Jak sprostać wyzwaniom ustawy o KSC w obecnym otoczeniu konkurencyjnym na rynku pracy i przy niedoinwestowaniu cyberbezpieczeństwa, także pod względem liczebności i jakości zespołów bezpieczeństwa? Jak mają działać sektory, w których brak kompetencji i zainteresowania tematem cyberbezpieczeństwa oraz bezpieczeństwa informacji jest nadto wyraźny? Jak osiągnąć możliwie dobry efekt wobec (rażącej) nieadekwatności zasobów? Te zagadnienia były tematem dyskusji podczas „KSC Forum 2019” w grupie roboczej „Zasoby ludzkie, finansowe i technologiczne”. Przedstawiamy wypracowane przez jej uczestników wnioski.

Z uwagi na bardzo szeroki zakres zadanego tematu grupa postanowiła skupić się na największej przeszkodzie w realizacji zadań związanych z wdrożeniem wymogów ustawy o KSC: braku wykwalifikowanych specjalistów bezpieczeństwa IT.

Sytuacja na rynku 

Trudności z zatrudnieniem specjalistów do działów bezpieczeństwa IT są wymieniane przez CISO jako jedno z głównych zagrożeń w realizacji ich zadań. Problem ten jest powszechny i najprawdopodobniej będzie aktualny przez kilka nadchodzących lat. Szacuje się, że globalnie do roku 2023 będzie brakowało 5 mln specjalistów cyberbezpieczeństwa. Według raportu Enterprise Strategy Group z 2019 roku, 53% CIO wymienia brak specjalistów w obszarze bezpieczeństwa jako największe wyzwanie.

Problem ten będzie narastał wraz z rozwojem kolejnych technologii, które będą wymagały zabezpieczeń: 5G, chmura, IoT itp.

Polska nie jest pod tym względem wyjątkiem. Wprowadzane obecnie regulacje (np. Ustawa o KSC) powodują wzrost nakładów na bezpieczeństwo IT, co zwiększa popyt na pracowników. Większość CISO planuje zatrudnić dodatkowych pracowników w tym roku i w kolejnych latach. Popyt na polskim rynku jest dodatkowo zwiększany przez międzynarodowe korporacje, które umieszczają w Polsce tzw. centra usług wspólnych, zatrudniające nierzadko po kilkudziesięciu wysokiej klasy fachowców.

Podsumowując, sytuacja w tym obszarze jest już trudna, a może jeszcze ulec pogorszeniu.

Zdefiniowane obszary działania 

Grupa zdefiniowała cztery obszary do dyskusji. Wypracowane w jej ramach wnioski i postulaty mogą pomóc w rozwiązaniu zdefiniowanego na początku problemu lub przyczynić się do złagodzenia jego skutków.

1. Szkolenia – czyli jak zwiększyć podaż specjalistów.
2. Technologia, usługi zewnętrzne – na ile AI (artificial intelligence), ML (machine learning), czy usługi MSS (Managed Security Services) będą w stanie zmniejszyć liczbę osób niezbędnych w dziale bezpieczeństwa lub przynajmniej zahamować aktualny wzrost zapotrzebowania na pracowników.
3. Synergie sektorowe – na ile współpraca pomiędzy przedsiębiorstwami w danym sektorze jest w stanie usprawnić działania poszczególnych działów bezpieczeństwa. Czy jest możliwy podział zadań skutkujący możliwością współdzielenia zasobów?
4. Klimat pracy – czyli jak przez kulturę organizacji zwiększać atrakcyjność stanowiska pracy, żeby przyciągać i utrzymywać pracowników.

Wnioski z dyskusji

Ad 1. Szkolenia

Dyskusji na ten temat grupa poświęciła najwięcej czasu, rozumiejąc, że jest to obszar mający największy wpływ na zwiększenie podaży nowych pracowników. Jednocześnie uczestnicy spotkania zgodzili się, że szkolenia z zakresu bezpieczeństwa IT będą dotyczyły osób posiadających podstawowe umiejętności techniczne, a szczegółowa wiedza dotycząca konkretnych rozwiązań wymagać będzie dokształcenia podczas pracy w ich organizacjach. 

