Master - Master i Cybersikkerhed - Danmarks Tekniske Universitet

Relevant bacheloruddannelse og minimum 2 års relevant erhvervserfaring efter gennemført adgangsgivende uddannelse (jf.masterbekendtgørelsen).
Den studerende skal have solide kundskaber i grundlæggende matematik, samt forståelse af IT-systemers opbygning, udvikling, drift og anvendelse.
Adgangsgrundlaget til uddannelsen kan ud over en bachelorgrad i Teknisk videnskab fra DTU, bachelorer og Kandidater med en IT-relateret baggrund fra andre universiteter og professionsbachelorer med en IT-relateret uddannelse fra et universitet eller erhvervsakademierne: Det forudsættes, at studerende, der søger optagelse på masteruddannelsen har modtaget IT undervisning under deres oprindelige uddannelse, samt at de har 2 års praksis vedr. IT, som medarbejder i en IT-afdeling eller som superbruger.

På uddannelsen kan endvidere optages ansøgere, der ikke opfylder betingelserne ovenfor, men som ud fra en konkret vurdering skønnes at have uddannelsesmæssige forudsætninger, der kan sidestilles hermed, herunder ansøgere der har gennemført en diplomuddannelse som fleksibelt forløb. Eksempler på optag med sådanne uddannelsesmæssige forudsætninger inkluderer, men er ikke begrænset til, uddannede fra korte videregående uddannelser, der har gennemført optagelseskursus, har opnået en It-sikkerhedsprofil baseret på certificeringer fra en eller flere af følgende udbydere; CompTIA, ISACA, (ISC)2 eller GIAC/SANS, eller ansøgere med afsluttet relevant uddannelse på Forsvarsakademiet: Beslutning om optagelse på masteruddannelsen baseres på individuelle vurderinger og samtaler med ansøgerne.

Da uddannelsen udbydes på engelsk stilles der desuden krav om engelsk på minimum B-niveau.

DTUs masteruddannelse i Cybersikkerhed skal medvirke til at dække efterspørgslen på IT-sikkerheds-specialister med særlig fokus på de tekniske kompetencer, men samtidig med vægt på at se IT-sikkerhed i et bredere perspektiv, dvs. inddrage væsentlige emner vedr. ledelseskompetencer (der ellers håndteres under informationssikkerhedsområdet).
Masteruddannelsen i Cybersikkerhed skal dække et behov for at etablere et bindeled mellem ledelseslag og teknikerne indenfor cybersikkerhed.

Derfor skal uddannelsen sørge for at de studerende:
• Forstår de enkelte teknologier og deres rolle i den samlede IT-sikkerhed.
• Forstår hvordan sikkerhedsteknologierne spiller sammen.
• Forstår hvordan IT-sikkerheds behov passer i organisationens strategi, herunder kan italesætte tekniske behov for ledelsen samt strategiske- og forretnings- behov for teknikere.

Således giver uddannelsen:
• En bred indføring i cybersikkerhed, både i form af teori og praksis.
• Et solidt fundament for IT-sikkerhedsbeslutninger. Herunder skal IT-sikkerhedsledelse og governance sikre en forankring i strategien med en risikobaseret tilgang til sikkerhed.
• Forståelse for IT-sikkerhedsinfrastuktur i teori og praksis.
• Forståelse for Databeskyttelse og privacy.

Kandidater der har gennemført uddannelsen forventes bl.a. at kunne udarbejde sikkerhedsplaner for IT-systemer, udarbejde beredskabsplaner for IT-sikkerhedshændelser, udarbejde nødplaner for katastrofehændelser relateret til IT-anvendelsen med henblik på at opretholde virksomhedens funktioner, evt. inklusiv en genetablering af driftsfaciliteterne. Derudover forventes den studerende at kunne forestå udvikling af sikre IT-systemer (privacy by design) samt gennemføre sikkerhedsanalyse af eksisterende IT-systemer.

