Rynek pracy a cyberbezpieczeństwo: brakuje specjalistów

Cyberataki, których od momentu wybuchu pandemii doświadczyło pół miliona Polaków, to piąte (obok polaryzacji politycznej, walki o rynki między mocarstwami, degradacji naturalnych ekosystemów i ekstremalnych fal upałów) – najpoważniejsze zagrożenie, z którym musi mierzyć się współczesny świat, wynika z doniesień World Economic Forum. Tymczasem, jak alarmują eksperci z TestArmy, nadal borykamy się z deficytem ekspertów od cyberbezpieczeństwa.

Każdego dnia powstaje ponad 100 tysięcy złośliwych stron internetowych i 10 tysięcy szkodliwych plików, zgodnie z danymi Check Point Software Security Report. Jednocześnie świadomość zagrożeń, jakie niosą za sobą cyberataki jest dziś bardzo duża, skoro nawet światowi eksperci stawiają je na równi z największymi, globalnymi problemami. Widać to także w danych. Według VMWare wartość globalnego rynku usług związanych z cyberbezpieczeństwem wzrośnie z 471 mln dolarów w 2020 roku do 1,6 miliarda dolarów w 2025 roku. Jak tłumaczy Sebastian Gilon, head of security z TestArmy:

Z naszych obserwacji wynika, że w ciągu ostatniego roku cyberprzestępcy działali ze zdwojoną siłą. Wiele osób przeszło na pracę zdalną w domach, w których systemy zabezpieczeń nie są tak silne, jak w biurach. W efekcie firmy zostały dotkniętych przez zagrożenia cybernetyczne. Zniwelowanie podatności na ataki jest ważne również dlatego, że obecny model pracy staje się standardem w wielu branżach – zgodnie z raportem Pracuj.pl, 9 na 10 pracujących zdalnie domaga się home office’u także po zakończeniu pandemii – mówi ekspert.

O ile cyberoszuści dotrzymują kroku nowym technologiom i dość szybko znajdują sposoby na złamanie coraz lepszych zabezpieczeń, o tyle gorzej mają ci, którzy takie zabezpieczenia tworzą. Takich pracowników jest w Polsce zwyczajnie za mało – brakuje przynajmniej 10 tys. specjalistów ds. cyberbezpieczeństwa, alarmują eksperci z TestArmy. 

Co więcej, problem jest globalny: według amerykańskiego Biura Statystyki Pracy (Bureau of Labor Statistics) liczba osób zatrudnionych w sektorze cyberbezpieczeństwa do 2029 roku ma wzrosnąć o 31%. Wskaźnik ten znacznie przewyższa średnią dla wszystkich zawodów. Z kolei National Center for Education Statistics (NCES) pokazuje, że liczba nowych programów z zakresu cyberbezpieczeństwa wzrosła o 33%. Tylko w ciągu ostatnich sześciu lat ogłoszeń o pracę w dziedzinie cyberbezpieczeństwa przybyło o 94%.

Cybersecurity to wciąż relatywnie młoda dziedzina na rynku pracy. Choć w ciągu ostatnich kilku lat specjalistów w tym obszarze przybyło, to nadal mierzymy się ze zbyt małą liczbą  profesjonalistów w stosunku do potrzeb płynących z rynku pracy – potwierdza Magdalena Szabelska, strategic business key account manager w Randstad Polska. 

Spektakularne dane:

  • Od początku pandemii koronawirusa, 87% organizacji doświadczyło próby cyberataku przez istniejącą lukę w zabezpieczeniach (dane Check Point z 2020 r.)
  • Od momentu wybuchu pandemii, w 46% organizacji co najmniej jeden pracownik pobrał złośliwą aplikację mobilną (raport bezpieczeństwa mobilnego firmy Check Point 2021 r.)
  • Średnia wartość okupu w skali globalnej wynosi 233 817 USD – o 30% więcej niż w 2020 r. (raport 2021 Webroot Brightcloud Threat)
  • W ankiecie Gartner 2021 Board of Directors Survey dyrektorzy ocenili cyberbezpieczeństwo jako drugie co do wielkości źródło ryzyka dla przedsiębiorstwa

Mój dom, moja twierdza? Wzrost ataków podczas pracy zdalnej

Jak wynika z danych TestArmy, coraz więcej osób pada ofiarami oszustw phishingowych i ataków typu ransomware – szczególnie podczas pracy w trybie home office. To ogromne zagrożenie dla firm, w których takie osoby pracują. Chodzi m.in. o złośliwe oprogramowanie, które infekuje komputery oraz urządzenia mobilne i ogranicza użytkownikowi dostęp do zapisanych na nim plików. Cyberprzestępcy grożą trwałym zniszczeniem danych, jeśli nie zostanie zapłacony okup. 

Ofiar tego typu działań przybywa bardzo szybko. Szacuje się, że co 11 sekund infrastruktura kolejnej firmy zostaje zainfekowana. Co więcej szkody wyrządzone w ten sposób przez hakerów ocenia się na 20 miliardów dolarów rocznie i jest to wzrost o 57 razy w stosunku do roku 2015 – wylicza ekspert ds. cyberbezpieczeństwa w TestArmy.

Ponadto zmieniają się wektory cyberataków. Działania hakerów nie są już wymierzone wyłącznie w sieć, ale także w systemy zarządzania łańcuchem dostaw. Agencja Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) przewiduje się, że do końca 2021 r. ataki w łańcuchu dostaw wzrosną czterokrotnie w porównaniu z rokiem ubiegłym. Eksperci zrzeszeni wokół ENISA ostrzegają również, że rośnie nie tylko liczba ataków, ale także ich wyrafinowanie.

