Jeg startet mine første funderinger om nettbasert undervisning tilbake i 1996 da jeg som IT-sjef ved daværende Høgskolen i Nesna jobbet sammen med bl.a. forelesere i informatikk med fokus på videokonferansesystemet CuSeeMe og bruk av websider for formidling av undervisning. I 1999 – 2000 jobbet jeg i videregående skole og testet ut om det å sende elevene hjem og kjøre undervisning via direktemeldingssystemet ICQ kunne være en måte å løfte de mest demotiverte og gjøre dem interessert i fagstoffet. Fra og med 2003 har jeg drevet med undervisning i rene nettbaserte fagemner og studieprogram. De tanker jeg gir uttrykk for her er basert på de erfaringer jeg har gjort meg.

Nettundervisning – The basics

Det finnes en rekke former for nettundervisning. Det kan være supplement til campusbasert undervisning og det kan være ren asynkron undervisning for folk i fullt arbeid. Jeg har jobbet med begge varianter, men har først og fremst fokusert på det siste.

1 Innledning

Det første spørsmålet en må stille er; hvorfor nettundervisning? Er det fordi

a) Studentene svikter de fysiske forelesningene?
b) Vi ønsker å nå studenter i full jobb, som trenger etter- og videreutdanning?

Dersom svaret på a) er ja, blir neste spørsmål; Hvorfor det?

Er det fordi de fleste studentene jobber heltid eller deltid, og prioriterer dette foran campusundervisningen?

Er svaret her ja, så blir det et spørsmål om hva du som faglærer mener er viktig. Dersom det å delta aktivt på campus er vesentlig for fagforståelse og læring, slik du ser det, må studentene føye seg etter dette. Dersom det å delta i fysisk faglig aktivitet, enten det er diskusjonsøvelser eller praksis, er 100% nødvendig så er løsningen å kreve obligatorisk oppmøte. Er det ikke 100% nødvendig, må det bli opp til studentene selv å avgjøre om og når de ønsker å møte på campus. Et universitet er ingen skole, og studenter er ikke elever men voksne mennesker som frivillig har valgt å ta høyere utdanning. De må foreta egne valg og ta konsekvensene av sine valg, her som ellers i livet.

Så kan en jo komme de studentene det gjelder noe i møte ved å enten strømme forelesningene (der dette har en pedagogisk hensikt), eller lage egne små videoforelesninger som legges ut i Canvasrommet som støtte både til de studentene som velger å ikke komme på campus og de som møter opp.

Dersom svaret på spørsmålet om hvorfor nettundervisning er at man ønsker å nå studenter som er i full jobb og som trenger etter- og videreutdanning, så er løsningen absolutt nettundervisning. Om man så velger å ha det rent asynkront eller med noen digitale samlinger, blir helt opp til hva man mener er viktig for å oppnå læring for flertallet av studentene i sitt fagemne.

2 Å lykkes med nettundervisning

Det finnes ingen fasit eller quick fix for å lykkes med nettundervisning, men basert på over 20 års erfaring mener jeg at følgende er avgjørende:

1. Arbeidskrav. Gode og omfattende arbeidskrav som behandler fagtema, er tidsaktuelle og som dytter studentene ut av komfortsonen og sørger for studentaktiv undervisning.
2. Veiledning. Grundig individuell veiledning av studentens besvarelser, gjerne støttet av generelle veiledningsdokument. Veiledning sikrer også at studentene leverer individuelle besvarelser der egen fagforståelse kommer godt frem, også i emner som krever teamarbeid.
3. Mappeevaluering. En eksamensform der studentenes endelige besvarelser på arbeidskravene, etter veiledning, utgjør studentens «mappe» som så vurderes iht. karaktersystemet. En slik eksamensform vurderer studentens totale arbeids- og læringsprosess gjennom studiet, i motsetning til mer tradisjonell eksamen som vurderer studentens prestasjonsevne i en tidsbegrenset periode.
4. Godt oppsatt Canvasrom. Canvas, som alle LMSer, er ytterst lineært og det lønner seg derfor å strukturere dette fra topp til bunn på en slik måte at studentene finner alt de trenger når semesteret starter. Særlig viktig er informasjon om innleveringsdatoer, eksamen, hvordan det er ment de skal jobbe med emnet og rutiner for kontakt med deg som faglærer.

Noen vil nå sikkert lure på hvorfor ikke programvare, digitale verktøy av typen opptaksutstyr, eller digitale medier er lagt inn på listen over. Min erfaring er at dette er uten betydning. Er du tilhenger av podcaster eller videoforelesninger, så trenger du ikke noe annet enn PC med mikrofon og kamera, eller en mobiltelefon. Lyd og film kan lastes direkte i Canvas, eller du kan velge nett-tjenester som SoundCloud eller YouTube. Godt konstruerte PowerPoint-forelesninger, enten med lyd eller video, eller kun med tekst og bilder (IKKE hvite «ark» tettpakket med kulepunkt!) fungerer utmerket. Eller du kan bruke blogg for å sammenfatte de aktuelle fagtema som støtte for pensum og arbeidskrav. Tegneserier og enkle tegnefilmer fungerer også, og her finnes en rekke gratis skytjenester man kan bruke. Liker du å lage lange videoforelesninger, ordinære eller interaktive, så gjør for all del det. Men dette er overhode ikke avgjørende.

Det viktige i nettundervisning er utfordrende arbeidskrav, godt organisert individuell veiledning, relevant eksamensform og godt strukturert Canvasrom.

Jeg vil understreke «utfordrende arbeidskrav» her. Dette er sentralt i studentaktiv undervisning, og nettopp fokuset på å involvere studentene er vesentlig i ren nettundervisning – både for å sikre god læring, men også god gjennomstrømming av reflekterte kandidater. En av mine nettstudenter i det asynkrone nettbaserte emnet ORG5005 sa det slik i sitt refleksjonsnotat:

Måten fagemnet ORG 5005 Digital beredskap er innrettet på krever høy grad av involvering av studentene. For å klare å besvare arbeidskravene har det vært nødvendig for meg å drive selvstendig jobbing med emnet. Innretningen med at studentene selv må søke relevant informasjon, og tenke selv gjør at jeg har vært nødt til å bruke, hva jeg vil anse som mye tid på emnet. Dette har vært krevende i en jobbhverdag som har vært mer krevende enn normalt dette halvåret, men samtidig har det gitt eierskap til pensumstoffet. Og det gir en grundigere læring enn når man som student sitter og mottar informasjon

Jeg har samlet mine tanker om dette i følgende innlegg:

1. Tips om nettundervising
2. Noen tanker om pedagogikk i skyen
3. Studentaktiv undervisning – et spørsmål om oppgavedesign ikke digitale verktøy
4. Organisering av læringsrom som støtte for asynkron nettundervisning
5. ORG5005 – Fra synkront samlingsbasert til asynkront nettbasert

Akkurat som for all annen undervisning avhenger nettundervisning av din undervisningsfilosofi. Dette er strengt tatt en no brainer og de av oss som har tilbrakt lang tid i de akademiske elfenbenstårn har for lengst landet på hvilken form for undervisning som passer oss, forankret i en kunnskapsteoretisk posisjon og som vi vet vi lykkes med. Det samme vil gjelde for den veiledningsform vi velger.

Det er ikke noe «hokus pokus» med det å drive nettundervisning, men det er viktig å ha klart for seg at:

1. Det er ikke – gjentar ikke – det samme som å drive fysisk undervisning på campus. Du kan ikke uten videre kopiere det du gjør på campus til nettet.
   
2. Du må like det å undervise studenter du aldri vil se ansikt til ansikt. Å nå nettstudentens «hjerte og hjerne» krever en annen tilnærming enn når studentene er fysisk tilstede sammen med deg.
   
3. Du må være strukturert, særlig når det gjelder alt som har med interaksjon mellom deg og studenten.

Dette er, slik jeg ser det, de viktigste momentene man må ha klart for seg før man gir seg i kast med ren nettundervisning.

Så noen ord om studentevaluering og vurderingsform

Har en først startet med nettundervisning er det en rekke momenter en må ta stilling til, men to ting jeg er opptatt av er hvordan finne ut om vi når studentenes «hjerte og hjerne» med vår undervisning og valg av vurderingsform.

3 Studentenes evalueringer

Det er viktig å lytte til studentenes meninger om vår formidling, og i rene campusbaserte emner har vi muligheten til å få tilbakemelding direkte, der og da. Men hvordan gjøre dette i rene nettbaserte fagemner? Emneevalueringer er nok første svaret her, men det er store utfordringer med disse knyttet til rene nettbaserte emner.

Emneevalueringer må nødvendigvis settes opp slik at de er mest mulig relevant for samtlige studier. Det er antakelig lite praktisk å ha individuelt utformede evalueringer for ulike studietyper. Men dette betyr at denne type evalueringer ikke er spesifikt konstruert for å fange opp data knyttet til rene asynkrone nettbaserte studier, der studentene ikke må møte til tradisjonell forelesning og der innsending av arbeidskrav til veiledning er sentralt. 

Mangelen på relevante spørsmål knyttet til en ren nettbasert studiesituasjon gjør emneevalueringene bare delvis brukbare som indikatorer på om vi når våre studenter. En annen utfordring er at nettbaserte studenter, og særlig studenter i full jobb, ikke tar seg tid til å fylle ut disse skjemaene. I rene campusbaserte emner kan en sette av tid i undervisningen til besvarelse av emneundersøkelsene, men i rene asynkrone nettbaserte emner må man nøye seg med å oppfordre studentene til å utføre evaluering.

Dersom emneevalueringer skal ha relevans for utvikling av nettbaserte studier/ emner må de ha:

1. Høyt nok antall respondenter til at man får et utvalg som er representativt. Altså at resultatet for utvalget blir tilnærmet det samme som en ville ha fått dersom en hadde undersøkt samtlige studenter ved et nettbasert fagemne. 
2. Spørsmål som er relevant og meningsfulle for studenter i rene nettbaserte emner/ studieprogram.

Et eksempel på punkt 2 over er spørsmålet «Jeg har deltatt på undervisningen i emnet». I et campusbasert emne gir dette mening; studenten har enten deltatt fysisk et gitt antall ganger eller ikke. I nettbaserte emner der mappeevaluering er sentralt, er det å delta i undervisning synonymt med å jobbe med konkrete obligatoriske arbeidskrav, som igjen krever at studenten gjennomgår forelesninger og fagstoff lagt ut i Canvas, og deretter leverer sine besvarelser til individuell veiledning. Men det er ikke gitt at en student forbinder denne måten å jobbe med som «å delta i undervisningen», med mindre studenten er godt vant med nettbasert undervisning fra før. Her burde det enten ha vært oppfølgingsspørsmål, eller et hovedspørsmål som konkret etterspør om studenten har deltatt aktivt med arbeidskravene og fagstoffet.

Videre gir emneevalueringen ingen opplysning om hvorvidt de som setter lave verdier på spørsmålet «Jeg får tilstrekkelig faglig veiledning i emnet» faktisk har levert arbeidskrav til veiledning og er misfornøyd med den individuelle veiledningen, eller om disse tallene er resultat av at respondentene ikke leverte inn sitt arbeid til veiledning og dermed ikke hadde noe grunnlag for å vurdere dette.

Et siste eksempel på problematisk spørsmål er «Det benyttes relevante digitale verktøy i emnet». Et slikt spørsmål fordrer at det finnes en fast mal for hva som er «relevante digitale verktøy», men dette er langt fra tilfelle.

Dessuten; hva menes med «relevante»? Relevante til spesifikke læringsmål i et spesifikt fagemne? Eller relevante for studentens egen læring generelt sett?

Hva som er relevant er helt avhengig av det enkelte fagemne og forelesers undervisningsfilosofi. I noen fagemner er Excel relevant ut fra læringsmål og forelesers kunnskap om hva som skal til for å løfte den enkelte students læring, i andre fagemner er det sosiale medier, dataspill, PowerPoint, YouTube, eller Podcaster, eller en kombinasjon av disse.

En student kan, med bakgrunn i at denne har vært undervist gjennom grunn- og videregående skole og eventuelt i andre universitetsemner, ha en klar forestilling om hvilken undervisningsform (herunder bruken av det digitale) som passer studenten. Men det er ikke gitt at dette gir bakgrunn for å vurdere spesielle digitale verktøy gitt i et spesifikt fagemne.  I tillegg er begrepet «digitale verktøy» fullstendig utdatert som begrep (i alle fall innen humanistiske og samfunnsfaglige studieprogram) når vi snakker om læring. I vår heldigitale mediehverdag anno 2023 (strengt tatt siden 2006) snakker vi om «digitale medier», ikke «verktøy» (jeg definerer nærmere hva jeg mener om dette her). 

Så hvis de digtale emneevalueringene ikke fungerer like godt for rene nettbaserte fagemner, hva gjør vi da?

Løsningen er refleksjonsnotat tilknyttet hvert arbeidskrav. Disse notatene, dersom man først presenterer for studentene hva som er ønsket fokus, vil gi god innsikt i hva som har fungert og hva som ikke har fungert for hver enkelt student. For både IKT og Læringsstudiene og ORG5005 er refleksjonsnotatene et obligatorisk kapittel i hver av besvarelsene til de to arbeidskravene, og dermed sikres at samtlige studenter gir tilbakemelding på hvordan deres læring har vært i de enkelte fagemne.