Masteruddannelsen kan følges af alle, som ønsker at arbejde med cybersikkerhed, men retter sig især mod IT-sikkerhedsansvarlige, såsom:
• Eksisterende IT-sikkerhedsledere
• Medarbejdere der ønsker at blive IT-sikkerhedsledere
• IT-medarbejdere med ansvar for produkter, systemer og infrastruktur, hvor cybersikkerhed udgør et væsentligt element
• Ledere eller bestyrelsesmedlemmer med ansvar og strategisk indsigt i håndtering af IT-sikkerhed

Overordnet set kan uddannelsen inddeles i tre blokke, der definerer et emne inden for cybersikkerhed (et emne per semester), et konsulentprojekt samt et afsluttende masterprojekt.

Det første semester giver en bred introduktion til fundamentale begreber og principper indenfor cybersikkerhed, introducerer ledelsesmæssige og juridiske aspekter af cybersikkerhed, samt introducerer en risikobaseret tilgang til cybersikkerhed der sikrer sammenhæng mellem organisationens strategiske mål og de tekniske sikkerhedstiltag.

Det andet semester introducerer grundlæggende IT-sikkerheds teknologier og deres rolle i organisationens IT-sikkerhedsarbejde, både de tekniske løsninger til sikring af organisationens netværk og computere, samt det organisatoriske sikkerhedsarbejde omkring bruger- og rettighedsstyring.

På baggrund af de to første semestres kurser, løser de studerende i grupper konsulentopgaver for flere af de sponserende virksomheder.

De tredje semester gennemgår sikkerheden af softwaresystemer, herunder specifikation af sikkerhedskrav i forbindelse med indkøb og/eller udvikling af sikre IT-systemer, teknikker til udvikling af sikker og robust software (security-by-design), samt teknikker og teknologier til beskyttelse af persondata, således at systemerne opfylder Persondataforordningen (GDPR) og principperne bag privacy-by-design. Endelig vil der på tredje semester være et kursus der ser på tendenser og kommende teknologier indenfor IT og IT-sikkerhed, samt deres mulige konsekvenser for sikkerheden i organisationernes IT-infrastruktur. Dette kursus opdateres løbende og kan i nogen grad tilpasses den profil og de ønsker de studerende på den enkelte årgang måtte have.

Fjerde og sidste semester arbejder studerende med det afsluttende speciale. 

Strukturen med overordnet indhold ser dermed således ud:
• IT-sikkerhedsledelse og -governance (1. Semester):
o Security Principles
o IT Security Governance
o Risk Management
• IT-sikkerhedsinfrastruktur (2. Semester)
o Enterprise and Security Architectures
o Identity and Access Management
o Konsulentprojekt (sponsorvirksomheder kan foreslå opgaverne)
• Sikre applikationer og systemer (3. Semester)
o Application Security
o Data Protection & Privacy
o Trends and Security Technology Foresight

Alle kurser undervises med fysisk tilstedeværelse på 3x2 dage og tænkes afsluttet med eksamen eller praktisk opgave i egen virksomhed, således at de studerende har en stor fleksibilitet i at planlægge studiet i fht deres arbejdeplads. For detaljer henvises til bilag 2.

Uddannelsen skal placeres under takst 3, da uddannelsen er i lighed med DTU’s øvrige uddannelser er baseret på et stærk teknisk-naturvidenskabeligt fundament og sikrer den færdige masteruddannelse et solidt grundlag for at udføre teknisk funderede IT-sikkerheds analyser og beslutninger. Uddannelsen forudsætter i øvrigt i lighed med andre tekniske og naturvidenskabelige uddannelser adgang til laboratoriefaciliteter (e.g. hackerlab).