Obecnie w Polsce jest już kilka inicjatyw wspierających system szkolenia w obszarze cyberbezpieczeństwa, np. Liceum przy WAT o specjalizacji cyberbezpieczeństwo czy kursy dostępne na wyższych uczelniach w ramach ich współpracy z firmami komercyjnymi z branży bezpieczeństwa IT. Jednak te godne pochwały działania z uwagi na swoją niewielką skalę nie będą miały dużego wpływu na sytuację na rynku pracy.

Potrzebna jest inicjatywa, która znacznie zwiększy dostęp do nauki podstaw bezpieczeństwa IT osobom o bardzo zróżnicowanym doświadczeniu i wykształceniu. Zawężanie takiej inicjatywy, np. tylko do studentów wyższych uczelni technicznych, nie zmieni w sposób istotny obecnej sytuacji. 

Jako przykład programu edukacyjnego, który odniósł sukces na masową skalę, można przywołać tzw. Akademie Cisco. Stworzenie w Polsce na ich wzór co najmniej stu lokalnych „Akademii Cyberbezpieczeństwa” spowodowałoby z pewnością zwiększenie podaży pracowników o podstawowych umiejętnościach. W ramach dalszego rozwoju w działach IT powstałaby spośród nich znacząca grupa wysokiej klasy specjalistów. Nie jest to rozwiązanie, które przyniesie szybki rezultat, ale może w sposób trwały i usystematyzowany pomóc w przygotowywaniu kolejnych specjalistów ds. cyberbezpieczeństwa do pracy w nadchodzących latach.

Idea „Akademii Cyberbezpieczeństwa” to stworzony centralnie program, który w nieodpłatny sposób byłby dostępny dla szerokiego grona chętnych instytucji, uczelni, szkół średnich itp. w formule „train the trainer”. Podstawą sukcesu jest przygotowanie gotowego planu uwzględniającego pełen program szkolenia, który odpowiada na aktualne zapotrzebowanie rynku, przy jednoczesnym zapewnieniu łatwej i szybkiej realizacji (sprzęt, oprogramowanie, wiedza prowadzącego).

Kształcenie powinno trwać optymalnie 1 rok i mieć charakter zajęć weekendowych lub wieczorowych. Szkolenia powinny być otwarte i przystosowane dla osób nieposiadających doświadczenia w cyberbezpieczeństwie lub w IT. Program powinien obejmować zagadnienia teoretyczne i praktyczne. 

Pożądane byłoby stworzenie specjalnej grupy, np. w Ministerstwie Cyfryzacji, której zadaniem byłoby przygotowanie studium wykonalności takiego projektu.

Dobry fachowiec ds. cyberbezpieczeństwa powinien cechować się ciekawością i kreatywnością, które mogą okazać się ważniejsze niż zasób wiedzy technicznej, z jaką rozpoczyna kurs cyberbezpieczeństwa. Dla przykładu w Stanach Zjednoczonych powstają programy rozwoju tych umiejętności dla weteranów wojskowych, którzy nie mają umiejętności technicznych, ale posiadają odpowiednie przygotowanie mentalne, psychiczne, bardzo pomocne w tej branży.

Ad 2. Technologia

Nie ulega wątpliwości, że technologie ML (machine learning), a w szczególności AI (artificial intelligence) mają i będą miały coraz większy wpływ na funkcjonowanie działów bezpieczeństwa IT. Wspólnym mianownikiem stworzonych na ich bazie rozwiązań jest automatyzacja działań obronnych. Już dzisiaj CISO powinni budować architekturę bezpieczeństwa w taki sposób, aby była możliwa integracja poszczególnych jej elementów, a dzięki automatyzacji nie wymagała dużych nakładów pracy. 

Na pytanie, czy rozwój rynku zarządzanych usług bezpieczeństwa (MSS) może mieć istotny wpływ na poprawę sytuacji braku specjalistów, nie uzyskaliśmy jednoznacznej odpowiedzi. Jest on możliwy w obszarach niewymagających dużego doświadczenia, np. pierwsza linia Security Operation Center. Jednocześnie uczestnicy grupy wyrażali opinie o konieczności posiadania krytycznych umiejętności „inhouse”. Z tej perspektywy usługi zarządzane jawią się bardziej jako dobre uzupełnienie własnych działów bezpieczeństwa niż zastąpienie ich części.