4 Vurderingsform

4.1 Mitt valg: Mappeevaluering

Etter nærmere 20 års erfaring med rene nettstudier, og da særlig rettet mot EVU-segmentet, anser jeg mappeevaluering som best egnet ut fra min undervisningsfilosofi, min bruk av studentaktiv undervisning (inklusive arbeid i virtuelle team) og min målgruppe (Profesjonelle yrkesutøver i full jobb, spredd ut over hele landet).

Mappevurdering er en arbeids- og vurderingsform som brukes mer og mer, og i stor grad erstatter tradisjonell skriftlig eksamen. Dette er en vurderingsform som betrakter studentenes arbeidskrav som en prosess, der målet er at kommentarene studenten får på ett arbeidskrav skal kunne videreutvikle deres læring til neste arbeidskrav (Dyste & Engelsen, 2005). Mappen blir dermed en samling studentarbeid gjort over tid, og tanken er at studentens egenaktivitet, refleksjon og selvvurdering blir fremtredende i denne prosessen. Innenfor mappevurdering vil særlig formativ vurdering vektlegges (Taasen, Havnes & Lauvås, 2004). Dette er underveisvurdering av et uferdig produkt, slik at vurderingen rettes mot studentens lærings- og utviklingsprosess frem mot det ferdige produktet.

Mappe er altså en form for pedagogisk dokumentasjon som både er foreleserstyrt og studentaktiv. Prosessens formål å beskrive og tydeliggjøre hva og hvordan studenten lærer, hvilke resultater han/hun vil oppnå samt hvilke tanker studenten gjør seg i forbindelse med egen læring og hvilken form for støtte fra foreleser det er behov for (Ellmin, 2001).

Det finnes ikke én bestemt måte å gjennomføre mappeevaluering på og vi kan si at denne vurderingsformen er et rammeverk som sier at studenten skal lære gjennom å produsere, og at det er studentens produksjon og læring som evalueres. Noen understreker at studenten må medvirke i valg av både innhold i mappen og kriterier for hva som skal velges ut til endelig vurdering (Taube, 1998), men i de nettbaserte studiene jeg har ansvar for har studentene ingen innflytelse over utvelgelse og begge arbeidskrav i hvert fagemne må leveres inn. Det studenten her kan velge er å enten benytte seg av forelesers veiledningskommentarer i sin helhet, eller delvis eller ikke i det hele tatt i sitt videre arbeid med besvarelsene fra veiledning til mappeinnlevering.

Som arbeids- og vurderingsform innebærer altså mappeevaluering et pedagogisk grunnsyn som nettopp vektlegger egenutvikling, selvstendighet og refleksjon. I IKT og Læringsstudiene skal samtlige arbeidskravsbesvarelser inneholde et refleksjonsnotat der studenten reflekterer over egen læringsprosess med det enkelte arbeidskrav. Dette er i tråd med Dysthe (2002) sine tanker der hun beskriver, blant annet, metakognisjonen som følge av selvrefleksjon som sentralt i mappemetodikken.

Siden vi her snakker om et rammeverk er det altså ikke slik at studenten nødvendigvis skal levere en fysisk mappe med produkter, ei heller en digital mappe med filer. «Mappe» i denne sammenhengen er ofte rett og slett et fastsatt antall obligatoriske arbeider og studentens arbeids- og læringsprosess med disse, som dokumenteres i form av besvarelser levert til veiledning og deretter til endelig evaluering.

Ved Nord universitet benyttes Canvas som LMS og Inspera som eksamenssystem. Mine studenter finner arbeidskrav og tilhørende fagstoff i det enkelte emnets Canvasrom, og leverer til veiledning via Canvas sitt oppgavesystem. Til endelig innlevering (mappestenging) benyttes Inspera.

En sentral del av min bruk av mappeevaluering har vært de individuelle tilbakemeldingene på hvert enkelt arbeidskrav. Siden 2019 har jeg også utviklet det jeg har valgt å kalle «generelle veiledninger» for enkelte arbeidskrav, der forventninger til studentene, generelle tips og råd om oppbygging av arbeidskravets analytiske del eller spesifikke tekniske tips og råd knyttet til eventuelle tekniske produkt, ol. er beskrevet. Disse veiledningene er også å regne som sensorveiledninger og gjøres tilgjengelig for studentene i Canvas med en gang den individuelle veiledningen starter.

En av studentene ved ORG5005 (våren 2022) sa det slik om de generelle veiledningsdokumentene tilknyttet de to arbeidskravene:

Dessuten vil jeg avslutningsvis understreke at det generelle veiledningsdokumentet tilknyttet arbeidskravet i stor grad har bidratt til eget læringsutbytte. Etter mitt syn er det et godt pedagogisk grep å gjøre dette tilgjengelig for studenter ved denne typen oppgaver. Selv om det ikke representerer en fasit, så bidro det i hvert fall for min del til at jeg ble pekt i riktig retning, samt i større grad forsto hensikten med læringsmålet og læringsutbyttet.

Er det så slik at enhver tilbakemelding i seg selv er grei nok og en mer enn tilstrekkelig for å løfte den enkelte student? I følge Hattie og Timperley (2007) er det ikke slik. For å dekke gapet mellom studentens faktiske forståelse og det mål jeg som underviser ønsker at de skal oppnå er det viktig at vurderingen treffer den kunnskap som allerede finnes hos studenten (Hattie & Timperley, 2007; Sadler, 2009).

Jeg har særlig jobbet mye med nettbasert etter- og videreutdanning for folk i full jobb. Disse er i hovedsak lærere, eller de jobber med ulike former for instruksjon (f.eks. befal i forsvaret, sivilforsvaret og politi) og internopplæring i egen virksomhet. Disse studentene har derfor stort sett en solid bakgrunn innen undervisning, slik at det blir viktig å formulere gode og utfordrende arbeidskrav som presser studentene ut av komfortsonen og inn i læringssonen. Shute (2008) peker på at når målet er  utfordrende nok til at studentene blir motivert til å jobbe, og både underviser og studenter føler en forpliktelse og mening med målet, da er kriteriene til stede for gode tilbakemeldinger.

Når jeg gir individuell tilbakemelding søker jeg alltid å peke på hva som er gjort, hva som kan gjøres bedre og hvordan studenten kan gå frem for å forbedre sin besvarelse frem mot mappestenging. Dette er i tråd med det Hattie & Timperley (2007, s. 88) omtaler som de tre sentrale spørsmål: Hvor vil jeg? (feed up), Hvordan komme dit? (feed back), Hva er neste skritt? (feed forward).

En student ved ORG5005 sa det slik om min veiledning i sitt refleksjonsnotat (2023):

Eg vart noko overraska over omfanget på tilbakemeldingane, men når eg las den siste samanfatta kommentaren forstod eg at rettleiinga vart gitt med slik omfang nettopp fordi eg hadde levert ei ganske fullstendig oppgåve i utgangspunktet, og at difor forbetringspunkta var for å løfte oppgåva til det høgaste karakternivå.

Mappeevaluering med klart definerte og faglig utfordrende arbeidskrav, etterfulgt av god veiledning, er etter min mening helt sentralt for å få til god studentaktiv undervisning i rene nettstudier.

4.2 Automatisk plagiatkontroll – En kilde til utfordringer

Som jeg påpeker i min pedagogiske mappe under «Vurderingsformer«, må en være oppmerksom på at ved mappeevaluering, der grundig veiledning er sentralt, vil den automatiske plagiatkontrollen i Inspera kunne vise høyere grad av likhet mellom besvarelsene enn ved andre, mer klassiske, vurderingsformer.

Dette spiller jo ingen rolle, siden man som underviser i denne type studier og med den innretning som her beskrevet, har inngående kjennskap til den enkelte students besvarelse og arbeidsprosess, og er dermed i stand til å luke ut eventuelle «fuskere» i veiledningsprosessen. Men i de 20 årene jeg har jobbet med rene asynkrone nettstudier for profesjonelle yrkesutøvere, er det ytterst sjeldent jeg har opplevd plagiat eller annen form for fusk. I de tilfeller denne problematikken har dukket opp, har det enten vært i form av for store avsnitt sitert fra fagstoffet eller at studenter (særlig fra masterdelen av lærerutdanningen) har samarbeidet om arbeidskravene.

I den senere tid har også studentenes mulige bruk av ChatGPT blitt et diskusjonstema, men som jeg viser til i mitt innlegg om Blooms taksonomi og ChatGPT, fungerer dette systemet dårlig for arbeidskrav som måler studentenes evner opp mot taksonomiens høyeste mål. (Se også ChatGPT – et taleført eksempel på kunstig intelligens)

Men siden ulike former for plagiat blir oppdaget allerede under veiledning, blir studentene det gjelder rettledet slik at arbeidet endres i mer individuell retning. I tillegg skal studentene levere refleksjonsnotat, der de må beskrive hvordan de har jobbet med arbeidskravene og dette sikrer også at de besvarelser som leveres kan vurderes opp mot den enkelte students faglige forståelse.

5 Avslutning

Dette innlegget er ikke ment som en «fasit» eller et forsøk på å slå fast en eller annen form for endelig sannhet. Dette er mine erfaringer dels basert på eget arbeid tilbake til 1996, men særlig mitt, og førsteamanuensis Beata Godejord sitt, arbeid med de to rene asynkrone EVU-nettstudiene IKT og Læring 1 og 2. Både antallet som gjennomfører, de ytterst begrense emneevalueringene (der scoren ligger på mellom 4 og 5 på det som angår organisering, formidling, veiledning og total fornøydhet) og refleksjonsnotatene viser at fokuset på arbeidskrav, veiledning og mappeevaluering er en suksess. Jeg ser samme tendens i MASIK-emnet ORG5005, både ut fra de individuelle refleksjonsnotatene og emneevalueringene.

Men det er ikke gitt at dette vil fungere for alle, eller for alle studieprogram og fagemner. Selv har jeg i hele mitt undervisningsvirke stort sett hatt ansvar for emner innen informatikk/informasjonsvitenskap-feltet der tradisjonen har vært å kombinere teori med praktisk arbeid (Learning by doing), og der bruk av det digitale i undervisningen har vært sentralt. Jeg er også sterkt influert av amerikanske undervisere bl.a. innen samfunnsinformatikk-feltet, og dette farger selvsagt mine holdninger. Min måte å tenke nettundervisning på er derfor ikke nødvendigvis ideelt for andre fagområder og emner.

Leseliste:

1. The Difference Between Emergency Remote Teaching and Online Learning
2. 5 differences between Online Learning vs Classroom Learning
3. Active Learning (Cornell University)
4. Active Learning Environment for achieving Higher-Order Thinking skills in Engineering Education
5. Reflection as a core student learning activity in higher education – Insights from nearly two decades of academic development
6. Kvalitet i nettundervisning – en veileder
7. KOLT sin blogg om læring og teknologi
8. Digital undervisning og verktøy (Nord universitet)
9. Nettbasert undervisning (NTNU)
10. Ulike artikler om digital undervisning fra Khrono

KILDER

1. Dysthe, Olga & Engelsen, Knut Steinar (2005). Mapper som pedagogisk redskap. Perspektiver og erfaringer. (2. utg.) Oslo: Abstrakt forlag.
2. Dysthe, O (2002) Digital portfolios as a learning tool in teaching education in Norway
3. Ellmin, Roger (2000). Praktiske tips for gjennomføringen av mappemetodikk
4. Hattie, John & Timperley, Helen (2007). The power of feedback. Review of Educational Research, 77 (1), 81-112.
5. Hattie, John & Yates, Gregory (2014). Synlig læring. Hvordan vi lærer. Oslo: Cappelen Damm.
6. Shute, Valerie J. (2008). Focus on Formative Feedback. Review of Educational Research, 78 (1), 153-189.
7. Taasen, Inger, Havnes, Anton & Lauvås, Per (2004). Mappevurdering. Av og for læring. (1.utg.). Oslo: Gyldendal Akademisk forlag.
8. Taube, Karin (1998): Mappevurdering – undervisningsstrategi og vurderingsredskap. Oslo, Tano-forlaget

En krimhistorie første gang utgitt i 128 sider om PC-sikkerhet – og mysteriet med de forsvunne filer, TAPIR, 2002. Her kommer historien i sin opprinnelige form, som en uhøytidelig påskekrim i Knut Gribb stil om skumle IT-kriminelle hendelser. Historien er ikke bare et forsøk på å anskueliggjøre IT-kriminalitet (hvert krimkapittel fulgte et fagkapittel), men også en hyllest til NRK Radioteaterets krimhørespill og da særlig Paul Temple og Gregory-saken, samt den uforlignelige Knut Gribb. Akkurat som Knut Gribb-historiene er noe utdatert i dagens virkelighet, så er også en del av det som beskrives her mer i tråd med verden anno 2002 enn dagens digitale hverdag. Men hovedelementene er like reelle. God påske!

Hillman Cox,
Hotel Nacional de Cuba,
Havana, påsken 2023

Prolog

1. Kapittel De tapte filer
2. Kapittel Virusangrepet
3. Kapittel Den falske frykt
4. Kapittel De biometriske voktere
5. Kapittel En snok i kabelen
6. Kapittel De usynlige spor
7. Kapittel To skudd i natten
8. Kapittel Oppgjøret
9. Kapittel Dødsengelen

Epilog

I Norge er det tradisjon for å lese krimbøker i påsken, men dagens heldigitale nettverksbaserte mediehverdag innbyr til krimstudier hele året.

Sosial manipulering, også kjent som «social engineering», er en teknikk som brukes av kriminelle for å lure folk til å gi fra seg sensitiv informasjon. Denne teknikken bruker menneskelige psykologiske svakheter til å få folk til å utføre handlinger som kan føre til sikkerhetsbrudd.