Efter spektakulære angreb mod Mærsk i 2017 og WannaCry ransomware-angrebet, der lammede dele af det britiske sundhedsvæsen tidligere samme år, er der kommet øget fokus på IT-sikkerhed og de risici danske virksomheder, myndigheder og borgere står overfor, som konsekvens af den stigende digitalisering af det danske samfund. Denne tendens er global og forventes at fortsætte i den forudseelige fremtid. Over de seneste år har trusselsbilledet set sådan ud:

Trusselsvurderingen i 2016 = MEGET HØJ,
Trusselsvurderingen i 2017 = MEGET HØJ,
Trusselsvurdering i 2018 er mere nuanceret:
-  Truslen fra cyberspionage er MEGET HØJ,
-  Truslen fra cyberkriminalitet er MEGET HØJ,
-  Truslen fra cyberaktivisme er MIDDEL og
-  Truslen fra cyberterror er LAV.

De fleste virksomheder skal forholde sig til de to første kategorier, som begge er MEGET HØJ, og myndigheder, samt virksomheder i følsomme og/eller kontroversielle brancher skal også forholde sig til de to sidste kategorier.

En spørgeskemaundersøgelse vi udførte blandt IT-Branchens medlemmer (se bilag 1) viste, at en deltids Masteruddannelse over 2-3 år var ønskelig og ville falde i god jord hos aftagerne. Ifølge undersøgelsen vil 79% af arbejdsgivere være villige til at betale for kursusafgiften i forbindelse med medarbejderes gennemførelse, og 43% vil være villige til at betale en del af den anvendte arbejdstid. 21% vil være villige til at betale hele den anvendte arbejdstid.

Desuden viste vores tidlige analyser blandt IT-Branchens medlemmer, at 79% ønsker at Masteruddannelsen skal fokusere på ”Styring af informationssikkerhedsbrud”, 64% ønsker fokus på ”Overensstemmelse [compliance], bl.a. GDPR”, 64% ønsker fokus på ”Organisering af informationssikkerhed”, 57% ønsker fokus på ”Kommunikationssikkerhed”, 50% ønsker fokus på ”Driftssikkerhed”, 50% ønsker fokus på ”Adgansstyring”, og 43% ønsker fokus på ”Ledelse & ledelssystem” samt ”Nød-, beredskabks- og reetablerings-styring”.

Baseret på denne feedback samt den feedback vi fik fra møde med følgegruppen for den nye Masteruddannelse, rettede vi uddannelsens indhold til at blive målrettet ledelseslag med mere ledelses og organisations-rettede kurser der sikrer en forankring af it-sikkerhed, og desuden supplerer teknologiperspektivet under cybersikkerhed. Aftagerene udtrykte, at ledelsessegmentet er mest tilbøjelige til at tage en deltids Masteruddannelse indenfor cybersikkerhed. Endelig har dialog med netværket omkring Rådet for Digital Sikkerhed gjort os opmærksomme på, at det er vigtig også at have fokus på ”privacy by design”, som vi på DTU Compute har en hel sektion der forsker i. Det er derfor oplagt at fundere den nye masteruddannelse solidt teknisk omkring software udvikling og privacy by design.

Vores spørgeramme og præsentation (bilag 1) omkring den udbudte Masteruddannelse har givet feedback fra aftagerne som:
• ”Godt tiltag: Deltid, Godt forbundet til erhvervslivet, OK forbindelse til informationssikkerhed”
• ” - enig i, at uddannelsen vil være et vigtigt instrument til at kompetenceløfte folk - ikke bare i industrien, men i høj grad også i offentlige organisationer”
• ”I mit område vil der være 1-2 kandidater og  1-2 kandidater i divisionen ”Signal”, som vil have glæde af at tage en masteruddannelse inden for Informationssikkerhed”, IT-chef i større dansk virksomhed.
• ” Der er ingen tvivl om at der er brug for videreuddannelse i cybersikkerhed, spørgsmålet er formatet, da behovsomfanget er bredere end hvad en enkelt uddannelse kan rumme”

Derudover blev det både i følgegruppen såvel som i Compute’s advisory board og igen i DTU’s aftagerpanel påpeget,, at der også findes mange, gerne vil tage enkelte kurser indenfor cybersikkerhed. Derfor er alle kurser tilrettet til at være 5 ECTS, således at de kan udbydes individuelt til studerende, der ikke er indskrevet på masteruddannelsen, men blot ønsker at opkvalificere sig inden for et enkelt område.

