphavsrett og hacking.
- Cybersafety handler om å redusere risikoen man utsetter seg for ved å være koblet til internett. Uønsket kommunikasjon, virus og spyware faller under denne kategorien.
- Cybersecurity handler om de tekniske løsningene for å sikre data. Her finner vi brannmurer og antivirusprogrammer for eksempel.
Bør være en del av undervisningen
Tokerud og Olsen er opptatt av at elevene ofte blir glemt når det er snakk om informasjonssikkerhet i skolen.
– Lærerne får ofte en stor del av ansvaret for opplæring av elevene i sikker bruk av internett og digitale enheter. De legger vekt på kildekritikk, deling av bilder online, nettmobbing og andre temaer innen cyberethics og cybersafety, men de legger ikke særlig stor vekt på informasjonssikkerhet i opplæringen, noe elevene kunne trengt mer av, sier Tokerud.
Elevene lærer for eksempel at de ikke skal lage enkle passord eller dele passordet sitt med andre, men opplæring i bruk av “password managers”, flerfaktorautentisering og antivirusprogrammer blir ofte glemt, ifølge Tokerud.
Olsen og Tokerud mener at også lærerutdanningene bør gi informasjonssikkerhet en større plass i undervisningen.
– Vi har sett noen kvantitative data fra andre land der de fleste lærerstudentene viser lav kompetanse innenfor ulike typer trusler mot informasjonssikkerheten. De fleste vet for eksempel ikke hva phishing, bakdører og keyloggers er, forteller Olsen.
– Våre egne funn blant lærere i Agder stemmer godt overens med funnene fra utenlandske studier blant lærerstudenter. Vi foreslår derfor å få inn et eget fag rettet mot informasjonssikkerhet. Hvis dette blir for snevert, kan faget utvides til generell digital kompetanse og ta for seg alle tre kunnskapsdomener fra C3-rammeverket.
Tømte er enig med Olsen og Tokerud i at informasjonssikkerhet bør bli en integrert del av lærerutdanningen slik at studentene er godt forberedt på å håndtere dette når de skal ut i skolen.
UiA tilbyr sine studenter på grunnskolelærerutdanningene å velge emnet Digitalisering i skolen og lærerens profesjonsfaglige digitale kompetanse. Tømte har ansvar for emnet og underviser der i samarbeid med grunnskolelærere i delte stillinger som er tilsatt gjennom satsninger i ProDiG-prosjektet.
– I emnet bruker vi mye tid på temaet etikk, som er ett av de sju områdene i Rammeverket for lærerens profesjonsfaglig digitale kompetanse, og her inngår informasjonssikkerhet, forteller Tømte og oppfordrer studentene på grunnskolelærerutdanningene til å velge emnet i sin utdanning.