Selv om det kan virke som om dette er en trussel som bare gjelder store bedrifter eller regjeringer, er det faktisk en risiko for alle som bruker internett eller digitale enheter. Derfor er det viktig å forstå hva sosial manipulering er og hvordan man kan beskytte seg mot det.

Hvordan fungerer sosial manipulering?

Sosial manipulering kan skje på mange forskjellige måter, men alle har til felles at de involverer å manipulere folks følelser og handlinger for å få tilgang til sensitiv informasjon. Her er noen eksempler på teknikker som kan brukes:

1. Falsk autoritet: En person utgir seg for å være en autoritet eller en ekspert på et område, og ber om sensitiv informasjon eller adgangskoder. Dette kan være alt fra en «IT-tekniker» som ber om å få fjernstyre datamaskinen din til en person som utgir seg for å være fra banken din og ber om kontoopplysninger.
   
2. Phishing: Dette er når en person sender en e-post eller en melding som ser ut som om den kommer fra en legitim kilde, som banken din eller en populær nettside. Meldingen vil vanligvis be deg om å klikke på en lenke eller å gi fra deg sensitiv informasjon.
   
3. Preteksting: Dette er når en person skaper en falsk situasjon eller historie for å lure deg til å gi fra deg sensitiv informasjon. For eksempel kan noen utgi seg for å være fra en veldedig organisasjon og be om kredittkortopplysningene dine for en donasjon.
   
4. Trusler: En person kan true med fysisk eller økonomisk skade hvis du ikke gir fra deg informasjonen de ber om. Dette kan være alt fra en person som truer med å slette dataene dine til en person som truer med å publisere private bilder eller videoer.

Hvordan kan du beskytte deg mot sosial manipulering?

Det er noen enkle trinn du kan ta for å beskytte deg mot sosial manipulering:

a) Vær skeptisk til alle forespørsler om sensitiv informasjon. Hvis noen ber om kredittkortopplysningene dine eller passordene dine, bør du alltid være forsiktig.

b) Verifiser alltid at den som ber om informasjonen faktisk er en legitim kilde. Hvis noen ber om informasjon på vegne av banken din eller en annen organisasjon, bør du alltid dobbeltsjekke at de faktisk jobber der.

c) Vær forsiktig med å klikke på lenker eller åpne vedlegg i e-poster eller meldinger. Dette kan være en måte å spre skadelig programvare eller å få tilgang til sensitiv informasjon.

d) Bruk sterke passord og endre dem jevnlig. Dette vil gjøre det vanskeligere for en angriper å få tilgang til kontoene dine selv om de skulle få tak i passordet ditt.

e) Hold programvaren din oppdatert. Oppdateringer inneholder ofte sikkerhetsfikser som kan beskytte mot kjente sårbarheter og angrep.

f) Bruk tofaktorautentisering der det er mulig. Dette legger til en ekstra sikkerhetsfaktor ved å kreve at du oppgir en kode som sendes til telefonen din i tillegg til passordet ditt.

g) Vær forsiktig med hva du deler på sosiale medier og andre nettsteder. Jo mer informasjon du deler offentlig, jo lettere kan det være for noen å utnytte denne informasjonen til å lage en troverdig pretekst eller phishingsvindel.

Og her passer det å stoppe opp litt.

Fra og med 2008 begynte nordmenn flest å benytte sosiale medier, og fra 57 prosent i 2011 har antallet brukere vokst til 88 prosent i 2022. En undersøkelse fra Ipsos i 2022 viser at blant befolkningen generelt (alle over 18 år) sier 80% at de bruker sosiale medier daglig. 91 % bruker sosiale medier minst ukentlig.

18% av den voksne befolkningen har sosiale medier som sin viktigste nyhetskilde, for 9–18-åringer er sosiale medier og tv de vanligste kanalene for nyhetsoppdatering: 88 prosent får med seg nyheter fra sosiale medier. Snapchat, TikTok og YouTube er de sosiale mediene en høyest andel 9–18-åringer får med seg nyheter fra. Samlet sett får 66 prosent med seg nyheter fra Snapchat, 65 prosent fra TikTok og 62 prosent fra YouTube.

Ut fra statistikken er det lett å skjønne at sosiale medier kan være et godt verktøy for sosial manipulasjon. La oss se litt på dette med TikTok som eksempel.

TikTok er en populær sosial medieplattform som lar brukere dele korte videoer med hverandre. Som med mange andre sosiale medieplattformer, kan TikTok også være sårbar for sosial manipulering.

En av måtene TikTok kan brukes til sosial manipulering er gjennom en teknikk som kalles «influencer impersonation». Dette er når en person oppretter en falsk konto som utgir seg for å være en kjent influencer eller kjendis og sender direktemeldinger til følgere. Disse direktemeldingene kan be om sensitiv informasjon som passord eller personlig informasjon eller oppfordre brukerne til å klikke på en lenke som fører til en ondsinnet nettside.

En annen måte TikTok kan utnyttes til sosial manipulering er gjennom «deepfakes». Dette er når en person bruker kunstig intelligens for å lage en falsk video som kan være vanskelig å skille fra ekte videoinnhold. Disse falske videoene kan brukes til å spre desinformasjon eller for å lage en troverdig pretekst for phishingangrep.

For å beskytte seg mot sosial manipulering på TikTok og andre sosiale medieplattformer, er det viktig å være skeptisk til forespørsler om sensitiv informasjon og å verifisere kilder. Det er også viktig å være forsiktig med å klikke på lenker og å bruke sterke passord og tofaktorautentisering.

Konklusjon

Sosial manipulering er en reell trussel for alle som bruker internett og digitale enheter. Det er derfor viktig å være bevisst på denne trusselen og ta enkle grep for å beskytte deg mot den. Ved å være skeptisk til forespørsler om sensitiv informasjon, verifisere kilder, være forsiktig med å klikke på lenker og ved å bruke sterke passord og tofaktorautentisering, kan du redusere risikoen for å bli offer for denne type kriminell virksomhet.

Lesestoff

1. Advanced social engineering attacks
2. Social Engineering and Data Privacy
3. Platforms as phish farms: Deceptive social engineering at scale
4. The Social Engineer Blog
5. Attackers lure users to install malware via TikTok challenge

Jeg har, som de fleste av mine kolleger, hatt fokus på å formidle min undervisningsforskning i internasjonale publikasjoner og ved internasjonale konferanser. Men jeg har også utviklet en internasjonal fagmodul (delvis i tråd med det som nå kalles «Collaborative Online International Learning«), utviklet digital undervisningsressurs til bruk for PhD-studenter ved Rob Kling Center for Social Informatics (Indiana University) og bidratt til seminar i Polen knyttet til overgrep mot barn og unge på Internett og forelest for Polske MBA og PhD-studenter innen fagområdene IT-kriminalitet og IT-etikk. Jeg har også vært, og er fortsatt, involvert i internasjonalt fagfellearbeid. 

Internasjonal fagmodul – Virtuell utveksling

Modulen IT103 – ICT in society and working life  fra det nettbaserte (asynkrone) studiet IKT og læring 1 (HiNe). Utviklet første gang i 2006 i samarbeid med førsteamanuensis Beata Dziedzic (nå Godejord) ved Universitetet i Zielona Gora, Polen. Deretter videreutviklet, og utvidet, i 2009.

Polske MBA-studenter fra UZG jobbet med arbeidskrav knyttet til Prosjekt Gå inn i din tid, sammen med norske lærere og lærerstudenter. Språk: Engelsk.
Dette var det første, og så vidt jeg vet, eneste eksempelet ved HiNe på virtuell utveksling av studenter og forelesere under en formell paraply.

Det digitale «klasserommet» var i LMSet Moodle og prinsippene for undervisningen var den samme som for de to EVU-studiene IKT og læring 1 og 2; dvs. asynkront, omfattende arbeidskrav som krevde aktiv studentinvolvering og innlevering av besvarelser til indviduell veiledning for endelig eksamensinnlevering (mappestenging).

Noen av de polske studentene tok erfaringene fra dette studiet med seg ut i lokale skoler. Masterstudent Agnieszka Konieczna fra UZG deltok også med sitt ene arbeidskrav i heftet «Kids and Internet/ Barn og Internett – A Polish-Norwegian look at the digital world of kids/ Et Polsk-Norsk blikk på barn og unges digitale hverdag«, s. 99.

IT103 var internasjonal modul frem til HiNe gikk inn i Nord universitet, og i tillegg til polske studenter hadde vi også spanske studenter. Disse studentene var stort sett master-studenter, men en og annen PhD-student deltok også.

Ingen av studentene møtte hverandre fysisk, og de jobbet med arbeidskravene utelukkende via Moodle.

Master-student Agnieszka Konieczna, Department of Media and Information Technology, University of Zielona Gora, i samtaler med elever ved barneskole nr.  7 i Zielona Gora. Tema: Hva er Internett og hvilke farer lurer der. Temaet var basert på et arbeidskrav fra Dr. Beata Dziedzic, som del av Prosjekt Gå inn i din tid.

Internasjonalt seminar

Som del av Prosjekt Gå inn i din tid bidro jeg til et seminar arrangert av Universitetet i Zielona Gora, under ledelse av  Professor Dr. hab. Marek Furmanek og førsteamanuensis Beata Dziedzic, om overgrep mot barn og unge på Internett, med deltakere fra både UZG, nasjonale organ og det lokale politiet.

En av førsteamanuensis Beata Dziedzic sine Masterstudenter fra Universitetet i Zielona Gora fremlegger sine tanker fra arbeidet med problemstillinger gitt i IT103-ICT in society and working life. Kids Digital World – 1th Polish “Getting Involved”-Seminar, 2007

I møte med politikommisar Mariusz Olejniczak, leder for Section for Prevention, lokalpolitiet i Zielona Gora, etter det polske Gå inn i din tid-seminaret.

Digitale undervisningsmedier

Internasjonal samfunnsinformatikkblogg, 2007. Bloggen ble tatt inn som del av aktivitetene til doktorgradsstudenter ved Rob Kling center for Social Informatics, Indiana University. I 2010 ble min Samfunnsinformatikk-Wiki fagfellevurdert og inkludert i Intute sin oversikt over utdannings- og forskningsressurser innen samfunnsvitenskapelige emner.

Internasjonal undervisning

Forelesninger for MBA– og PhD-studenter ved Universitetet i Zielona Gora og Universitetet i Szczecin.

Forelesning om ulike trusler i digitale medier for Master-studenter ved Institutt for Media og Informasjonsteknologi, Universitetet i Zielona Gora, Polen (2008)

Forelesning for masterstudenter ved Universitetet i Zielona Gora i faget «Pedagogiske trusler i media», 28. September 2007

Deltagelse i internasjonale forskningsgrupper

1. Internasjonal forskningsgruppe MILAGE  (2015-2018),
   Deltakerland: Portugal, Spania, Tyrkia og Norge
   Internasjonalt prosjekt: MILAGE  (2015-2018)
   Prosjektleder/ forskningsgruppeleder: Professor Mauro Figueiredo, Universidade do Algarve (UdA), Portugal
   
2. Internasjonal forskningsgruppe ICTinED  (2012 – 2020)
   Deltakerland: Polen, Tsjekkia, Slovakia, Ungarn og Norge
   Internasjonalt prosjekt: ICT in Educational Design – Processes, Materials, Resources (2012-2020)
   Prosjektleder/ forskningsgruppeleder: Professor Eunika Baron-Polańczyk, Uniwesytet Zielonogórski (UZ), Polen
   
3. Internasjonal forskningsgruppe Getting Involved (2006/07 – 2008). Deltakerland: Norge og Polen
   Lokalt (med noe nasjonalt og internasjonalt samarbeid) prosjekt: Gå inn i din tid/ Getting Involved (2006/07 – 2009)
   Prosjektleder: Førstelektor Per A. Godejord, Høgskolen i Nesna
   

Internasjonalt fagfellearbeid

1. Journal of Information Technology Education: Innovations in Practice (JITE:IIP). On the Review Board since January 2015
2. International Journal on E-Learning (IJEL). On the Review Board since 25.10.2015
3. On the list of foreign reviewers for Problemy Profesjologii, Poland, 2012 -2018
4. International Journal of Technoethics, (Review Board) 2010-2018
5. Journal of Interactive Learning Research (JILR). On the Review Board from 2015 to 2018
6. Reviewer of InSITE 2016. Accepted as reviewer November 2015.
   Certificate of Appreciation, 2016.
7. Journal of Online Learning Research. On the Editorial Review Board from 08.12.2015 to 2019
8. Paper Reviewer Committee Member, ICCSEAS 2016.
9. Member of the International Scientific Committee, ICGIS 2016 : 18th International Conference on Geographic Information Science, San Francisco, USA, September 26 – 27, 2016
10. Reviewing articles published in the monograph «ICT in Educational Design – Processes, Materials, Resources», Book 1 (ISBN: 978-83-7481-479-9) and Book 2 (978-83-7481-480-5), University of Zielona Góra Publishing House, 2012.

Informasjonssikkerhet er en kritisk faktor i dagens heldigitale samfunn. Med økende avhengighet av digitale plattformer og tjenester, er det viktigere enn noensinne å forstå de grunnleggende prinsippene for sikkerhet på nettet.

Dataspill har i økende grad blitt brukt for å gi en engasjerende og interaktiv læringsopplevelse som kan hjelpe studenter innen sikkerhetsfag til bedre å forstå ulike informasjonssikkerhetskonsepter. De tilbyr studentene en interaktiv opplevelse som gir dem mulighet til å lære ved å gjøre, i stedet for kun passivt motta informasjon. Dette aktiverer en dypere forståelse og engasjement, som er avgjørende for læring. Internasjonale studier viser da også at dataspill kan bidra til å forbedre studenters kunnskaper, ferdigheter og holdninger til cybersikkerhet.