Ad 3. Synergie sektorowe

W tym obszarze sektor finansowy został wybrany jako przykład tzw. best practise. Już dzisiaj w ramach Związku Banków Polskich istnieją zespoły, które na bieżąco wymieniają się nie tylko doświadczeniami, ale również informacjami o aktualnych atakach. Docelowo, w miarę rozwoju otoczenia prawnego, pożądane byłoby umożliwienie wymieniania się informacjami na poziomie IoC (Indication of Compromise). Taka współpraca znacznie usprawniłaby szybkość reagowania całego sektora na bieżące zagrożenia.

Ścisła współpraca w ramach sektora, podobnie jak edukacja personelu,  została uznana za kluczowy element podniesienia bezpieczeństwa, a także usprawnienia działania odpowiedzialnych zespołów. 

Ad 4. Klimat i środowisko pracy

Szeregowi pracownicy działów bezpieczeństwa muszą dziś stawiać czoła co chwilę nowym wyzwaniom i nieznanym zagrożeniom, które ewoluują w niesamowitym tempie. Bardzo często napotykają przy tym w swojej działalności na różne bariery wewnątrz organizacji, takie jak: brak budżetów na szkolenia, brak czasu, ograniczenia technologiczne i kadrowe czy brak decyzyjności. Nieustanna presja ze strony przełożonych, połączona często z brakiem zrozumienia i odizolowaniem działów bezpieczeństwa od biznesu, oraz brak jasnego podziału odpowiedzialności powodują, że klimat i środowisko pracy stają się jednym z najistotniejszych czynników przy wyborze pracy w dziale bezpieczeństwa. 

Przy nieodpowiednim wyposażeniu technologicznym i przestarzałym podejściu do zabezpieczeń ochrona szybko zmieniającego się środowiska jest trudna, a czasem niemożliwa. Świat cyberzagrożeń zmienia się tak dynamicznie, że kluczowe staje się nadążenie za trendami, praca pod presją czasu czy praca w rozproszonym zespole. Wymaga to od specjalistów konkretnych umiejętności i określonych cech charakteru. 

Niewystarczająco wyposażone działy bezpieczeństwa często są wręcz zasypywane pracą z dokumentami oraz raportami spełniającymi kryteria i wymogi regulacyjne. Skutkuje to niekiedy zaniedbaniami w zakresie podstawowych zadań zespołu cyberbezpieczeństwa, czyli wykrywania i reagowania na incydenty bezpieczeństwa. Uczestnicy dyskusji zwrócili uwagę na odpowiedni podział ról i dobieranie pracowników do zespołu bezpieczeństwa nie tylko pod kątem wiedzy technologicznej, lecz także ze względu na kompetencje miękkie i osobowość. Nadmiar obowiązków i wydłużony czas pracy mają też negatywny wpływ na tzw. work/life balance, skutkujący obniżeniem efektywności, a w rezultacie brakiem lojalności pracowników oraz częstą zmianą pracodawcy.

Wyzwania związane z bezpieczeństwem nie ograniczają się dziś wyłącznie do działu bezpieczeństwa IT. Bezpieczeństwo informatyczne powinno być wpisane w kulturę organizacyjną przedsiębiorstwa. Należy ją kształtować, począwszy od zaangażowania kierownictwa firmy, które cyberbezpieczeństwo powinno wpisać w strategię organizacji. Poza jasnym podziałem odpowiedzialności, zapewnieniem zasobów ludzkich, finansowych i technologicznych należy pamiętać też o regularnych szkoleniach z higieny bezpieczeństwa IT dla wszystkich pracowników. Tego typu szkolenia powinny być obowiązkowe tak jak szkolenia BHP dla każdego nowego pracownika oraz regularnie powtarzane i odświeżane wraz ze zmieniającym się krajobrazem zagrożeń. Troska kadry kierowniczej o cyberbezpieczeństwo, wpisana w kulturę organizacyjną firmy, to troska o dane wrażliwe klientów, finanse przedsiębiorstwa, reputację marki oraz znaczącą poprawę pracy osób działów bezpieczeństwa.

Opracował: Paweł Malak, CEE Sales Director, Trend Micro, moderator grupy roboczej „Zasoby ludzkie, finansowe i technologiczne”.