Czy można szybko się nauczyć cyberbezpieczeństwa? W USA uważają, że tak. W tym celu Amerykanie przygotowali specjalny program. Rząd da środki, a biznes prywatny wyszkoli tysiące ekspertów, których brakuje. Korzyści mają być obopólne.
Badania Microsoftu pokazują, że w 2021 roku dziennie dochodziło do ponad 1300 cyberataków, co oznacza niemal 25% wzrost względem poprzedniego roku. To 58 ataków co godzinę, niemal jeden na minutę. Zagrożeń jest coraz więcej, a broniących coraz mniej. Biały Dom w oficjalnym orędziu przyznał, że na terenie USA jest obecnie 70 000 wakatów w branży cyberbezpieczeństwa. Częstą barierą są wymagania potencjalnych pracodawców, którzy szukają odpowiednio wyszkolonych specjalistów z długim stażem pracy. Niestety nie jest to jedyny problem w branży. Badania do raportu Deep Instinct “Voice of SecOps” pokazują, że 45% specjalistów rozważało odejście z pracy, a 46% twierdzi, iż zna przynajmniej jedną osobę, która w zeszłym roku całkowicie opuściła branżę. Najczęstszymi powodami są wymagania ciągłej dostępności, brak pracowników i niemożność powstrzymania każdego zagrożenia.
19 lipca podczas National Cyber Workforce and Education Summit (NCWES) przedstawiciele rządu spotkali się z reprezentantami prywatnego sektora w celu znalezienia rozwiązania palącego problemu. Padło na praktykantów. Ogłoszono wówczas program “120-day Cybersecurity Apprenticeship Sprint” (120-dniowy sprint praktykantów w obszarze cyberbezpieczeństwa). Strategia ma na celu okiełznanie wciąż rosnącego zapotrzebowania na specjalistów od cyberbezpieczeństwa.
Taśmowa produkcja specjalistów
W USA aktualnie działa 714 zarejestrowanych programów zawodowych a liczba praktykantów w obszarze cyberbezpieczeństwa bądź dziedzinach pokrewnych sięga ponad 42 tys. Program 120DCAS ma za zadanie promować praktyki, ale także zachęcać różne firmy do założenia własnego programu wraz z amerykańskim Ministerstwem Pracy (Department of Labor). Zdaniem autorów projektu takie podejście ma być o wiele skuteczniejsze niż szkolenia i kursy zewnętrzne, które uczą teorii i wysyłają młodego adepta na rynek w poszukiwaniu pracy. Program zawodowy zapewni realne, praktyczne doświadczenie w pracy dla osoby niezwiązanej wcześniej z zawodem i da możliwość zyskania pierwszego doświadczenia, które obecnie jest pożądane w rekrutacjach na najniższe stanowiska typu junior. Często będzie się to wiązać z zatrudnieniem praktykanta po zakończeniu 120-dniowego przyuczenia. System będzie przypominał klasyczną drogę kwalifikacji zawodowej, od czeladnika do uzyskania tytułu rzemieślnika. Wyjątkiem jest to, że fachem będzie cyberbezpieczeństwo.
– Problem ze specjalistami od cyberbezpieczeństwa jest naprawdę spory, nie tylko w USA, a sytuacja geopolityczna związana m.in. z wojną w Ukrainie, bardzo mocno zmienia optykę rządów i firm na ten mocno zaniedbywany przez wiele lat obszar – mówi Krzysztof Wójtowicz, dyrektor ds. sprzedaży w ICsec S.A, firmy specjalizującej się w dostarczaniu technologii do monitorowania cyberbezpieczeństwa branż krytycznych. – Mimo wielu wcześniejszych prób wskazania potrzeby lepszych zabezpieczeń, zamiatano sprawę pod dywan. Udane ataki np. na Colonial Pipeline pokazały, że firmy odpowiedzialne za dostarczanie kluczowych usług dla obywateli działające np. w branży energetycznej czy użyteczności publicznej mają mnóstwo luk. Dziś szuka się sposobów jak te dziury załatać. Jednym z rozwiązań jest automatyzacja, z drugiej szkolenie młodych kadr – zwraca uwagę Krzysztof Wójtowicz.
Gorączka bezpieczeństwa
Spora luka w obszarze cyberbezpieczeństwa jest m.in. efektem przyśpieszonej cyfryzacji. Najlepiej widać to w przemyśle. Szybki rozwój technologii i podłączanie kolejnych urządzeń do sieci przy jednoczesnym braku ich inwentaryzacji sprawiły, że w zakładach produkcyjnych zapanował chaos, który wykorzystują hakerzy. Według badań Ponemon Institute z 2021 roku, ponad 88% firm przyznaje, iż posiada ponad 1000 urządzeń IoT/OT. Tylko 38% potwierdza ich inwentaryzację. Problem wyszedł na jaw przy okazji druzgocących ataków, które wylądowały na ustach całego świata. Okup Colonial Pipeline z 2021 roku czy atak na zakłady produkcyjne Hondy kilkanaście miesięcy wcześniej to tylko niektóre z akcji hakerskich, dzięki którym zauważono jak słabo zabezpieczony jest przemysł. Zarówno rządy, jak i firmy prywatne, od razu zaczęły uzupełniać braki w cyberbezpieczeństwie, co spowodowało wielki wzrost zainteresowania firmami pełniącymi tego typu usługi. Dodatkowo zaczęto wprowadzać regulacje zmuszające do lepszej cyberochrony. W Europie NIS2, w USA NIST – państwowe ustawy i rozporządzenia wymagają od firm odpowiedzialności w zakresie cyberochrony. Różnica jest taka, że amerykański rząd postanowił współpracować z przedsiębiorcami już na poziomie wymyślania koncepcji.
— Kooperacja rządowo-prywatna jest jedynym rozsądnym wyjściem a program stażowy taki jak ten w USA ma duży sens – mówi Krzysztof Wójtowicz, dyrektor ds. sprzedaży w ICsec S.A. – Oczywiście, wykwalifikowani specjaliści dalej będą na wagę złota, jednak są rzeczy, których można nauczyć się relatywnie szybko. W wielu aspektach technologie bardzo mocno wspierają dzisiaj osoby odpowiedzialne za bezpieczeństwo. W ICsec opracowaliśmy system do ciągłego monitoringu sieci przemysłowej, do którego obsługi potrzebne jest tylko krótkie przeszkolenie.