I dette kursus giver vi en introduktion til it-sikkerhed i praksis. Kurset er rettet mod deltagere uden særlige it-kundskaber. Kurset har to mål: (1) at afmystificere it-sikkerhed; og (2) at give praktisk råd og vejledning til at begå sig både privat og professionelt i en verden, hvor man ikke nødvendigvis kan stole på computere, brugere og arbejdsgange.
Kurset dækker de følgende fem emner.
Overblik over it-sikkerhed i Danmark. Vi lærer her, hvad man prøver at opnå med “it-sikkerhed”. Vi belyser emnet ved en gennemgang af principperne for it-sikkerhed illustrereret ved større hændelser i ind- og udland igennem de sidste fem år. Vi gennemgår kort, hvad de relevante organisationer og deres ansvarsområder indenfor it-sikkerhed er i Danmark (fx hvad gør CFS Politiet, FET, osv.), og vi belyser det nuværende trusselsbillede for private og organisationer i Danmark.
Tekniske angrebspunkter. Vi lærer principperne for, hvordan en hacker bringer en computer under sin kontrol: Hvordan går det til, at en person med en bærbar computer på den anden side af kloden pludselig kan bestemme over min computer? Hvad kan man gøre for at forhindre sådan et angreb? Hvordan kan man opdage det?
Organisatoriske angrebspunkter. It-sikkerhed drejer sig ligeså meget om de mennesker, der bruger systemer som systemerne selv. Hvis en hacker ikke kan komme ind med tekniske midler, kan han i stedet for søge at snyde sig vej ind, fx ved simpelthen at ringe til it-afdelingen og påstå, at han er en legitim bruger, der har glemt sit kodeord og er nødt til at få et nyt oplyst over telefonen. Vi gennemgår her eksempler på sådan “social engineering”, samt hvordan man som organisation garderer sig imod samme.
Hemmeligholdelse. En central del af it-sikkerhed er hemmeligholdelse: Hvordan sikrer man sig, at hemmelig data forbliver hemmelig, selv hvis nogen glemmer en bærbar computer i et tog? Det centrale værktøj er her kryptering. Vi lærer her principperne om at anvende moderne kryptografiske værktøjer i praksis, samt - måske lige så vigtigt - hvordan man ikke må anvende dem.
Risikovurdering. Med vores nyvundne forståelse for trusselsbillede, tekniske og organisatoriske angrebspunkter, samt værktøjer til hemmeligholdelse er vi i stand til at tage stilling til, hvad en person eller organisation bør beskytte, samt hvordan man beskytter det. Vi lærer her, hvordan man samler sådanne overvejelser i en risikovurdering.