Kuinka kyberhyökkääjäksi eli valkohattuhakkeriksi kouluttaudutaan?
Ei ole varsinaisesti mitään koulutusalaa, josta valmistuisi juuri sellaisia osaajia, joita me täällä Silverskinissä tarvitsemme. Toki tietoturva-alalle on mahdollista kouluttautua muutamaa virallistakin reittiä. Ammattikorkeakouluihin on tullut omia koulutusohjelmia, joissa opiskellaan pelkkää kyberturvallisuutta. Yliopistossa tietoturvallisuutta on opetettu jo vuosia. Ja muidenkin alojen yhteydessä opetetaan teknisiä asioita, jotka pätevät tietoturvallisuuteen.
Mutta viralliset koulutuspolut pureutuvat tietoturvaan esimerkiksi tietoliikenteen ja hallinnollisen tekemisen kautta, ei niinkään käytännön tasolla. Lisäksi koulutus keskittyy opettamaan sitä, mikä on jo löydetty, todettu ja virallista tietoa. Sen sijaan meidän alallamme kilpajuostaan koko ajan uusimpien, vasta tunnetuksi tulevien tietoturvahaasteiden parissa.
Siksi valkohattuista, teknistä tietoturvatestaajaa ei suoraan valmistu yhdestäkään koulusta.
Keitä meillä täällä sitten oikein on?
Jos meitä ei ole kukaan taho virallisesti kouluttanut työhömme, niin mitäs ihmettä me sitten oikein tehdään? Silverskinillä on töissä koulutustaustaltaan kaikkea datanomista akateemikoihin ja väkemme on varsin nuorekasta. Mistä tiedämme, mitä osaamme ja miten uskallamme luvata asiakkaillemme rautaista osaamista alalta, jota ei virallisessa koulutuspolitiikassa ole oikein olemassakaan?
Jokaisen heimomme jäsenen taustalla on jonkinlainen oma kiinnostus, uteliaisuus ja kokeilunhalu tietoturvaan liittyen. Se, yhdistettynä nokkeluuteen, ongelmanratkaisutaitoon, loogiseen ajatteluun ja oikeanlaiseen etiikkaan on se peruskallio, jonka päälle tarvittava osaaminen rakennetaan. Me siis koulutamme itse itsemme opiskelemalla ja tekemällä.
Se on joka tapauksessa pakkokin, koska tieto- ja kyberturvallisuus on alana sellainen, ettei sitä mikään koulutus pysty kattamaan kuin hetkellisesti. Perusperiaatteet säilyvät, mutta tekniikat ja sovelluskohteet vaihtuvat niin vinhaa kyytiä, että perässä on pakko pysyä jatkuvan oppimisen kautta.
Seinällinen sertifikaatteja
Silverskinin toimistolla on kirjaimellisesti seinällinen sertifikaatteja. Ylivoimaisesti suurin osa niistä on GIAC:n (Global Information Assurance Certification) ja heidän koulutuksiaan myös suosimme niiden teknisyyden ja varmennettavuuden vuoksi. Lisäksi työntekijöillämme on niin ISACA:n (Information Systems Audit and Control Association), (ISC)2:n, kuin Offensive Securityn myöntämiä sertifikaatteja, eli kurssit on käyty ja läpi on päästy.
Mutta lienee sanomattakin selvää, että kivat kirjainyhdistelmät ja todistustaulut eivät todellakaan ole meille mikään itseisarvo – paljon tärkeämpää on se osaaminen, jota sertifionnilla varmennetaan. Osaaminen on tällä porukalla korkealla tasolla, mutta sertifiointien avulla voimme validoida sen muillekin. Joka kerta, kun joku huokaa että ”helppohan se oli” jonkun kohtuullisen hankalan sertifiontitentin jälkeen, on aika nostaa rimaa ja etsiä uusia haasteita.
Valmiiksi emme haluakaan tulla
Koska uskomme, ettei maailma tule tällä alalla valmiiksi, meillä on jatkuvasti sekä vapaaehtoisesti että suunnitelmallisesti erilaisia tutkintoja ja kursseja työn alla. Käymme myös jatkuvasti haistelemassa alan uusia tuulia konferensseissa ja tapahtumissa pitkin maailmaa.
Olen myös varma, että siinä kohtaa kun nämä asiat kuvittelee kokonaan osaavansa, tuntevansa ja tietävänsä, on jo pulassa. Siksi on parempi loistaa sillä, että tiedostaa mitä kaikkea ei tiedä.
Entäpä teidän seinällinen sertifikaatteja, olisiko aika päivittää tietoturvaosaamista?