Mange dataspill tilbyr realistiske simuleringer av situasjoner som involverer informasjonssikkerhet. Spill som f.eks. «Watch Dogs» gir spilleren muligheten til å utforske de ulike aspektene av hacking og digitale trusler i et kontrollert miljø, og dermed kan spilleren oppleve konsekvensene av dårlig sikkerhetspraksis uten faktisk risiko. Ved å spille slike spill kan studenter forstå hvordan angripere opererer og hvilke skader de kan forårsake, noe som er avgjørende for å utvikle en sterkere sikkerhetsbevissthet.

Et av flere dataspill som har blitt brukt i informasjonssikkerhetsundervisning internasjonalt er «Hacknet«, som er et terminalbasert hackingspill. En studie av (Gee et al. 2018) fant at å spille spillet «Hacknet» forbedret både studentenes kunnskap og ferdigheter innen cybersikkerhet, og deres holdning til cybersikkerhet. Et annet eksempel er «CyberCIEGE«, et spillbasert læringsverktøy utviklet av National Cyber-Forensics and Training Alliance (NCFTA), som lærer spillerne hvordan de skal identifisere og reagere på cybertrusler. En studie av (Rochelle et al. 2017) fant at bruk av «CyberCIEGE» i forelesningene førte til betydelig økning i studentenes kunnskap om cybersikkerhet.

Selv har jeg benyttet meg av spill-lignende tester som «Nettfiske-test – Er du smartere enn en nettsvindler?«, «Hvor utsatt er du for ID-tyveri?» og mer rendyrkede dataspill som «The Weakest Link: A user security awareness game«, «The Missing Link» og «Cyber Awareness Challenge 2019» i mine sikkerhetsemner.

I 2004 utførte Mitchell og Savill-Smith en litteraturstudie som viser at bruk av dataspill i opplæring kan gi positive læringseffekter, om spillet er designet riktig (2004). Disse funnene er bekreftet også i sener studier (Alotaibi, Furnell, Stengel, & Papadaki, 2016; Ariyapperuma & Minhas, 2005).

Aloraibi et al. (2016) pekte i sin tid på at det fortsatt var et stort behov for flere studier på området, da det er få spill for profesjonelle aktører rettet mot spesifikke sikkerhetstrusler. Dette behovet er stadig tilstede, og man kunne ha ønsket en større utvikling av dataspill innen informasjonssikkerhet, både nasjonalt og internasjonalt. Funnene til Aloraibi et al. (2016) indikerer at viktige faktorer for at dataspill skal fungere er at de møter brukernes behov, er engasjerende og tar høyde for forskjellig livsstil og kultur.

Andre som også har pekt på at dataspill for å skape sikkerhetsbevissthet fungerer er Mitchell & Savill-Smith (2004), og de peker på at dataspill fungerer fordi de skaper engasjement. De peker videre på ytterligere suksessfaktorer, blant annet at spillene må være av høy kvalitet, underholdende, enkle i bruk, varierte i oppgaver og kompleksitet, tilpasset brukeren og det spesifikke problemområdet eller ferdigheten som skal øves. Avslutningsvis mener de at utdanningsspill må bygge på de samme prinsippene, og være av samme kvalitet, som kommersielle underholdningsspill. Dette er en stor utfordring, da det er en helt annen økonomi i utvikling av underholdnings- enn undervisningsspill.

Ut fra mitt ståsted er de to største utfordringene at de dataspill som er gratis tilgjengelig innen informasjonssikkerhet ikke speiler norsk kultur og i altfor stor grad mangler de kommersielle underholdningsspillenes kvalitet. Til tross for dette viser tilbakemeldingene fra mine studenter i IKT1013-Grunnleggende informasjonssikkerhet og ORG5005-Digital beredskap at dataspillene benyttet i arbeidskravene ved disse sto emnene gir verdifulle refleksjonspunkter.

Her er et knippe studentrefleksjoner, som vil være del av en kommende artikkel fra førsteamanuensis Beata Godejord og undertegnede om bruk av dataspill som læringsverktøy innen informasjonssikkerhets-bevisstgjøring (17th European Conference on Games Based Learning).

«Etter å ha spilt disse spillene, sitter jeg egentlig ikke igjen med noen ny lærdom. Men det skal sies at her handler det kanskje mer om å bli litt mer bevisst rundt sin egen sikkerhet og det føler jeg at jeg har blitt.»
– Student IKT1013, 2022

«The Weakest Link: A user security awareness game fikk meg til å reflektere rundt hvilket ansvar jeg som bruker og arbeidstaker har.»
– Student IKT1013, 2022

«Jeg blitt mer bevist hvilke tilganger jeg gir appene på smartmobilen min. Jeg har begrenset tilgang til posisjonstjenester, kontaktliste, anropsliste og mikrofon, for flere apper jeg mener ikke behøver det. Når det gjelder passord har jeg også tatt i bruk Apple sin nøkkelring, som foreslår kompliserte passord når jeg må opprette nye passord for ulike tjenester. Jeg har også aktivert to-faktor-autentisering.»
– Student IKT1013, 2022

«Spillene/testene har fått meg til å reflektere rundt egen kunnskap om sikkerhet og trygghet på nett. Jeg kjenner jeg er mer digital trygg etter å ha gjennomført testene/spillene enn hva tilfellet var før.»
– Student IKT1013, 2022

«Jeg er nå enda mer opplyst på hva jeg bør gjøre og hva jeg ikke bør gjøre etter å ha utført spillene.»
– Student IKT1013, 2022

«Min sikkerhetsbevissthet har blitt bedre etter at jeg utførte testene/spillene.»
– Student IKT1013, 2022

«Etter å ha gjennomført disse testene og spillene har jeg innsett at jeg kanskje kunne vært et offer for svindel likevel.»
– Student IKT1013, 2022

«Spill gir på en enkel måte søkelys på beredskap og sikkerhet innenfor digitale trusler og bidrar å modne bevisstheten. Sammenhengen digital fagteori, spill og øvelser er en fin måte å oppnå sikkerhetskultur på.»
– Student ORG5005, 2022

«Da jeg kom til gjennomføring av selve spillene erfarte jeg dette som et positivt avbrekk, samtidig som jeg lærte en god del av egne feil. At spillene var koblet til teori innenfor sosial manipulasjon forsterket læringen.»
– Student ORG5005, 2022

«Jeg valgte å ha en kritisk tilnærming til spill som metode og konteksten de skal brukes i. Jeg vil allikevel poengtere at jeg for min egen del hadde stort utbytte av å spille. Ved å spille satt jeg igjen med økt overvåkenhet, med tanke på metoder som kan benyttes for å avdekke forsøk på svindel.»
– Student ORG5005, 2022

«Spille seg til kunnskap syns jeg er et pedagogisk virkemiddel som virkelig treffer godt i forbindelse med bevissthet rundt digital sikkerhet. Jeg har opplevd som sikkerhetsoffiser at det kan være utfordrende nok å få personell i organisasjonen til å lese, sette seg inn i og følge opp instrukser og regelverk.»
– Student ORG5005, 2022

I inneværende semester (Vår 2023) blir studentene ved ORG5005 presentert for spillet «Cybersecurity Ops Terminal«, som erstatter «Nettfiske-test – Er du smartere enn en nettsvindler?». Dette spillet har en større grad av «dataspill-følelse» enn nettfiske-testen, som er mer en test enn et rent dataspill.
(I løpet av sommeren 2023 forsvant spillet fra IBM sine websider, og jeg utforsker nå det amerikanske forsvarsdepartementets onlinespill «Cyber Mission 2020«).

For flere av mine tanker om bruk av dataspill se Mine studenters bruk av digitale verktøy, samt «Fra enkeltverktøy til helhetlig digital mediehverdag – Historie, statistikk og angrepsscenarioer som del av studentaktiv læring.

Dataspill kan altså være et kraftig verktøy for å øke studenters bevissthet om informasjonssikkerhet. De tilbyr realistiske scenarier, muligheten til å lære gjennom feil, engasjement gjennom konkurranser og en plattform for samarbeid og teamarbeid. Integreringen av dataspill i utdanningsprogrammer kan være en innovativ tilnærming for å sikre at fremtidige generasjoner er bedre forberedt på å håndtere informasjonssikkerhetstrusler i en heldigital verden.

Your abstract entitled: Computer Games as a Pedagogical Tool for creating Cyber Security Awareness has been selected for submission as an academic paper at ECGBL, 17th European Conference on Games Based Learning, 5 - 6 October 2023, Enschede, Netherlands.

Presenteres virtuelt.

Litteratur

Alotaibi, Faisal & Furnell, Steven & Stengel, Ingo & Papadaki, Maria. (2016). A Review of Using Gaming Technology for Cyber-Security Awareness. International Journal for Information Security Research. 6. 10.20533/ijisr.2042.4639.2016.0076.

Ariyapperuma, S. and Minhas, A. (2005), «Internet security games as a pedagogic tool for teaching network security,» Proceedings Frontiers in Education 35th Annual Conference, Indianopolis, IN, USA, 2005, pp. S2D-1, doi: 10.1109/FIE.2005.1612218.

Gee, J. P., & Beavis, C. (2018). The Impact of Playing Hacknet on Cybersecurity Knowledge, Skills, and Attitudes. International Journal of Gaming and Computer-Mediated Simulations, 10(3), 1-10.

Mitchell, A., & Savill-Smith, C. (2004). The use of computer and video games for learning: A review of the literature. Learning and skills development agency.

Rochelle, L., & Brudvik, J. (2017). The Impact of Game-Based Learning on Cybersecurity Knowledge and Attitudes. Journal of Cybersecurity Education, Research and Practice, 2(1), 1-7.

I januar 2023 hadde jeg gleden av å forelese for staben ved Nord-Trøndelag Sivilforsvarsdistrikt, over temaet informasjonssikkerhet. I det følgende gjennomgår jeg noe av det jeg snakket om.

Det er storkrig på det europeiske kontinentet og som NATO-land er Norge indirekte involvert i form av både militær og humanitær støtte til Ukraina. Og det skulle da også bare mangle at vi ikke er med å støtte et fritt lands forsvarskamp mot den brutale diktaturstaten Russland.

Til tross for at vi står i den mest alvorlige sikkerhetspolitiske situasjonen siden andre verdenskrig, er det foreløpig lite å frykte fra Russland militært. Men på en annen arena derimot er det atskillig grunn til bekymring.

Digital teknologi har aldri vært så integrert i våre daglige liv som det er i dag, og med økte digitale aktiviteter kommer økt behov for å beskytte den informasjon vi har lagret både i den berømmelige «skyen» og på våre enkelte digitale enheter.

Vi har med stormskritt gått fra en situasjon der datamaskiner og internasjonale digitale nettverk var «begrensede» verktøy til en situasjon der vi i større eller mindre grad har integrert våre (og våre barn og ungdommers) personlige liv; – Fra kjøleskap, biler, dørlåser, husalarm, strømforbrukskontroll, personlig helse og trening, underholdning, informasjon, kommunikasjon, banktjenester, etc. – og vårt arbeidsliv – i en helhetlig digital nettverksbasert mediehverdag.

  Vår helhetlig digitale mediehverdag

En rekke av bruksområdene nevnt over er ofte knyttet sammen i det mange litt naivt kun ser på som en «telefon».

Datakriminalitet er ikke noe nytt og har lenge vært et økende problem, og vi ser stadig mer avanserte angrep rettet mot både enkeltpersoner og bedrifter. Datakriminelle stjeler sensitiv informasjon, låser tilgang til virksomheters egne datasystem og skader bedrifters omdømme. Og det er heller ikke noe nytt i at statlige aktører knyttet til autoritære regimer, aktivt søker etter informasjon eller ønsker å destabilisere digital infrastruktur.

De fleste større virksomheter har investert store summer i tekniske beskyttelsestiltak, og det er det reneste «våpenkappløpet» mellom statlige eller kriminelle hackere og offentlige- og private virksomheter. Denne stadige styrkingen av datasystemer fører til et økende fokus på den enkelte databruker. Dette betyr at vi databrukere, som nå indirekte befinner oss i en krigssituasjon, må være atskillig mer proaktiv i å beskytte våre digitale enheter enn tidligere. Og de av oss som jobber med beredskap må være ekstra observante, siden vi kan regne med å være i «skuddlinjen» for FSB og GRU sine hacker-enheter.

Hver og en av oss er med andre ord i frontlinjen i en pågående digitale krigføring, og bør følgelig øke aktiviteten for å beskytte oss selv og våre digitale enheter.

Her er noen av de grep DU bør foreta nå, om du ikke allerede har gjort det:

Bruk sterk passord
Et sterkt passord er en av de enkleste og viktigste metodene for å beskytte informasjonen din. En sterk passord bør inneholde en kombinasjon av store og små bokstaver, tall og spesialtegn, og bør være minst 12 tegn langt. Unngå selvfølgelig å bruke enkle ord som «passord» eller «123456», og unngå å bruke samme passord for flere kontoer. Bytt passordene dine regelmessig. Dette hindrer angripere fra å misbruker dine gamle passord, selv om de får tak i dem.

