Shrani za kasnejše branje.
Če kadrov ni, se jih »naredi«. Pa je res tako preprosto? Mogoče v skladišču in proizvodnji, nikakor pa to ne drži za področje informacijske in kibernetske varnosti.
Miran Varga
»Amerika« ta hip potrebuje okoli 400.000 varnostnih strokovnjakov. Kaj pa Slovenija? Po nekaterih ocenah bomo v širši regiji v naslednjem desetletju rabili 30.000 različnih strokovnjakov za kibernetsko varnost, kakega »tisočaka« zagotovo tudi pri nas. Glede na osveženo zakonodajo na tem področju gre pričakovati veliko povpraševanje predvsem po upravljavcih informacijske in kibernetske varnosti. Ti profili bodo morali imeti široka znanja, ki bodo obsegala tako tehnična kot organizacijska in pogosto tudi pravna znanja.
Za izobraževanja zaposlenih z znanji in vedenji s področja kibernetske varnosti bodo podjetja morala nameniti več sredstev, časa in pozornosti.
»Ključno bo poznavanje delovanja organizacij, njihovega notranjega ustroja in okolja, v katerem delujejo. Pričakujem pa, da se bo zunanje izvajanje oziroma uporaba svetovalcev na tem področju zmanjševala, saj bodo podjetja vse pogosteje želela imeti lasten, samo njim namenjen in odgovoren kader,« meni Alenka Glas, višja varnostna svetovalka v podjetju Actual I.T. d.o.o. in članica pobude Women4Cyber Slovenia, ter dodaja: »Velik poudarek bodo podjetja morala posvečati tako strokovnjakom kot usposabljanju in ozaveščanju vseh zaposlenih z znanji in vedenji s področja kibernetske varnosti. Prav za izobraževanja in ozaveščanja vseh zaposlenih bodo podjetja morala nameniti več pozornosti, časa in sredstev.«
Foto: Depositphotos
V prihodnje bo namreč vse bolj pomembna skladnost poslovanja podjetij z regulativo, predvsem evropskima direktivama NIS2 in GDPR. Zaradi strožjih zahtev NIS2 se bo splošno povpraševanje po rešitvah in kadrih s področja kibernetske varnosti znatno povečalo, kar bo vodilo do večjega števila podjetij, ki bodo potrebovala storitve kibernetske varnosti ali celovite in množične lastne ekipe. Sledi resen izziv. Bazen strokovnjakov za kibernetsko varnost je globalno omejen, zanj se borijo mnogi ponudniki na trgu, poleg tega pa je za izvajanje kibernetske varnosti nujna tudi investicijsko zahtevna specializirana strojna in programska oprema ter stalno vlaganje v pridobivanje novih znanj, tudi v mednarodnem okolju. Bodo slovenska podjetja temu kos?
Iskanje rešilnih bilk
»Zamudili smo razvoj kadrov na področju informacijske varnosti v prejšnjem desetletju, zato se sedaj soočamo s pomanjkanjem tovrstnega kadra. Pri tem delamo novo napako – pozabljamo na razvoj novih znanj za uspešno uvedbo in rabo tehnologij umetne inteligence. Čez nekaj let se nam lahko zgodi, da bomo ugotavljali, da smo isto napako naredili na področju umetne inteligence,« brez dlake na jeziku komentira Uroš Majcen, direktor kibernetske odpornosti v podjetju Kontron d.o.o., in pristavi: »Idealnega kadra skoraj ni. Vse prepogosto iščemo Supermana, Batmana in Flasha v eni osebi. Ker ga (zaradi previsokih zahtev) ne najdemo, ponavljamo razpise, znižujemo zahteve in na koncu izgubljamo čas ter dober kader ali vsaj dober potencial za razvoj.«
Razvoj poklicev na področju kibernetske varnosti bo tako zaznamovan s specializacijo, avtomatizacijo in uporabo umetne inteligence za prepoznavanje in odzivanje na grožnje. Umetna inteligenca je namreč orodje, ki ga uporabljajo tako strokovnjaki za kibernetsko varnost kot tudi hekerji. Z napredkom umetne inteligence postajajo napadi vedno bolj sofisticirani, kar zahteva nenehno prilagajanje in izboljševanje obrambnih mehanizmov – ter stalno izobraževanje varnostnega osebja.
»Med ključnimi kompetencami strokovnjakov za kibernetsko varnost bi izpostavil tehnične veščine, poznavanje orodij za zaznavanje in preprečevanje vdorov ter obvladovanje incidentov, analitične sposobnosti, zmožnost sodelovanja in komunikacije, dobro poznavanje zakonodaje in standardov, prilagodljivost in inovativnost ter pripravljenost na nenehno izobraževanje. Kibernetska varnost je namreč dinamično področje, kjer se grožnje nenehno spreminjajo. Zato sta stalno izobraževanje in spremljanje najnovejših trendov in groženj ključnega pomena,« je profil tipičnega zaposlenega, ki deluje na področju informacijske in kibernetske varnosti, strnil Rok Peršak, vodja Centra kibernetske varnosti in odpornosti v Telekomu Slovenije.
