Rdeči alarm: kronično pomanjkanje kadrov v svetu informacijske varnosti

Za kibernetskimi napadi so ljudje, prav tako na strani obrambe. Težava je predvsem v tem, da je zadnjih veliko premalo. Tudi v Sloveniji.

HR&M festival, največji slovenski kadrovski dogodek, je gostil več predavanj in okroglih miz na temo kadrov s področij informacijske in kibernetske varnosti, kar daje vedeti, da ju podjetja jemljejo vse bolj resno. Kadrovski izzivih v panogi IKT se namreč kopičijo, ne le na področju infrastrukture in podpore uporabnikom, temveč predvsem na področju kibernetske varnosti. »Slovenija ima med vsemi državami EU največ težav pri pridobivanju IKT-strokovnjakov. To nikakor ni dobro, zato moramo najti načine, kako bomo te kadre obdržali ter pritegnili in vzgojili nove. Ključni težavi Slovenije sta prav digitalizacija malih in srednjih podjetij ter pomanjkanje strokovnjakov za IKT,« je pred naslednjim valom digitalizacije podjetij in gospodarstev opozoril Nenad Šutanovac, direktor Združenja za informatiko in telekomunikacije v GZS.

Kadrovski primanjkljaj v svetu IKT je pereč po vsem svetu. »Zgolj na področju kibernetske varnosti v ZDA potrebujejo 400.000 ljudi, pa teh ni in jih ne bo še nekaj časa. Bitka za talente IT je izjemna, ne le globalno, temveč tudi v Sloveniji. Podjetja se zato vse bolj osredotočajo na to, kako interno izobraziti kadre, ki jih potrebujejo,« je trenutno stanje in prakso povzel Marko Štefančič iz podjetja Gartner. Tudi Slovenija bi po nekaterih ocenah takoj potrebovala okoli 3.000 strokovnjakov iz sveta IT, od tega vsaj tretjino specializiranih za področje kibernetske varnosti.

Obvladate IT-varnost? Služba je vaša

Tako stanje vodi do tega, da podjetja zaposlijo skoraj kogarkoli, ki se izkaže s poznavanjem področja IKT-varnosti. Priložnosti za zaposlitev varnostnih strokovnjakov dobesedno mrgoli. Vsak drugi iskalec zaposlitve dobi več kot tri ponudbe za zaposlitev, pri čemer tudi kadrovske službe kandidate za delovna mesta na področju kibernetske varnosti obravnavajo precej drugače kot vse ostale. »Globalni, največji HR-oddelki od kandidatov za službe v IT in kibernetski varnosti ne zahtevajo več diplom in certifikatov ob zaposlitvi, potrebujejo le praktični dokaz iskanega znanja,« pravi Stefančič.

Toda ali so 'samouki' na področju informacijske varnosti tudi strokovnjaki? Lahko, lahko pa tudi niso. To, da sta formalno izobraževanje in certificiranje, ki sta v splošnem sicer podlaga za nekatere kompetence, vse manj bistvena, tudi ni dober obet. »V današnjem času je veliko dostopnih spletnih virov, kjer se lahko vsak samostojno uči področja informacijske ter kibernetske varnosti, kar je zelo dobrodošlo. Čeprav se kreatorji učne vsebine precej trudijo svoja okolja, vaje in vsebino približati realnim scenarijem iz prakse, še vedno ostaja določen razkorak. Enako je s certifikati. Osebno podpiram vsakogar, ki je pripravljen pridobiti kakršenkoli certifikat s področja kibernetske varnosti, vendar se mora zavedati, da je pridobitev certifikata vstopna točka za razgovor pri delodajalcu, ne pa končni cilj. Tudi če ima kandidat več industrijsko priznanih certifikatov, to ne daje nobenega zagotovila, da se bo v realnih scenarijih v praksi znašel in kakovostno izvedel varnostno storitev,« nam je pojasnil Boštjan Špehonja, etični heker in direktor podjetja Go-Lix, d. o. o., ki opravlja številne varnostne preglede IKT-okolij domačih in tujih podjetij.

Umetna inteligenca ni nujno prava pot/rešitev

Tako kot si številni napadalci pomagajo z orodji umetne inteligence, podobno velja tudi na strani ponudnikov varnostnih rešitev in storitev. Z napredkom umetne inteligence postajajo napadi vedno bolj sofisticirani, kar zahteva nenehno prilagajanje in izboljševanje obrambnih mehanizmov – ter stalno izobraževanje varnostnega osebja. Tega je v podjetjih veliko premalo. »Varnostnega kadra v Sloveniji nikoli ne bo dovolj. Zamudili smo razvoj kadrov na področju informacijske varnosti v prejšnjem desetletju, zato se zdaj soočamo s pomanjkanjem tovrstnega kadra. Pri tem delamo novo napako – pozabljamo na razvoj novih znanj za uspešno uvedbo in rabo tehnologij umetne inteligence. Čez nekaj let se nam lahko zgodi, da bomo ugotavljali, da smo isto napako naredili na področju umetne inteligence,« brez dlake na jeziku komentira Uroš Majcen, direktor kibernetske odpornosti v podjetju Kontron, d. o. o. Dodaja pa: »Idealnega kadra skoraj ni. Vse prepogosto iščemo Supermana, Batmana in Flasha v eni osebi. Ker ga (zaradi previsokih zahtev) ne najdemo, ponavljamo razpise, znižujemo zahteve in na koncu izgubljamo čas ter dober kader ali vsaj dober potencial za razvoj.«

Majcen zato vidi rešitev predvsem v znatni okrepitvi področja izobraževanj in prenosa znanj. Podjetja naj zaposlenim – tako izdelanim strokovnjakom kot tudi začetnikom – zagotovijo možnost razvoja in šolanja, tako prek internih prenosov znanja kot tudi zunanjih tečajev. »Včasih sta bolj pomembna motivacija in odnos zaposlenega do dela kot njegovo trenutno znanje. Sploh v svetu kibernetske varnosti, ker se kompetence in znanje krepijo prek praktičnih izkušenj in širine poznavanja področja,« meni Majcen. Dodatno je za ta kader zelo pomembna tudi psihična stabilnost. Ekipa, ki dela na področju reševanja varnostnih incidentov, deluje pod velikim pritiskom in v velikem stresu, kar pomeni, da morajo zaposleni znati obvladovati tovrstne pritiske.

O kibernetski varnosti torej ni dovolj samo govoriti, temveč je treba ukrepati in o njej ozaveščati ter izobraževati prav vse zaposlene.