Bruk to-faktor autentisering
To-faktor autentisering gir et ekstra sikkerhetslag ved å kreve bekreftelse av identiteten din ved hjelp av en annen enhet, som en mobiltelefon, i tillegg til passordet ditt. To-faktor autentisering er tilgjengelig for en rekke nettbaserte tjenester, inkludert e-postkontoer, sosiale medier og bankkontoer. Hvis du har muligheten, bør du aktivere to-faktor autentisering for alle kontoene dine.

Hold deg oppdatert med sikkerhetspatcher og programvareoppdateringer
Det er viktig å holde programvaren din oppdatert for å forhindre at den blir utsatt for kjente sårbarheter. Dette inkluderer alt fra operativsystemer til nettlesere, verktøylinjer, programmer og mobilapper. Bedrifter og utviklere jobber kontinuerlig for å oppdage og fikse sårbarheter, og ved å installere de nyeste sikkerhetspatchene og oppdateringene, beskytter du deg mot potensielle angrep.

Vær forsiktig med hva du deler på sosiale medier og andre nettsteder
Vær nøye med hva du deler på internett, spesielt sårbare opplysninger som bankkonto- og kredittkortinformasjon, passord og personlige opplysninger. Ikke gi ut denne informasjonen selv om du blir bedt om det på telefon eller e-post, med mindre du har sjekket identiteten til den som ber om informasjonen.

Vær varsom med hvilke apper du installerer på din mobiltelefon
De mobiltelefonene det store flertallet av oss har med oss over alt alltid er ikke «bare» en telefon, det er en datamaskin. Og i de fleste tilfeller er det en vid åpen dør inn til vår digitale informasjonssamling. Det finnes få apper som er laget av idealister kun for å spre glede og kunnskap. Så og si samtlige er laget kun for et eneste formål; å selge oss tjenester og bruke vår personlige informasjon for enten å spisse salg mot oss eller selge den videre til andre aktører. Noen av disse appene kan ha direkte forbindelse til fiendtlige lands etterretningstjenester, så hører du til de som jobber med beredskap bør du virkelig studere grundig de apper du har på din mobiltelefon

Bruk sikker tilkobling når du er på internett
Når du er ute på nettet, er det viktig å bruke en sikker tilkobling for å beskytte informasjonen din. HTTPS-protokollen gir en sikker tilkobling ved å kryptere informasjonen som sendes mellom nettleseren og nettsiden du besøker. Se etter «https://» i adresselinjen når du besøker en nettside, og unngå å gi ut sensitive opplysninger på nettsider som ikke har en sikker tilkobling.

Ikke åpne tvilsomme e-post og vedlegg
Phishing-angrep kan være svært sofistikerte og ligne legitime e-poster fra kjente kilder. Ikke åpne e-post eller vedlegg fra sendere du ikke kjenner, spesielt hvis de inneholder mistenkelige vedlegg eller lenker. Hvis du mottar en e-post som ser mistenkelig ut, sjekk senderens e-postadresse nøye og kontakt avsender direkte for å bekrefte om e-posten er legitim.

Bruk antivirus- og brannmurprogramvare
Antivirus- og brannmurprogramvare hjelper med å beskytte datamaskinen din mot skadelig programvare og angrep. Antivirus-programvare beskytter mot virus og malware, mens brannmur beskytter mot uønskede tilkoblinger til datamaskinen din. Sørg for å oppdatere antivirus- og brannmurprogramvaren regelmessig for å beskytte deg mot de nyeste truslene. Og nei, Apple-brukere er ikke unntatt fra å ha eget antivirusprogram på sine digitale enheter. Tro aldri at produsentene av dine digitale enheter har gjort arbeidet for deg. Det er kun du som er ansvarlig for sikkerheten for dine digitale enheter.

I krigstid er informasjonssikkerhet viktigere enn noen gang og ved å følge de enkle trinnene nevnt over kan du beskytte deg selv og derigjennom din arbeidsgiver mot potensielle angrep.

Vi er alle en del av samfunnets frontlinje i kampen både mot datakriminelle og FSB og GRU sine hackere, så la oss ta et tak sammen for å sikre at den digitale informasjonen vårt samfunn er avhengig av forblir sikker og beskyttet.

Vi lever i tredje verdenskrig nå. 
- Hans-Petter Nygård-Hansen

Siden jeg fra mitt hovedfagstema, via min jobb som IT-sjef med sikkerhetsansvar, til fagansvar for IT-sikkerhetsemner, i hovedsak har jobbet med informasjonssikkerhet, er min SMART-telefon fri for alle apper tilknyttet sosiale medier, helseinformasjon ol. I tillegg er telefonen innstilt på sikkerhetsmodus (noe som i seg selv kan innebære sikkerhetsutfordringer), VPN benyttes selvsagt og blåtann er alltid avslått.
Når jeg bruker Facebook (lukket versjon) eller Twitter er dette alltid fra stasjonær PC, og aldri fra SMART-mobil.

Samtidig har jeg i mitt undervisningsvirke fulgt fremveksten av sosiale medier  (eller Web 2.0 som det en gang ble kalt) og utforsket de ulike verktøyene i undervisningsøyemed så snart de dukket opp. Uten om det rent undervisningsmessige, er jeg særlig interessert i sosiale medier som PSYOP-, og SOCMINT-verktøy og her er TikTok absolutt interessant, på lik linje med andre sosiale medier.

TikTok er et kinesisk sosialt nettverk der brukerne kan dele korte selvlagete videoer. Det vanligste som deles er videoer med sang-miming, humor, dansing, matlaging eller andre oppvisninger av ymse talenter. Nettverket eies av det kinesiske selskapet ByteDance i Beijing, som ble startet i 2012 av Zhang Yiming. I og for seg et verktøy for uskyldig moro, men i den digitale krigen mellom det liberale vesten og diktaturstater er dette også et verktøy med en mørk bakside.

TikTok  er blant de sosiale medier der den høyeste andel 9–18-åringer får med seg nyheter fra. Samlet sett får 65 prosent av denne aldersgruppen sine nyheter fra TikTok og det at så mange unge nå benytter TikTok som søkemotor har vekket uro.

Selv har jeg altså benyttet meg av ulike sosiale medier i undervisningsøyemed siden de dukket opp, men etter mange år som underviser innen IKT-sikkerhet er TikTok en app jeg bevisst har holdt meg unna.

En skisse som viser hva TikTok får tilgang til på mobiltelefonen til de som har denne kinesiske appen installert (klikk på bildet for større versjon) gir en utmerket illustrasjon på hvorfor.

MEN så er det viktig å huske på at det å se på, eller skape, videoer i denne kinesiske appen avslører først og fremst personlige preferanser og holdninger, som ikke nødvendigvis utgjør en sikkerhetsrisiko (men selvsagt interessant ut fra et  SOCMINT-perspektiv). Gir man derimot appen tilgang til kamera, mikrofon, mediabibliotek eller kontaktlister, er sikkerhetsrisikoen større.

Og så må vi heller ikke overfokusere på en bestemt app, men ha i mente at det er den totale mengden av apper vi mer eller mindre bevisst har installert på de små datamaskinene vi litt naivt ser på som kun en telefon som utgjør en risiko.

Oppdatering april 2023

I løpet av mars/april 2023 har vi sett et «ras» av institusjoner/ organisasjoner som forbyr bruk av TikTok og det russiske Telegram på mobile enheter finansiert av arbeidsgiver. Selv om jeg til tider er noe paranoid, og er en sterk motstander av brutale diktaturstater som Kina og Russland, så er jeg ingen uforbeholden tilhenger av denne type reaksjoner. Det er lett å rope opp om forbud; forbud mot en app, forbud mot digitale verktøy, osv. Men det er atskillig vanskeligere, men absolutt mer intelligent på lengre sikt, å heller kreve at den enkelt arbeidstaker bruker hodet sitt til å tenke med.

Det er ikke en naturlov at en må tillate apper å få all mulig tilgang til en mobiltelefon (1). Som brukere har vi faktisk anledning til å gjennomgå hver enkelt app vi frivillig installerer, og kun tillate den tilgang vi anser som fornuftig.

Oppdatering juli 2023

19. juli kunne Khrono melde at akademikere ved Colombia University går til sak mot Texas ut fra at et totalforbud mot TikTok for ansatte og studenter har lov til å bruke appen i undervisningssammenheng. De mener dette er til hinder for viktig forskning på hvordan TikTok påvirker samfunnet, og dermed et brudd på den akademiske frihet.

Å forby TikTok og Telegram, men tillate de 98 andre appene som også bedriver informasjonsinnhentingen, er en klassisk politikerløsning; enkel og ikke særlig faglig intelligent. Men jeg kan se poenget når det gjelder justisministeren og andre fremtredende stortingspolitikere, samt ansatte i rene beredskapsinstitusjoner. Men jeg har problemer med å se fornuften i at andre offentlige, kommunale og private ansatte får et slikt forbud. Som vist til i artikkelen i Khrono vil dette også kunne hindre viktig forskning på hvordan apper som TikTok fungerer som påvirkningsverktøy.

Faren ved en slik fremgangsmåte er at vi kontinuerlig venner folk til at alt som er trist og leit, og som krever en smule tankevirksomhet, er statens (eller arbeidsgivers) ansvar å håndtere for oss. Og enkleste måte da er deilige forbud, slik at vi alle og enhver slipper å ta personlige og gjennomtenkte valg når det gjelder vår 24/7-bruk av digitale medier.

Hvis vi ser på sosiale medier ut fra et snevert SOCMINT-perspektiv, kan vi sette det helt på spissen og si at

• Stortingspolitikere, og da særlig medlemmer av en regjering, bør ikke benytte sosiale medier uansett
• Forsvarssjefen og personell innen forsvaret og Sivilforsvaret bør ikke benytte sosiale medier uansett
• Alle som er direkte involvert i nasjonens sivile eller militære beredskap (inklusive universitetsansatte tilknyttet beredskapsstudier) bør ikke bruke sosiale medier uansett

Men i vårt heldigitale nettverksbaserte mediesamfunn vil dette kunne by på flere utfordringer. Og skal vi følge dette resonnement fullt ut må et slikt forbud også gjelde alle former for biler som er utstyrt med direkte internettbaserte tjenester, og da særlig biler produsert av Kina eller kinesisk eide selskaper, samt kinesisk produserte mobiltelefoner, nettbrett og andre digitale enheter.

Et slikt utgangspunkt ville uten tvil være det rette ut fra et smalt og strengt sikkerhetsperspektiv, men neppe gjennomførbart. Fagdirektør Roar Thon i NSM sier det slik i en av sine Twitter-poster: «Vi kan ikke forby alt som medfører risiko. Men vi kan bli bedre på å identifisere situasjoner hvor risikoen er så høy at vi må begrense teknologien og menneskers tilgang til det vi ønsker å beskytte. Utover det bør vi kunne leve som vanlig.»

Konklusjon? (2023 og 2024)

Alt som har med mennesker å gjøre er komplisert, så også bruk av ulike digitale tjenester. For egen del har jeg tvilt meg frem til følgende utgangspunkt:

1. Vi har skapt en mer eller mindre tanketom helhetlig digital nettverksbasert mediehverdag som omfatter så og si alle sider av samfunnet.  Dette har gitt økt sårbarhet både for den enkelte og samfunnet som helhet.
2. Vi er indirekte innblandet i en krig mot Russland, og både Russland og Kina er særlig aggressive angripere mot den frie verdens digitale infrastruktur.
   …

   Ut fra disse to punkter kan man si at et forbud mot TikTok og Telegram på enheter knyttet til spesifikke arbeidsplasser, herunder universitetene, likevel er (til en viss grad) fornuftig (og for meg er punkt 2 over det mest avgjørende, noe som er mer et ideologisk standpunkt enn et sikkerhetsfaglig argument). Om ikke annet kan vi krysse av to apper tilknyttet brutale diktaturstater på bekymringslisten (2), og samtidig få en viss medieoppmerksomhet om den egentlige utfordringen; folk flest sin bevisstløse holdning til det digitale. En slik ideologisk tenkning er derimot lite nyttig for de som ønsker å forske på denne appen. På den annen side er det jo ingen ting i veien for at forskere og studenter benytter sine private mobiler til slik forskning.

   Men de store og mer komplekse sikkerhetsutfordringene ved det heldigitale samfunn forblir uløst ved denne type begrensede og lett populistiske tiltak.

   Og som NSM sier det i et intervju med Alltinget.no i mars 2024, vil det å forby TikTok som sådan i Norge «være å skyte seg selv i foten».

   Og så en liten juridisk «nøtt»: Kan arbeidsgiver krever at de ansatte sletter TikTok og Telegram fra sine private smart-mobiler?

   Hva tror du? Funder litt på dette før du ser på svaret nederst på siden.

Den lille juridiske nøtt: Svaret er nei. Arbeidsgiver kan ikke kreve at ansatte sletter TikTok eller Telegram fra sine private mobiler, og dette gjelder selv om arbeidsgiver har ordninger med økonomisk støtte for privat mobilbruk. For at en arbeidsgiver skal kunne ha bestemmelsesrett over ansattes smart-mobiler må disse være arbeidsgivers eiendom.

MEN (det er ofte et «men» i jussen), en arbeidsgiver kan bestemme at programmer (apper) som gir tilgang til dennes digitale systemer (e-post, onedrive, sharepoint, etc.) ikke kan være installert på private enheter som også inneholder TikTok eller Telegram. Slike program, der lisensene tilhører arbeidsgiver, har arbeidsgiver styringsrett over og dermed kan denne kreve at apper som hører inn under institusjonen installeres i tråd med gjeldende sikkerhetsregler. Dette gir arbeidstaker et valg; beholde TikTok og miste muligheten til å koble seg på jobbsystemene, eller slette TikTok og fortsette å bruke sin private smart-mobil som jobbverktøy.