Pomoč od zunaj
Podjetjem, ki ne bodo pridobila ali premogla lastnih varnostnih strokovnjakov, preostane le eno – najem varnostnih storitev pri specializiranem izvajalcu. T. i. varnostno-operativni centri (SOC) so stroškovno učinkovita in smiselna rešitev za podjetja vseh oblik in velikosti. Drži pa, da bolj regulirane panoge zahtevajo tudi specializirane varnostno-operativne centre za področje delovanja. Ob številnih orodjih in področjih specializacije je praktično nemogoče, da bi posamezen analitik ali varnostni strokovnjak lahko obvladal vse. Pridobivanje ustreznih strokovnjakov za delo v varnostno-operativnih centrih je prav tako velik izziv. Raziskava družbe Gartner je ugotovila, da 64 odstotkov vodij IT kot enega svojih največjih izzivov pri delu navaja nezadostna znanja in vire. Hkrati pa so analitiki ugotovili, da skoraj tretjina (29 odstotkov) veščin, ki so jih zaposleni leta 2018 morali obvladati na povprečnem delovnem mestu na področju IKT-infrastrukture, letos ni več potrebnih.
Zaposlujejo in najemajo tudi brez »žigov«
Majcen ni optimist, ima pa recept, kako kadrovske težave omiliti: »Varnostnega kadra v Sloveniji nikoli ne bo dovolj. Ponudniki varnostnih rešitev se morajo zavedati, da je bazen kandidatov zelo izčrpan. Zato moramo sami, našim zaposlenim – tako izdelanim strokovnjakom kot tudi začetnikom, zagotoviti možnost razvoja in šolanja preko internih prenosov znanja kot tudi zunanjih tečajev. Včasih je bolj pomembna motivacija in odnos zaposlenega do dela kot njegovo trenutno znanje. Sploh v svetu kibernetske varnosti, ker se kompetence in znanje krepijo preko praktičnih izkušenj in širine poznavanja področja. Dodatno je za ta kader zelo pomembna tudi psihična stabilnost. Ekipa, ki dela na področju reševanja varnostnih incidentov, deluje pod velikim pritiskom in stresom, kar pomeni, da morajo zaposleni znati to obvladovati.«
V praksi pa je tako v tujini kot doma na področju kibernetske varnosti formalno izobraževanje in certificiranje, ki je v splošnem sicer podlaga za določene kompetence, vse manj bistveno. To izkoriščajo tudi ponudniki izobraževanj, ki so včasih bolj »trhle« sorte. »V današnjem času je veliko dostopnih spletnih virov, kjer se lahko vsak samostojno uči področja informacijske ter kibernetske varnosti, kar je zelo dobrodošlo. Kljub temu, da se kreatorji učne vsebine precej trudijo svoja okolja, vaje in vsebino približati realnim scenarijem iz prakse, še vedno ostaja določen razkorak. Enako je s certifikati. Osebno podpiram vsakogar, ki je pripravljen pridobiti kakršenkoli certifikat s področja kibernetske varnosti, vendar se mora zavedati, da je pridobitev certifikata vstopna točka na razgovor k delodajalcu ne pa končni cilj. Tudi če ima kandidat več industrijsko priznanih certifikatov, to ne daje nobene garancije, da se bo v realnih scenarijih v praksi znašel in kakovostno izvedel varnostno storitev,« nam je pojasnil Boštjan Špehonja, etični heker in direktor podjetja Go-Lix d.o.o., ki opravlja številne varnostne preglede IKT okolij domačih in tujih podjetij.
Preden bo bolje, bo še slabše
Se pa v luči podatka, da so v Centru kibernetske varnosti in odpornosti Telekoma Slovenije letošnje leto obravnavali rekordno število kibernetsko-varnostnih dogodkov, zdijo vse v tem prispevku omenjene številke podcenjene. In to po tem, ko so varnostni strokovnjaki v prvi polovici letošnjega leta obravnavali za več kot trikrat več varnostnih dogodkov kot v enakem obdobju lani in dejstvu, da se trend naraščanja kibernetskih groženj še naprej stopnjuje. Proti njim pa se moramo boriti vsi, ne zgolj varnostni strokovnjaki.
V svetu kibernetske varnosti se kompetence in znanje krepijo preko praktičnih izkušenj in širine poznavanja področja. Zelo pomembna je tudi psihična stabilnost.
Še najboljši se zato zdi Majcnov nasvet, ki pravi: »Družba ne sme ustvarjati samo uporabnikov IT-rešitev in storitev. Družba mora ustvariti uporabnike, ki razumejo, kaj je osnova računalništva in kako se varno uporablja napredne tehnologije.«