Uddannelsen udbydes på engelsk af følgende grunde:

* For det første retter uddannelsen sig i høj grad mod at efteruddanne medarbejdere i virksomheder der allerede arbejder med cybersikkerhed eller ønsker nye kompetencer for at komme til at arbejde med cybersikkerhed; her er arbejdssproget i de fleste cybersikkerhedsstillinger engelsk, hvorfor det er naturligt at uddannelsessproget bliver engelsk.

* Et andet vigtigt argument er at arbejdsindholdet for medarbejdere der håndtere cyberangreb, dels karakteriseres ved at være uden respekt for nationale grænser, og dels ved at inducere et højt stressniveau hos medarbejderne, fordi der skal ageres hurtigt på trods af stor usikkerhed om angrebets egentlige mål og omfang. Tilsammen betyder dette, at medarbejdere, der skal håndtere cyberangreb, ikke alene må kende de vigtige fagtermer på engelsk, men må være klar til at kommunikere på engelsk omkring cyberangreb, for at kunne koordinere indsatsen med kolleger i virksomheder og myndigheder overalt i verden. Aftagernes behov for at deres ansatte kan begå sig i en globaliseret verden tilgodeses dermed.

* Det er det en udfordring at finde dansktalende undervisere på højeste niveau indenfor cybersikkerhed og konsekvenserne ved at udbyde uddannelsen på dansk vil være en svagere uddannelse, og dermed på sigt et svagere cyberforsvar og et ringere cyberberedskab i Danmark.

* DTU´s samarbejde med førende udenlandske universiteter om form og indhold på uddannelsen muliggøres. Udbuddet af engelsksprogede uddannelser er fuldstændig afgørende for DTU´s muligheder for at etablere forpligtende uddannelsessamarbejder i form af fællesuddannelser med strategiske partneruniversiteter. Det vil komme studerende på denne uddannelse til gode, da der som led i uddannelsen er planlagt en obligatorisk studierejse.

IT-sikkerhedsorganisationen (ISC)2 anslår at der netop nu mangler omkring 3 millioner IT-sikkerhedsmedarbejdere, heraf 142.000 medarbejdere i Europa [1], og en rapport fra den amerikanske IT-sikkerhedsvirksomhed Cyber security Ventures anslår at dette vil være 3,5 millioner ledige job indenfor cybersikkerhed i 2021 [2]. Ud fra en simpel betragtning om at Danmark har 0,8% af Europas befolkning svarer det til 1.136 ledige job netop nu inden for IT-sikkerhed i Danmark alene. Dette er et konservativt estimat idet digitaliseringen i Danmark er langt over gennemsnittet i Europa.

I den seneste rapport fra sikkerhedsorganisationen ISACA [3], rapporteres det at 60% af de adspurgte virksomheder har ubesatte stillinger indenfor cybersikkerhed. Rapporten viser endvidere at kun 20% af virksomhederne var i stand til at finde cybersikkerhedsmedarbejdere på under 3 måneder (26% af virksomhederne brugte mere end et halvt år og 3% af virksomhederne kunne ikke tiltrække medarbejdere indenfor cybersikkerhed), hvilket illustrerer manglen på kvalificerede medarbejdere. Dette understøttes af undersøgelsens tal for hvor mange kvalificerede medarbejdere der søger cybersikkerhedsstillinger, hvor kun 12% af virksomhederne rapporterede mere end 75% kvalificerede ansøgere til cybersikkerhedsstillinger. Dette skyldes formegentlig at mange ansøgere "tager chancen" selvom de ikke er fuldt kvalificerede, fordi de ved at der er stor mangel på cybersikkerhedsmedarbejdere.

Flere større ordganisationer som Cerius, Ørsted, BaneDanamrk og lign. har udtrykt et behov for 1-2 deltagere eller flere.