(1) Se pkt. 11 og 12 i NSM sine 13 råd om sikkerhet på mobile enheter

(2) Se "Telegram-forbudet svikter den russiske opposisjonen".

Å bevisstgjøre studentene på digitale trusler

Jeg har gjennom et langt liv innen det digitale jobbet med bevisstgjøring omkring IKT-sikkerhet på ulikt vis. I perioden 2003 til 2009 benyttet jeg meg av konseptet «Real life projects» (også kalt «Problembasert læring») og lot mine studenter i Samfunnsinformatikk utforske problemstillinger knyttet til IT-kriminalitet og personvern via konkrete oppdrag fra Redd Barna og Kripos (Prosjekt Gå inn i din tid), med påfølgende internasjonale publiseringer inkl. en artikkel i internasjonalt tidsskrift på nivå 2.

I 2002 skrev jeg en enkel bok om PC-sikkerhet  der jeg kombinerte det faglige innholdet med en kriminalhistorie i Knut Gribb-stil, der hvert kapittel i kriminalhistorien utfylte et kapittel i fagdelen (under pseudonymet «Hillman Cox» for å ytterligere understreke både muligheten for anonymitet på Internett og forbindelsen til Bladkompaniets Knut Gribb-serie). Håpet var at denne måten å presentere fagstoffet på ville avmystifisere IT-kriminalitet for folk flest.

Utgangspunktet har alltid vært en nysgjerrighet på hva som foregår i hodene på ansatte som bruker digital teknologi, befal under utøvelse av lederskap eller studenter (og andre) som for første gang møter digitale medier ikke som underholdning men som verktøy for læring eller verktøy for angrep. I mitt virke som underviser har jeg derfor alltid hatt et fokus på å nå studentenes «hjerte og hjerne»

I de siste par årene har jeg hatt eneansvaret for to fagemner om digital sikkerhet ved HHN – IKT1013 – Grunnleggende informasjonssikkerhet og ORG5005 – Digital beredskap.

Her kommer en presentasjon av hvordan jeg kombinerer skriftlig bakgrunnsmateriale med utvalgte dataspill for å oppøve mine studenters bevissthet om digital beredskap.

1. Det teoretiske – bakgrunnsinfo for praktisk arbeid

I det følgende kommer egenprodusert bakgrunnsinfo som presenteres for studentene ved IKT1013 og ORG5005. Denne skriftlige gjennomgangen er en del av den teoretiske forberedelsen før de skal jobbe praktisk.

Tanken bak den form for bakgrunnsinfo som her presenteres er at studentene skal få et innblikk i den teknologiske utviklingen med fokus på digitale trusler, og derigjennom gi studentene et grunnlag for personlig refleksjon.

1.1. ORG5005

Studentene her er masterstudenter ved MASIK, og som studentene ved IKT1013 er de i full jobb ved siden av studiene. Her er de fleste i ulike ledende stillinger innen beredskapsfeltet – fra forsvar, politi til annen statlig/kommunal og privat virksomhet. I ORG5005 er det hybride trusler som er hovedfokuset og både bakgrunnsinfo og scenario er derfor knyttet til angrep og en tilstand som balanserer på grensen til krig. Men noe av den samme statistikken som blir presentert for IKT1013-studentene er relevant også her.

Det følgende er utviklet for vårsemesteret 2023 og er en utvidelse av tidligere scenarioer for ORG5005.

Det er etter min mening viktig å ta utgangspunkt i aktuelle forhold (den «virkelige verden») når studentene skal aktiviseres, og scenariet under er et eksempel på dette. Samtidig er hendelsene lagt til kriser i det øvre spekter, for å «trigge» studentenes refleksjoner rundt sårbarhetene knyttet til et nesten heldigitalt samfunn.

Mitt utgangspunkt for å konstruere et scenario som det vist under er at dette vil kunne danne et grunnlag for studentenes arbeid med å utvikle et øvingsdirektiv for egen organisasjon med fokus på bortfall av digital struktur under utførelse av skarpe oppdrag. Scenarioet er både omfattende og til dels fragmentert (en rekke ulike hendelser knyttet til ulike enheter fra sykehjem til forsvaret) og dette vil forhåpentligvis føre til en prosess der studentene må bruke sin yrkeserfaring, kunnskaper, sin evne til kritiske tenking og ulike problemløsningsstrategier. Jeg støtter meg her til en viss grad på tankene bak scenariobasert læring (Errington, 2003; Makridakis mfl., 1998).

Når jeg utviklet scenarioet har jeg støttet meg på IPCCs beskrivelse av  scenario:
A scenario is a coherent, internally consistent and plausible description of a possible future state of the world. It is not a forecast; rather, each scenario is one alternative image of how the future can unfold. (IPCC, 2013)

Selv om scenarioet beskrevet under i Kapittel 2 er noe fragmentert, kan det likevel sies å gi en sammenhengende og konsistent beskrivelse av mulige hybride angrep som kan skje en gang i fremtiden (samtidig som noen av de digitale angrepene har skjedd og skjer nå). Scenarioet kunne kanskje ha vært delt opp i flere ulike scenarioer, men jeg ønsket å vise hvordan en rekke hybride angrep kan ramme Norge, der digitale angrep kombineres med fysiske og uten at noen av angrepene i seg selv kan defineres som krigshandling fra en klar statlig fiende.

Scenarioer skal gjerne være både så realistiske som mulige og gi meningsfylte beskrivelser av antatte alternativer framtider, samt reflektere ulike perspektiver på fortid, nåtid og framtid som utgangspunkt for mulige handlinger (van Notten, Sleegers & van Asselt, 2005, s. 28). Realismen i scenarioet utviklet for ORG5005 ligger i at flere av dem er basert på (om enn med noe utbrodering) reelle hendelser (f.eks. flyktningestrøm ved Storskog og droner ved oljeplattformer og gassanlegg, hackere som tar over kontrollen av SMART-hus, etc.). Videre er ingen av hendelsene helt utenkelige.

Scenarioet omfatter også terrorangrep, og det er vel kjent at både det Sovjetiske NKVD så vel som etterfølgeren KGB og den Sovjetiske militære etterretningstjenesten GRU, benyttet seg av terrororganisasjoner for å destabilisere enkelte land, og vesten som sådan, både på 20-tallet og under den kalde krigen. KGB general Aleksandr Sakharovsky (1909 – 1983) skal ha uttalt at  «In today’s world, when nuclear arms have made military force obsolete, terrorism should become our main weapon».

Så det er ikke utenkelig at en motstander vil ta i bruk ulike former for digitale angrep , samtidig som man koordinere ulike terrorangrep fra kjente (innenlandske eller utenlandske) eller ukjente ekstremistiske organisasjoner. Muligheten for at en fremmed stat også selv utfører terrorangrep ved hjelp av spesialtrente operatører under dekke av å representere ekstremistiske organisasjoner, er ikke en ukjent tanke verken i scenariosammenheng eller det virkelige liv.

Hvem motstanderen skal være i et slikt scenario trenger jo ikke å beskrives eksplisitt og i mangt et krigslignende scenario har man enten kun snakket  om FI, eller laget oppdiktede navn. I scenarioet som følger er fienden ikke navngitt, men ut fra beskrivelsene (og fra de innledende «snuttene») er det jo klart at FI her er Russland. Og gitt den situasjon vi befinner oss i som NATO-medlem og aktiv støttespiller for Ukraina, er dette neppe særlig overraskende eller kontroversielt.

Scenario – Hybride angrep mot Norge

Denne refleksjonsressursen er basert på en rekke ulike scenarioer, blant annet fra DSBs «Analyser av krisescenarioer 2019», Hjalmar Sundes kapittel «Utbruddet av Tredje verdenskrig – Spetsnaz i Trøndelag» i Forsvarsstudier 6/1989, ulike «Kald krigs-scenario» bøker, statistikk fra ulike kilder, samt  faglærers frodige fantasi. Tittel og de to innledende «snuttene» i grå tekstboks til hvert kapittel henleder tankene mot Russland og er ment som rene fortellertekniske grep og en «tråd» mellom de to delene. Det er ikke slik at alle digitale angrep mot Norge kommer fra Russland. Også andre stater er aktive her, i tillegg til en rekke rene kriminelle aktører. Selve scenarioet omtaler ingen konkrete land, og man trenger da heller ingen konkret FI for å øve på forsvar mot hybride angrep. Men i den situasjon vi befinner oss i per nå, ville det være unaturlig å ikke anta at den Russiske stat kan utgjøre en trussel på den ene eller den andre måten. 

Operasjon Szhatyy kulak

1. Kapittel  Forberedelse

If somebody wanted to launch an attack, it would not be at all difficult
– Professor Fred B. Schneider, Cornell University, 1999

Fra midten av 90-tallet til nåtid…

1998

General Valentin Shlyakhturov, direktør for Glavnoye Razvedyvatelnoye Upravlenie (GRU) stirret tankefullt på sjefene for sjette og syvende direktorat som satt tvers over for ham. Sjefen for sjette direktorat kremtet og la hånden på en mappe foran seg. "Våre folk i 85ende Hovedsenter for spesielle tjenester, sammen med Glavnoye Politicheskoye Upravlenie, har kommet opp med en plan som kanskje kan iverksettes nå og med økte muligheter i årene som kommer" sa han stille.
"Men la meg få begynne med et lite tilbakeblikk", fortsatte han. "I 1949 legger John von Neumann det teoretiske grunnlaget for datavirus. I 1971 utvikler Robert Thomas programmet Creepers som infiserer datamaskiner tilknyttet ARPANET - forløperen til dagens Internett. I 1982 utvikler studenten Rich Skrenta Elk Cloner, et virus som angriper Apple II datamaskiner via diskett." Han tar en slurk kaffe, lar blikket hvile på de andre, og fortsetter; "I 1986 blir en av våre tidligere operasjoner rettet mot USAs forsvarsdatamaskiner avslørt. Verden kjenner dette som The Cuckoo's Egg."

"I dag er både vi og resten av verden kommet mye lenger i bruk av datateknologi, og dette gir oss en rekke muligheter både nå og fremover."

I 1995 ble Internett en del av folk flest sin hverdag, og ikke lenge etter skifter de såkalte 419-svindlerne (Nigeriabrev) fra ordinære brev og fax til e-post.

Fra 2008 begynte nordmenn å benytte sosiale medier, fra 2007 blir SMART-mobilen den foretrukne mobiltelefon og nå har 96% av befolkningen mellom 9 og 79 en slik liten datamaskin som telefon.

Om informasjonsinnhenting fra telefon anno 1983

Om informasjonsinnhenting fra telefoner anno 2020

68% av befolkningen mellom 9 og 79 har nettbrett, 99% av befolkningen mellom 16 og 79 har brukt Internett de siste 3 måneder, 95% bruker e-post, 95% benytter digitale banktjenester via Internett, 82% av de som bruker Internett er på sosiale medier, og det utføres over 100.000 Google-søk per sekund.

18% av den voksne befolkningen har sosiale medier som sin viktigste nyhetskilde, for 9–18-åringer er sosiale medier og tv de vanligste kanalene for nyhetsoppdatering: 88 prosent får med seg nyheter fra sosiale medier. Snapchat, TikTok og YouTube er de sosiale mediene en høyest andel 9–18-åringer får med seg nyheter fra. Samlet sett får 66 prosent med seg nyheter fra Snapchat, 65 prosent fra TikTok og 62 prosent fra YouTube.

23 prosent av den norske befolkningen har delt nyheter som de senere fant ut var falske, og 15 prosent har delt nyheter de visste eller mistenkte var usanne. 14 prosent sier at de ikke vet hvordan de gjenkjenner falske nyheter, og 37 prosent sier at de ikke sjekker mistenkelige nyheter.

Minst 55% av befolkningen har underholdningsprodukter som digital-TV, 47% har smart multimedia og 42% har net-tilkoplet spillkonsoll, 32% har  digitalt tilkoplede alarm-/sikkerhetssystemer, én av ti har tilkoplet bil, elektronisk dørlås, smart styring av lys og varme, diverse tilkoplede elektroniske dingser og smarthøyttalere med stemmeassistenter.

Flere har elbil med over the air-oppdateringer, inklusive ulike løsninger hvor den enkelte kan legge til og fjerne funksjoner i bilen mot betaling. Derimot har kun 3% integrerte smarthussystemer og kun 2% har velferdsteknologiløsninger i hjemmet.

Den norske befolknings integrering av digital internettbasert teknologi i sine private liv er økende, så er det offentlige og det privates bruk av digitale løsninger. Utstrakt bruk av hjemmekontor fører til økende oppkobling av private nettbrett, SMART-mobiler og datamaskiner mot arbeidsgivers IKT-systemer.

Norge har i flere år vært utsatt for ulike former for dataangrep både mot det private og det offentlige, samt mer «generelle» angrep mot enkeltpersoner. Angrepene blir mer og mer avanserte, og angrepsmengden øker. En rekke av dataangrepene har den enkelte ansatte i ulike virksomheter som angrepsmål, og via den ansatte kommer angriperne seg inn i systemene – enten ved hjelp av en ondsinnet lenke i en epost eller ved å jakte dårlige passord som gir tilgang til virksomhetens systemer.

Hver femte nordmann mener det er svært liten eller lite sannsynlig at deres egen arbeidsplass blir rammet av dataangrep.

62 prosent av de unge (15-29 år) følger ikke ekspertenes råd for bruk av passord på datamaskin, smarttelefon og annen teknologi knyttet til internett. Nesten to av tre unge er derfor ekstra utsatt for hacking og data på avveie.