Specjalista od cyberbezpieczeństwa pilnie poszukiwany!

Od początku pandemii w 2020 roku obserwujemy znaczny wzrost zainteresowania firm specjalistami z zakresu IT Security, a szczególnie cyberbezpieczeństwa. Ma to oczywiście związek z przeniesieniem pracy z biura do domów oraz zmiany z tradycyjnych systemów wykorzystywanych w firmach na środowisko cloud – tłumaczy Magdalena Szabelska.

Jak dodaje, tych naprawdę doświadczonych specjalistów jest niewielu, często pracują na własny rachunek lub w ramach zagranicznych projektów, w których stawki są bardzo wysokie. – Firmy w Polsce borykają się z szukaniem specjalisty nawet przez kilka miesięcy. Stawki oferowane na rynku są bardzo wysokie, zarówno ze względu na niszowość roli, jak i małą liczbę osób, które spełniają dane kryteria – mówi specjalistka Randstad.

Co gorsza, od swoich biurek musiała odejść nawet część tych, którzy już z sukcesami projektowali zabezpieczenia. – Po wybuchu pandemii COVID-19 musieli porzucić część swoich codziennych obowiązków, aby wesprzeć pracodawców w innych, powiązanych z IT, zadaniach, m.in. przygotowywaniu stanowisk do pracy zdalnej – tłumaczy Sebastian Gilon.

Przykładowe zarobki specjalistów ds. cyberbezpieczeństwa (dane Randstad):

    Information Security Architect: 25 000 – 30 000 zł brutto/msc

    Security Engineer: 15 000 – 20 000 zł brutto/msc

    Security Manager: 25 000 – 30 000 zł brutto/msc

    Cybersecurity Specialist: 14 000 – 19 000 zł brutto/msc

Firmy inwestują w rozwój pracowników

Do 2023 r. 75% organizacji ma zrestrukturyzować zarządzanie ryzykiem i bezpieczeństwem, aby zająć się nowymi systemami cyber-fizycznymi (CPS) oraz konwergentnymi potrzebami IT, OT, Internetem rzeczy (IoT) i fizycznymi zabezpieczeniami. Obecnie cele te realizuje zalewie 15% przedsiębiorstw (źródło: Gartner, IT Roadmap for Cybersecurity). Nic dziwnego, że firmy, które chcą poprawić swoje bezpieczeństwo, coraz częściej podejmują złożone działania na rzecz pozyskania ekspertów. Ogłoszenia z ofertami pracy nie gwarantują jednak znalezienia pożądanego pracownika, dlatego przedsiębiorstwa coraz częściej wybierają inną drogę – kształcą sobie potrzebnych specjalistów, inwestując w szkolenia oraz pomagając pracownikom w  podnoszeniu ich kwalifikacji.

Szkolenia prowadzone są in-housowo – np. pracownicy wymieniają się swoimi przemyśleniami, udostępniają notatki, tworzą dokumentację i procedury, omawiają na bieżąco projekty, dzielą się wiedzą zdobytą na zewnętrznych szkoleniach, co umożliwia przepływ wiedzy między zespołami pracowników oraz wzmacnianie posiadanych umiejętności. Jednocześnie dużo firm inwestuje w szkolenia prowadzone przez zewnętrzne firmy IT. – Podmioty te często zrzeszają najlepszych praktyków na rynku, współpracują z jednostkami certyfikującymi, dodatkowo oferują szkolenia dopasowane do potrzeb organizacji. Nie tylko ustalają wspólnie zakres szkolenia, dostosowując je do wymagań klienta, ale oferują również audyt potrzeb, tzn. przyglądają się zespołom i technologiom używanym w firmie, rozmawiają z przedstawicielami działów IT o procesach i wyzwaniach, z jakimi się mierzą. Pozyskana w ten sposób wiedza pozwala rekomendować tematykę szkolenia, zakres i poziom przekazywanych treści. Takie dopasowanie to gwarancja wymiernych korzyści – zarówno dla firmy, jak i dla pracowników – mówi Sebastian Gilon.

Korzyści ze szkoleń dla pracowników:

  • większe zaangażowanie, większe lojalność wobec firmy – firma inwestuje w rozwój pracownika
  • pracownik ma poczucie, że firma w niego inwestuje, docenia go, zwiększa się jego zadowolenie z miejsca pracy 
  • rozwój umiejętności, które może wykorzystać podczas konkretnych projektów

Choć obecnie nie ma jednego dominującego programu kształcenia, którego wymaga rynek pracy, wymagania w stosunku do specjalistów są bardzo wysokie. Ekspert ds. cyberbezpieczeństwa musi posiadać szeroką wiedzę techniczną obejmującą cały proces wytwarzania oprogramowania: zaczynając od programowania, testowania, administrowania systemami, aż po zarządzanie projektem. Do tego dochodzi jeszcze etyka biznesu i coś o czym mało kto wspomina, czyli umiejętności miękkie.

Gartner przewiduje, że do 2025 r. 40% rad dyrektorów będzie miało specjalny komitet ds. cyberbezpieczeństwa nadzorowany przez wykwalifikowanego członka zarządu lub konsultanta zewnętrznego wyspecjalizowanego w tej dziedzinie. Poza tym prognozuje się, że globalny rynek bezpieczeństwa informacji wzrośnie w pięcioletnim CAGR na poziomie 8,5%, aby osiągnąć 170,4 mld USD w 2022 r.Potencjał rynku pracy w tym sektorze jest więc przeogromny – podsumowuje Mateusz Piaszczak, IT security expert, z TestArmy.