Vi forventer at langt størstedelen af optaget på uddannelsen er fra det danske arbejdsmarked, og har derfor planlagt undervisningen herefter. Det betyder bl.a. at der er undervisning i lokaler på DTU gennem hele uddannelsen, således at det giver deltagerne et godt nationalt netværk, og dermed vil det heller ikke være oplagt for internationale studerende at tage uddannelsen. Begrundelsen for en engelsksproget uddannelse ligger ikke i optaget men i selve det vi skal uddanne deltagerne til (uddybet begrundelse findes tidligere i ansøgningen).

Aftager analysen viste et stort behov og en stor opbakning til uddannelsen, men mange af de adspurgte virksomheder gav udtryk for at de lige nu er så pressede på området at det kan være svært at afsætte tid til efteruddannelse af medarbejderne, hvilket kan virke paradoksalt. Muligheden for at udbyde masteruddannelsens kurser enkeltvis, tilgodeser de virksomheder der enten ikke ser behov for alle de kompetencer en masteruddannelse giver eller ønsker at vurdere værdien af de udbudte kurser inden de forpligter sig til at støtte hele uddannelsen.

Referencer
 (ISC)², »(ISC)² CYBERSECURITY WORKFORCE STUDY,« (ISC)², Clearwater, Florida, U.S.A., 2018.
S. Morgan, »Cybersecurity Jobs Report: 2017 edition,« Cybersecurity Ventures (sponsored by Herjavec Group), Northport, New York, U.S.A., 2017, 2017.
ISACA, »State of Cybersecurity 2018, Part 1: Workforce Development,« ISACA, Schaumburg, Illiniois, USA, 2018.

Behovsafdækning er delvis gennemført via interviews og tidlig spørgeramme omkring behovet for uddannelsen generelt samt prioritering af 14 delelementer af cybersikkerhed, og delvist via spørgeramme omkring den udviklede programoversigt, samt via afdækning i DTU’s aftagerpanel, DTU Compute’s advisory boardl samt ved at indkalde en følgegruppe bestående af potentielle aftagere til masteruddannelsen (11 aftagere har accepteret at være med i følgegruppen for uddannelsen).

Der har desuden været rundspørger foretaget gennem formand for Rådet for Digital Sikkerhed Henrik Mortensen’s Netværk og medlemmer af IT-Branchens, hvor spørgeskema blev sendt til IT-sikkerhedsudvalget med løfte om anonym besvarelse. IT-Branchen består af IT-leverandører der har en forretningsmæssig interesse i it-sikkerhed og omfatter både store systemhuse og små it-sikkerhedskonsulenter.

For de konkrete aftagere henvises til bilag 1: Aftagerundersøgelse, der indeholder en liste over samtlige aftagere, der har været inddraget i udviklingsprocessen, samt en logbog over aftaler, samtaler og møder, der har ført til uddannelsen i sin nuværende form.

Dette er sket via behovsanalysen hvor vi har indhentet feedback, ikke kun på det overordnede behov, men også på specifikke prioriteringer og behov i udformningen af uddannelsens form og indhold. Profilen for masteruddannelsen i cybersikkerhed rettede sig i første omgang mod den brede vifte af specifikke tekniske kompetencer, der efterspørges af erhvervslivet. På et møde med den gruppe af virksomheder og organisationer, der er tiltænkt rollen som uddannelsens følgegruppe, blev der udtrykt usikkerhed om, i hvilken grad virksomheder og organisationer vil være parate til at foretage den investering mht. tidshorisont, tabt arbejdstid og kursusafgift, som en masteruddannelse medfører. Programmet er derfor ændret, så det i højere grad retter sig imod ledere og mellemledere, hvor uddannelsens følgegruppe havde identificeret et klart behov, og hvor rentabiliteten af virksomhedens investering i uddannelse er tydeligere.  Vi har tilrette programmet i fht aftageranalysen.

Der er på nuværende tidspunkt ingen beslægtet videre-/efteruddannelse der fokuserer rent på cybersikkerhed, mens uddannelsen Masteruddannelse i IT på It-vest, gør det muligt at specialisere sig indenfor IT-sikkerhed med et sammenligneligt indhold. 