49 prosent av voksne/eldre følger heller ikke ekspertenes råd for bruk av passord på datamaskin, smarttelefon og annen teknologi knyttet til internett.

Illustrasjon fra heftet «Selvhjelp i krig», 1962. Kan illustrasjonens budskap overføres til dagens digitale medievirkelighet? Kan vi erstatte «stat og kommune…» med «NSM, PST, Microsoft og Apple…»?

Noen av angrepene er utført av kriminelle, noen angrep er del av en over år jevnlig uttesting av norsk beredskap, men noen angrep – dels mot infrastruktur og dels spissede angrep mot ansatte i forsvaret, sivilforsvaret, DSB, politiet, helse og mot  kommunale/fylkeskommunale beredskapsledere sine private SMART-mobiler, nettbrett og ordinære datamaskiner, under dekke av vanlige phishing-angrep ol. –  er forberedelse til større konflikt.

2. Kapittel  Angrep

Colonel Oleg Stok, KGB: Modern victories are not won by movements of armies, but by imperceptible changes of molecules. Victories must be won inside the hearts of men.
Harry Palmer, MI6: I prefer my victories inside their heads.
              – Billion Dollar Brain, Len Deighton, 1966

I morgen, eller neste uke…

Grizodubovoy gaten 3, Moskva, Klokken 08:00

Sjefen for GRU sitt 72ende Senter for Spesielle Tjenester (også kalt Enhet 54777), samt sjefene for Enhet 26165 og Enhet 29155, stirret avventende på den nytilsatte direktøren. Foran dem lå en mappe med et arkivnummer som viste til at innholdet første gang var utformet i 1998. Over det gamle arkivnummeret var et nytt nummer lagt til, som indikerte  at innholdet var videreutviklet og oppdatert. 
  
Direktøren hostet litt og grep så ordet. "Vi er nå i en situasjon der det er hensiktsmessig å trappe opp en plan som ble iverksatt første gang i 1998..."

På grunn av issmelting i Arktisk åpnes det flere nye isfrie sjøfartsveier, noe som gir økt tilgang til verdifulle ressurser som olje, gass, mineraler og fisk. Forhandlinger om rettigheter i området går tregt, og med flere tilfeller av sterk uenighet mellom de aktuelle parter. Som en annen følge av endringene i klimaet opplever store deler av Afrika ekstrem tørke, mens det i deler av Asia er flere uvanlig store flomkatastrofer. I tillegg er det brutt ut krig mellom to Europeiske land. NATO er ikke involvert, men støtter den angrepne part både økonomisk og materielt mens den angripende part utsettes for omfattende økonomiske sanksjoner.

Utover høsten rapporteres det om en rekke droneobservasjoner ved norske oljeplattformer, gassanlegg og mobilmaster, samtidig som nærmere 6000 asylsøkere på kort tid krysser grensen ved Storskog. Flere av asylsøkerne lider av ukjent luftveisinfeksjon. Sivilforsvaret lokalt, med støtte av stabsbefal blant annet fra Nord-Trøndelag Sivilforsvarsdistrikt, bistår UDI ved Storskog. Politiet ber HV bistå med vakthold ved flere olje- og gassanlegg.

På Svalbard ankommer en rekke større flylaster av personer, beskrevet som turister, idretts- og kulturutøvere, som skal ta del i Folkenes Kulturfestival.

Samtlige kommuner i Troms og Finnmark utsettes for massive dataangrep som slår ut ulike datasystemer for lengre eller kortere tidsrom. I flere tilfeller meldes det om kryptovirus. Finnmark opplever sterk økning i GPS-jamming.

Utenfor Stortinget, regjeringskontorene og boligen til statsministeren blir det oppdaget IMSI-catchere som virker å overvåke alle mobiltelefoner i området.

Stortinget utsettes så for et massivt dataangrep der e-poster, kontonumre, personnumre, bankinformasjon og andre personopplysninger fra ansatte og stortingspolitikere blir stjålet. Opplysninger om reiseruter, kontaktdata og forarbeid til behandling av politiske saker, samt graderte opplysninger blir også hentet ut av angriperne.

I vintermånedene utsettes Norge så for hybride angrep mot kritisk infrastruktur som ekom og kraft, og digitale angrep mot kritiske samfunnsfunksjoner. Blant annet rettes det angrep mot sentrale noder i Telenors transportnett som ødelegger både fysiske komponenter og viktig programvare. All kommersiell elektronisk kommunikasjon lammes. Dette gjelder også radio- og tv-sendinger, med unntak av sendinger fra utlandet via satellitt. Svikten rammer virksomheter i mange ulike sektorer. Det meldes om flere tilfeller der arbeidstakere ikke får lønn inn på sin konto. Strømutfall stanser tog og bybaner. Apotek begynner å melde om at de mangler medisiner.

Alle ekomtjenester er borte i fem døgn. Deretter følger en periode med sviktende stabilitet.

(Scenarioet fortsetter etter situasjonsbildet)

—

Situasjonsbilde

Helsetjenester:

IKT-sikkerhet i helsesektoren. Eventuelle angrep mot og forsøk på inntrengning i helsenettet kan medføre utfordringer med overføring av pasientdata, både internt på sykehusene, mellom sykehusene og mellom helseregionene. Det vil også være utfordringer knyttet til å ivareta informasjonssikkerheten. Jamming av GPS kan gjøre at ambulanse- og redningstjenesten vil være avhengig av analoge karttjenester. Dette vil medføre at responstiden ved uttrykning vil øke, samt at koordinering av tilgjengelige ressurser kan være utfordrende. Troms og Finnmark er særlig utsatt for GPS-jamming.

Nødnett erfarer ustabilitet som følge av avhengigheten til øvrige ekomnett. Når nødnettet er nede finnes det per i dag ingen fullgode erstatninger, hvilket medfører at 113 ikke er operativt i disse periodene.

Redningstjenester:

Jamming av GPS og ustabilitet i ekomtjenester, Nødnett og kystradioen medfører utfordringer med beredskapen, da dette påvirker redningstjenestens evne til å lede og koordinere redningstjenesten i alle domener (sjø, luft og land).

IKT-sikkerhet :

Cyberangrep mot kritisk infrastruktur i Norge og andre NATO-land kan ramme finansielle tjenester, ekom, kraft og andre samfunnsfunksjoner. Høy risiko for at samhandling mellom og kommunikasjon mellom allierte nasjoner i NATO kan svekkes ytterligere som følge av cyberangrep mot ugraderte og graderte systemer.

Finansielle tjenester:

Forstyrrelser i ekomnett og –tjenester rammer bank- og finansvirksomheten. Bankene mister kontakten med egne systemer og dermed tilgang til for eksempel kunde- og kontoinformasjon. Forbindelsen mellom bankene og underleverandørene (Nets og Evry) er sårbar, noe som også gjelder forbindelsen mellom bankene. Både «masseutbetalinger», som trygd fra NAV, nettbank, mobilbank, utenlandshandel og oppgjørssystemer kan bli påvirket ved utfall. Bankene kan få likviditetsproblemer hvis oppgjør ikke lar seg gjennomføre. Kontantuttak fra filialer er mulig i kortere perioder, slik at folk kan betale med kontanter. Hver betalingsterminal kan lagre omtrent 1 000 transaksjoner før den må tømmes, slik at noe handel med kort kan opprettholdes. Korttransaksjoner og utlevering av kontanter kan stoppe etter et par dager uten tilgjengelig saldoinformasjon. Bedrifter kan utføre enkelte større transaksjoner ved hjelp av satellittkommunikasjon.

Kraftforsyning:

Kraftforsyningen i Norge er desentralisert med en rekke mindre kraftverk og et finmasket distribusjonsnett. Både Sør-Norge og Nord-Norge er selvforsynte med kraft. Kraftforsyningen er dimensjonert for å kunne drifte strømnettet i krise og krig. Det oppstår hendelser som medfører ubalanse i kraftforsyningen og forstyrrelser i strømforsyningen. Dette kan blant annet skje gjennom fysiske og logistiske angrep, herunder angrep på SCADE-servere i de regionale nettselskapene. Nettselskapene vil rammes ulikt da de har forskjellige tjeneste- og utstyrsleverandører og ulike sikkerhetsmekanismer. Strømforsyningen utgjør et «våpen» som kan bli brukt, eller truet med å bli brukt, i en konflikt. Det legges samtidig til grunn at en fiende ønsker at strømbortfall skal gå utover sivilbefolkningen på en måte som truer liv og helse, og på den måten knekke befolkningens motstandsvilje.

Elektroniske kommunikasjonsnett –og tjenester:

Det er svært stor sannsynlighet for at det vil rettes fysiske og logistiske angrep mot ekomnett –og tjenester som kan skape utfall og ustabilitet. Trusselbildet viser et bredt spekter av trusler, både i det digitale rom (etterretning, kartlegging, nettverksoperasjoner og påvirkningsoperasjoner), innenfor menneskelige prosesser (innsidere) og strategiske prosesser (oppkjøp og investeringer) og rene «maktdemonstrasjoner» som jamming. I noen tilfeller er det ekomnett og -tjenester som bærer truslene. Det vil si at de er rettet mot brukerne, som virksomheter og industri, gjennom nettverksoperasjoner som skadevare, tjenestenektangrep osv. Denne typer trusler er sektorovergripende og gjelder ikke særskilt for ekomsektoren. Trusseltype og omfang som ventes å være rettet mot ekomnett og -tjenester vil være avhengig av trusselaktøren. Når man ser hvilken betydning cyberdomenet har fått for den internasjonale sikkerhetspolitikken, må man forutsette at det finnes trusselaktører med både vilje, evne og kapasitet til å gjennomføre svært avanserte operasjoner for å etablere seg «på innsiden». Man skal heller ikke undervurdere avanserte trusselaktørers evne og vilje til å påvirke nett og tjenesters tilgjengelighet gjennom å demonstrere evnen til å slå ut kritiske tjenester, slik man har sett i enkelte tilfeller av GNSS-forstyrrelser i Nord-Norge. Denne type hendelser kan både skape frykt og redusere samfunnets og brukernes tillit til bestemte nett, tjenester eller systemer.

Nødnett: Lokale utfall kan skje på grunn av avhengigheter til øvrige ekomnett –og tjenester og strømforsyning. Utfordringer kan være tilgang på feltressurser og materiell for å rette feil.

—

(Scenario forts.)

Den angripende part i den pågående krigen i Europa begynner å patruljere nær Norges grenser både til sjøs, i luften og på land. Det meldes om flere mindre grensekrenkelser.  Fiskebåter tilhørende den samme makten oppholder seg stadig oftere i norske farvann like over viktig infrastruktur (kabler for gass, internett etc.) eller ligger til kai like ved gassanlegg eller militære installasjoner.

Det meldes fra et av forsvarets P-8 fly at oljeplattformen Statfjord H har eksplodert. Et omfattende oljeflak flyter mot kysten av Norge, Danmark og Tyskland. Det rettes stadig digitale angrep mot kommunikasjonsstrukturen.

Det skytes mot moskeer i Oslo og Kristiansand, samt synagogene i Oslo og Trondheim. Norsk Arisk Front påtar seg skylden.

Det meldes så om  bombeeksplosjoner på flyplasser og havneanlegg, med både drepte og sårede. Branner bryter ut som følge av bombene. Ingen påtar seg ansvaret for disse eksplosjonene.

I en periode med noenlunde stabilitet i digitale tjenester spres det meldinger fra QuAnon Norge i sosiale medier om at svikten i ekomtjenestene og eksplosjonene skyldes at «vi lever i bibelsk tid. Barn av lys vs. barn av mørke. Vi må nå forene oss mot den usynlige fiende av all menneskelighet som har sitt sete på Stortinget som nå implementerer Agenda 21 for å gjøre oss alle til SLAVER! Møt opp utenfor Stortinget og vis din avsky!»

Større grupper av det som virker å være QuAnon-tilhengere demonstrerer i Oslo, samt i Bergen, Trondheim og Bodø. Demonstrasjonene utvikler seg til regulære gateslagsmål mellom politi og demonstranter.

Via Facebook og Twitter går det så ut meldinger fra det som tilsynelatende er ulike kommunale kontoer at bombene som eksploderte på flyplasser og havneanlegg var kjernefysiske og at folk må starte evakuering fra områdene. Meldingene i sosiale medier følges opp av likelydende SMS-meldinger som virker å være fra DSB. Etter hvert dukker det også opp meldinger i sosiale medier inneholdende filmklipp som viser statsministeren som gjentar  meldingen om at bombene var kjernefysiske og at folk må evakuere sine hjem og møte opp i sitt nærmeste by- eller tettstedssentrum. Analytikere fra PST slår relativt raskt fast at filmklippene er eksempler på Deep Fake, og at ingen av evakueringsmeldingene er ekte, men kontrameldingene fra statlige og kommunale organ virker å ha liten effekt på befolkningen.

Som følge av de falske meldingene og filmklippene samles store folkemengder i sentrale bystrøk. Norge har på samme tid en rekordhøy økning av smittetilfeller av en ny og ukjent Korona-variant. E-tjenesten innhenter informasjon som indikerer mulig angrep mot sivile. Bruk av selvkjørende biler mot folkemengder nevnes
Politiet lokalt ber de lokale sivilforsvarsdistrikt bistå i håndteringen av folkemengdene.

Angrep mot digital infrastruktur øker igjen. All internett- og mobilforbindelse med Svalbard brytes.

Flere eiere av SMART-hus melder at hackere har tatt kontroll med husene deres. Disharmonisk musikk spilles på høyeste volum fra video- og lydsystem, mens hackere snakker til huseieren via kjøkkenkamera. Alle termostat i husene slåes av, samtidig som store deler av Norge opplever en rekordkald vinter.

Flere og flere kommuner, sykehus og sykehjem over hele landet melder om at datasystemene er infisert med kryptovirus som stenger all tilgang.

Det rapporteres om sykdomstilfeller av ukjent art i flere kommuner, samtidig som det i de samme kommuner oppdages innbrudd i vannverk. Vannprøver viser endringer utenfor det som er vanlige avvik.

I Trondheim blir både politihuset og Sivilforsvarets anlegg utsatt for sprengningssabotasje. En hittil ukjent gruppe som kaller seg Jordas Opprørsfront tar på seg ansvaret og uttaler til media at dette er et første steg i kampen mot makteliten og deres lakeier’ s ødeleggelse av klimaet. Politiet anmoder om bistand fra FSK.

Som følge av  frykt for den nye Koronavarianten, evakueringsmeldingene i sosiale medier og de ulike hybride angrepene danner det seg  store bilkøer ut av alle større byer og på det glatte vinterføret meldes det om ulykker ved enkelte sentrale utfartsårer, samtidig som mobilnettet og annen digital infrastruktur viser tegn på fullstendig svikt. Som følge av at mange forlater sine bosteder i all hast, oppstår flere mindre branner som følger av avglemte stearinlys og kokeplater, ol. Brannvesenet lokalt ber de lokale sivilforsvarsdistrikt om å bistå med brannslukking.

—

Hvordan kan din etat øve på å håndtere oppdrag i en situasjon med hybride angrep som beskrevet over?   

__________________________

Noen refleksjonspunkter

1. Kapittel

1. Digitale angrep og sårbarheter er ikke noe nytt
2. Vi har gått fra en situasjon der datamaskiner og internasjonale digitale nettverk var «begrensede» verktøy til en situasjon der vi i større eller mindre grad har integrert våre (og våre barn og ungdommers) personlige liv; – Fra kjøleskap, biler, dørlåser, husalarm, strømforbrukskontroll, personlig helse og trening, underholdning, informasjon, kommunikasjon, banktjenester, etc. – og vårt arbeidsliv  – i en helhetlig digital nettverksbasert mediehverdag. En rekke av bruksområdene nevnt her er ofte knyttet sammen i det mange litt naivt kun ser på som en «telefon».
   Hva betyr dette for den enkeltes sårbarhet for digitale angrep? Hva betyr dette for samfunnets sårbarhet? Har dette betydning for vårt individuelle ansvar for både arbeidsgivers IT-sikkerhet og nasjonens digitale beredskap?

2. Kapittel

1. På hvilken måte vil bortfall av digital infrastruktur vanskeliggjøre håndtering av skarpe oppdrag, sett fra eget yrkesmessige ståsted?

 2. Kan spredning av konspirasjonsteorier og ulike former for falske meldinger gjøre oppdragshåndtering for deg og din organisasjon vanskeligere? (Ta gjerne en titt på Bad news – the Fake News Game )

 3. Hvordan kan vi i egen organisasjon øve på å løse skarpe oppdrag under hel- eller delvis bortfall av digital infrastruktur?

1.2. IKT1013

Studentene her er i hovedsak lærere ved grunn- og videregående skole, utdanningsansvarlige i ulike offentlige etater eller kursholdere i det private. Vi har av og til også hatt instruktører og medieansvarlige fra politiet og forsvaret som har tatt dette emnet som del av IKT og Læring 1.

Akkurat som for ORG5005 foretas en gjennomgang av den teknologiske utviklingen med fokus på informasjonssikkerhetsbrudd som grunnlag for videre refleksjon. Gjennomgangen er i det alt vesentlige den samme som for ORG5005 og den gjentas derfor ikke.

Fra enkeltstående verktøy til integrert mediehverdag

• Her følger en historisk gjennomgang tett opp til den som ble presentert under ORG5005. I likhet med ORG5005-studentene, presenteres også studentene ved IKT1013 for  Bad news – the Fake News Game .

Vi har altså gått fra en situasjon der datamaskiner og internasjonale digitale nettverk var «begrensede» verktøy til en situasjon der vi i større eller mindre grad har integrert våre (og våre barn og ungdommers) personlige liv; – Fra kjøleskap, biler, dørlåser, husalarm, strømforbrukskontroll, personlig helse og trening, underholdning, informasjon, kommunikasjon, banktjenester, etc. – og vårt arbeidsliv  – i en helhetlig digital nettverksbasert mediehverdag. En rekke av bruksområdene nevnt her er ofte knyttet sammen i det mange litt naivt kun ser på som en «telefon».

Vår helhetlig digitale mediehverdag

Hva betyr dette for den enkeltes sårbarhet for digitale angrep? Hva betyr dette for samfunnets sårbarhet? Har dette betydning for vårt individuelle ansvar for både arbeidsgivers IT-sikkerhet og nasjonens digitale beredskap?

2. Det praktiske arbeidet

For å ytterligere øke bevisstgjøringsprosessen introduseres studentene ved IKT1013 og ORG5005 for et sett med dataspill som skal utføres og analyseres som del av obligatoriske arbeidskrav. I det følgende vises det til spill benyttet frem til og med våren 2022. Fra og med høsten 2023 er det foretatt noen endringer i spill benyttet.

2.1. IKT1013

• The Weakest Link: A user security awareness game, fra IS Decisions 

2.2. ORG5005

Studentene ved ORG5005 spiller også «The Weakest Link», samt følgende spill:

Cyber Awareness Challenge 2019, fra USAs forsvarsdepartement.

og (nytt for våren 2023) fra IBM:

Cybersecurity Ops Terminal

Studentene ved ORG5005 skal vurdere både om de tre dataspillene kan benyttes som bevisstgjøringstiltak i egen organisasjon og vurdere dem ut fra relevant faglitteratur om bruk av dataspill innen IKT-sikkerhetsopplæring.

2.3 Andre dataspill

Jeg har i mange år benyttet dataspill som del av min undervisning, ikke minst i sikkerhetsemnet IKT1013, så når jeg fikk ansvar for å opprette og utvikle et nytt masteremne i digital beredskap, var det naturlig at dataspill måtte få en viss plass.

Det er ikke lett å finne gode dataspill som omhandler IKT-sikkerhet, og ofte blir det mer Quiz-lignende spill som Nettfisketesten og ID-tyveritesten. Markedet er antakelig for lite  til at det utvikles gode dataspill med mer «levende» handling om datasikkerhet for norske forhold, og da særlig dataspill som kan være aktuelle for studenter fra f.eks. Cyberforsvaret eller PST. Her ligger det utvilsomt muligheter for samarbeid mellom fagmiljøet ved Spill og opplevelsesteknologi ved FSV og NORDLAB , og med innspill fra MASIK-studentene.

Men når en vurderer bruken av dataspill om datasikkerhet i ORG5005 må en huske på at dette er et fagemne i en ledelses-master. Dette er ikke et studie for ingeniører eller IT-sikkerhetseksperter, men for beredskapsansatte som ønsker å bli bedre ledere. Så i ORG5005 er dataspillene ikke treningsverktøy for å kunne bekjempe hackere, men ment for å trigge refleksjoner som til slutt kan være med å gjøre den enkelte student her til en bedre beredskapsleder, og ikke minst en mer sikkerhetsbevisst borger i et nesten heldigitalt samfunn. Det samme vil gjelde for IKT1013, der hensikten både er å gjøre den enkelte underviser/ instruktør/ kursholder mer sikkerhetsbevisst og mer reflekterende i forhold til egen digitale adferd.

Her er tre andre Quiz-lignende norske spill jeg har funnet, men så langt ikke benyttet i ORG5005 eller IKt1013:

• Kunne du latt deg lure av svindlere?
• Påskequiz: Hvor god er din IT-sikkerhet
• Test om grunnleggende nettsikkerhet

Noen amerikanske nettleserspill som jeg har sett på:

• Cybersecurity Lab
• Quest for the lost console
• Texas A&M University sin oversikt over IKT-sikkerhetsspill

Ingen av spillene nevnt over er 100% ideelle, ei heller de som tilslutt ble valgt. Og av de valgte spillene er det kun ett som er forsvarsrelatert, og da for amerikanske forhold.

I andre fagemner har jeg i noen grad benyttet kommersielle dataspill (så som Ghost Recon 1, Counter Strike, Walking Dead, Football Manager, Capitalism II, Virtonomics, World of Warcraft og det store onlinespillet EVE) for å visualisere teoretiske konsepter, men dette har jeg foreløpig ikke utprøvd i ORG5005 eller IKt1013. Tre slike kommersielle dataspill som kunne vært interessant å teste ut er:

• Hacknet
• Uplink
• Sylvarcon 2049: A Cybersecurity Adventure

Utfordringen ved å ta i bruk slike større dataspill er tidsbruken og arbeidsmengden. Selv om arbeidsbelastningen for både ORG5005 og IKT1013 er i tråd med standarden for et 7,5 stp. emne, vil noen studenter likevel mene at det blir for mye arbeid slik arbeidskravene er utformet nå. Å da skulle legge opp til uttesting av større og mer avanserte dataspill vil kunne være vanskelig. Så langt er min konklusjon derfor at det i rene asynkrone nettbaserte fagemner er bedre å ta i bruk mindre (om enn noe «kjedeligere») spill som kan passe inn i et arbeidskrav og gjennomføres uten en tidsbruk som går på bekostning av studentenes andre fagemner og deres arbeidskrav, samt studentenes arbeids- og familieliv.

For flere av mine tanker om bruk av dataspill se Mine studenters bruk av digitale verktøy

3. Virker dette?

«Jeg har ikke i mine jobber opplevd å ha fått en så god gjennomgang av risikofaktorene, som jeg nå forstår at er avgjørende for sikkerheten av data i skyen.»
– Student IKT og Læring 1 (IKT1013), 2022

«Jeg opplever at ved å koble fagteori til spillteori, kriseledelse og studentaktiv undervisning så har læringen i faget vært meget god. Det har lært meg at å tenke utenfor «boksen» når det gjelder sårbarhet og sikkerhet. Man kan med relativt enkle håndgrep styrke bedriftens sikkerhetskultur mot ytre farer.»
– Student ORG5005, 2022

Jeg er stadig på leting etter måter å øke studentenes motivasjon for å lære, og derigjennom også øke deres bevissthet knyttet til digital egenberedskap. Hvor mye dette har å si for den enkelte students digitale adferd etter studiene er vanskelig å si noe sikkert om, men studentene (både IKT1013 og ORG5005)  sine refleksjonsnotater gir jo en viss pekepinn.

«Jeg er nå enda mer opplyst på hva jeg bør gjøre og hva jeg ikke bør gjøre etter å ha utført spillene. Men jeg har lært gjennom det første spillet at selv om eposter ser veldig troverdige ut, så kan de være falske. Jeg vil derfor være enda mer oppmerksom frem i tid og bruke denne kunnskapen jeg nå har tilegnet meg for å unngå for eksempel svindel.»
– Student IKT1013, 2022

«En konsekvens av å ha lest og gjennomført testene er nok at jeg framover vil være enda mer bevisst på å tenke sikkerhet og at det mange som prøver å lure deg der ute.»
– Student IKT1013, 2022

«En helt konkret lærdom som garantert vil endre min atferd etter gjennomføring av dette faget er at posisjonsdata forblir avskrudd på min mobil til enhver tid.»
– Student ORG5005, 2023

«I forhold til egen digital atferd så bør jeg bli mer bevisst bruk av passord. Dette gjelder både privat og på jobb.»
_ Student ORG5005, 2023

Studentenes refleksjonsnotater har vært, og vil fortsatt være, helt sentrale i min videre forskning på egen undervisning og hvilken effekt denne har på den enkelte students læring og bevisstgjøring.

Ellers er mine studenters tanker om min undervisning samlet her:

1. Effekten av min undervisningsmåte
2. Om ORG5005

Kilder

1. Alotaibi, F., Furnell,S.,Stengel, I.,Maria Papadaki, M. (2016). A Review of Using Gaming Technology for Cyber-Security Awareness, in International Journal for Information Security Research (IJISR), Volume 6, Issue 2
2. Errington, E. P. (2003). Developing scenario-based learning: Practical insights for tertiary educators. Palmerston North: Dunmore Press.
3. Intergovernmental Panel on Climate Change (IPCC). (2013). Definition of scenario. Hentet fra https://archive.ipcc.ch/ipccreports/tar/wg2/index.php?idp=125
4. Makridakis, S., Wheelwright, S. C. & Hyndman, R. J. (1998). Forecasting, Methods and Applications. New York: John Wiley & Sons.
5. Mitchell, A. and Savill-Smith, C. (2004). The use of computer and video games for learning. A review of the literature, the Learning and Skills Development Agency
6. Nikolaisen, Per-I. (2016). Er det IS eller Russland? Slik øver fremtidens norske cybersoldater, Teknisk Ukeblad. Hentet fra https://www.tu.no/artikler/er-det-is-eller-russland-slik-over-fremtidens-norske-cybersoldater/276500
7. van Notten, P. W. F., Sleegers, A. & van Asselt, M. B. A. (2005). The future shocks: On discontinuity and scenario development. Technological Forecasting and Social Change, 72(2), 175–194.
8. Wilson Ranson, S. & Stewart, J. (1998). The learning democracy. I S. Ranson (red.), Inside the learning society (s. 253–271). London: Cassell Education.