Uddannelsen på It-vest består af 4 blokke, nemlig 3 såkaldte fagpakker og et speciale. Hver fagpakke på 15 ECTS fokuserer på en separat faglighed og afsluttes i løbet af et enkelt semester; It-vest udbyder for tiden 4 sådanne fagpakker hvoraf den enkelte studerende skal vælge 3. Forslaget til en Masteruddannelse i cybersikkerhed på DTU består af en række af kurser der forventes bestået i en bestemt rækkefølge, hvilket er med til at sikre den faglige progression på tværs af hele uddannelsen. Masteruddannelsen i IT på It-vest har et enkelt projektmodul (15 ECTS) hvor den studerende kan arbejde med en problemstilling fra egen organisation, hvor der i forslaget til Masteruddannelsen i cybersikkerhed er planlagt to projekt perioder (i alt 20 ECTS) hvor de studerende anvender det behandlede pensum på praktiske problemstillinger i egne organisationer. Endelig udbyder It-vest deres uddannelse i Jylland (både Ålborg og Aarhus), mens DTU vil udbyde sin masteruddannelse i Københavnsområdet. Da der er væsentlige IT miljøer i begge landsdele, forventer de to uddannelser at kunne komplementere hinanden. 

Kandidatuddannelserne inden Informationsteknologi på DTU og Datalogi på ITU indeholder begge en mulighed for at specialisere sig inden for IT-sikkerhed. Selvom begge uddannelser giver mulighed for at kombinere tekniske emner med organisatoriske kompetencer, men disse fagligheder undervises ikke nødvendigvis som et integreret hele, hvilket vil være tilfældet i den Masteruddannelse i cybersikkerhed DTU foreslår. Begge uddannelser er desuden fuldtids kandidatuddannelser, hvor der kræves en relevant uddannelse på bachelorniveau for at blive optaget. Det er således ikke realistisk at følge disse uddannelser samtidigt med fuldtidsbeskæftigelse.

Endelig er der professionsbacheloruddannelser inden for IT-sikkerhed på erhvervsakademierne i både København og Aarhus. Disse uddannelser er begge korte videregående uddannelser der henvender sig til studerende med en ungdomsuddannelse, hvor Masteruddannelsen i cybersikkerhed retter sig mod medarbejdere i virksomheder og myndigheder der har kompetencer på bachelor-niveau, og desuden forventes at have flere års erfaring fra IT-industrien. Selvom der vil være sammenfald i emner mellem erhvervsuddannelserne i IT-sikkerhed og Masteruddannelsen i cybersikkerhed, tilhører erhvervsakademiernes professionsbachelorer også målgruppen for den ny masteruddannelse.

Summen af færdiguddannede på disse beslægtede uddannelser overstiger behovet for specialister i IT-sikkerhed anslået ovenfor. 

Masteruddannelse i cybersikkerhed henvender sig til uddannelsessøgende, der har en relevant bacheloruddannelse og minimum 2 års relevant erhvervserfaring efter gennemført adgangsgivende uddannelse (jf. masterbekendtgørelsen). Da uddannelsen udbydes på engelsk, er det desuden et krav, at den studerende har engelsk på B-niveau eller tilsvarende.

Dimittender fra uddannelsen forventes primært at bruge uddannelsen som kompetenceløft i forbindelse med nuværende job, men uddannelsen kan føre til, at dimittenden vælger at søge videre studier på DTU, ved en række højere læreanstalter/universiteter i Danmark eller udlandet, idet masteruddannelsen formelt kvalificerer til en ph.d-uddannelse. Et sådant projekt vil fx kunne gennemføres i samarbejde med virksomheder (fx inden for erhvervsforskerordningen).

20 studerende hvert efterårssemester, dvs. 60 i alt.
 

Såfremt der er behov for yderligere oplysninger, vil vi naturligvis tilvejebringe dem.