Cyberataki, których od momentu wybuchu pandemii doświadczyło pół miliona Polaków, to piąte (obok polaryzacji politycznej, walki o rynki między mocarstwami, degradacji naturalnych ekosystemów i ekstremalnych fal upałów) – najpoważniejsze zagrożenie. Tymczasem, jak alarmują eksperci z TestArmy, nadal borykamy się z deficytem ekspertów od cyberbezpieczeństwa.
Każdego dnia powstaje ponad 100 tysięcy złośliwych stron internetowych i 10 tysięcy szkodliwych plików, zgodnie z danymi Check Point Software Security Report. Jednocześnie świadomość zagrożeń, jakie niosą za sobą cyberataki jest dziś bardzo duża, skoro nawet światowi eksperci stawiają je na równi z największymi, globalnymi problemami.
Widać to także w danych. Według VMWare wartość globalnego rynku usług związanych z cyberbezpieczeństwem wzrośnie z 471 mln dolarów w 2020 roku do 1,6 miliarda dolarów w 2025 roku. Jak tłumaczy Sebastian Gilon, head of security z TestArmy:
– Z naszych obserwacji wynika, że w ciągu ostatniego roku cyberprzestępcy działali ze zdwojoną siłą. Wiele osób przeszło na pracę zdalną w domach, w których systemy zabezpieczeń nie są tak silne, jak w biurach. W efekcie firmy zostały dotkniętych przez zagrożenia cybernetyczne. Zniwelowanie podatności na ataki jest ważne również dlatego, że obecny model pracy staje się standardem w wielu branżach – zgodnie z raportem Pracuj.pl, 9 na 10 pracujących zdalnie domaga się home office’u także po zakończeniu pandemii – mówi ekspert.
O ile cyberoszuści dotrzymują kroku nowym technologiom i dość szybko znajdują sposoby na złamanie coraz lepszych zabezpieczeń, o tyle gorzej mają ci, którzy takie zabezpieczenia tworzą. Takich pracowników jest w Polsce zwyczajnie za mało – brakuje przynajmniej 10 tys. specjalistów ds. cyberbezpieczeństwa, alarmują eksperci z TestArmy.
Co więcej, problem jest globalny: według amerykańskiego Biura Statystyki Pracy (Bureau of Labor Statistics) liczba osób zatrudnionych w sektorze cyberbezpieczeństwa do 2029 roku ma wzrosnąć o 31%. Wskaźnik ten znacznie przewyższa średnią dla wszystkich zawodów. Z kolei National Center for Education Statistics (NCES) pokazuje, że liczba nowych programów z zakresu cyberbezpieczeństwa wzrosła o 33%. Tylko w ciągu ostatnich sześciu lat ogłoszeń o pracę w dziedzinie cyberbezpieczeństwa przybyło o 94%.
– Cybersecurity to wciąż relatywnie młoda dziedzina na rynku pracy. Choć w ciągu ostatnich kilku lat specjalistów w tym obszarze przybyło, to nadal mierzymy się ze zbyt małą liczbą profesjonalistów w stosunku do potrzeb płynących z rynku pracy – potwierdza Magdalena Szabelska, strategic business key account manager w Randstad Polska.
Spektakularne dane
- Od początku pandemii koronawirusa, 87% organizacji doświadczyło próby cyberataku przez istniejącą lukę w zabezpieczeniach (dane Check Point z 2020 r.)
- Od momentu wybuchu pandemii, w 46% organizacji co najmniej jeden pracownik pobrał złośliwą aplikację mobilną (raport bezpieczeństwa mobilnego firmy Check Point 2021 r.)
- Średnia wartość okupu w skali globalnej wynosi 233 817 USD – o 30% więcej niż w 2020 r. (raport 2021 Webroot Brightcloud Threat)
- W ankiecie Gartner 2021 Board of Directors Survey dyrektorzy ocenili cyberbezpieczeństwo jako drugie co do wielkości źródło ryzyka dla przedsiębiorstwa
Mój dom, moja twierdza? Wzrost ataków podczas pracy zdalnej
Jak wynika z danych TestArmy, coraz więcej osób pada ofiarami oszustw phishingowych i ataków typu ransomware – szczególnie podczas pracy w trybie home office. To ogromne zagrożenie dla firm, w których takie osoby pracują. Chodzi m.in. o złośliwe oprogramowanie, które infekuje komputery oraz urządzenia mobilne i ogranicza użytkownikowi dostęp do zapisanych na nim plików. Cyberprzestępcy grożą trwałym zniszczeniem danych, jeśli nie zostanie zapłacony okup.
– Ofiar tego typu działań przybywa bardzo szybko. Szacuje się, że co 11 sekund infrastruktura kolejnej firmy zostaje zainfekowana. Co więcej szkody wyrządzone w ten sposób przez hakerów ocenia się na 20 miliardów dolarów rocznie i jest to wzrost o 57 razy w stosunku do roku 2015 – wylicza ekspert ds. cyberbezpieczeństwa w TestArmy.
Ponadto zmieniają się wektory cyberataków. Działania hakerów nie są już wymierzone wyłącznie w sieć, ale także w systemy zarządzania łańcuchem dostaw. Agencja Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) przewiduje się, że do końca 2021 r. ataki w łańcuchu dostaw wzrosną czterokrotnie w porównaniu z rokiem ubiegłym. Eksperci zrzeszeni wokół ENISA ostrzegają również, że rośnie nie tylko liczba ataków, ale także ich wyrafinowanie.
Specjalista od cyberbezpieczeństwa poszukiwany
– Od początku pandemii w 2020 roku obserwujemy znaczny wzrost zainteresowania firm specjalistami z zakresu IT Security, a szczególnie cyberbezpieczeństwa. Ma to oczywiście związek z przeniesieniem pracy z biura do domów oraz zmiany z tradycyjnych systemów wykorzystywanych w firmach na środowisko cloud – tłumaczy Magdalena Szabelska.
Jak dodaje, tych naprawdę doświadczonych specjalistów jest niewielu, często pracują na własny rachunek lub w ramach zagranicznych projektów, w których stawki są bardzo wysokie. – Firmy w Polsce borykają się z szukaniem specjalisty nawet przez kilka miesięcy. Stawki oferowane na rynku są bardzo wysokie, zarówno ze względu na niszowość roli, jak i małą liczbę osób, które spełniają dane kryteria – mówi specjalistka Randstad.
Co gorsza, od swoich biurek musiała odejść nawet część tych, którzy już z sukcesami projektowali zabezpieczenia. – Po wybuchu pandemii COVID-19 musieli porzucić część swoich codziennych obowiązków, aby wesprzeć pracodawców w innych, powiązanych z IT, zadaniach, m.in. przygotowywaniu stanowisk do pracy zdalnej – tłumaczy Sebastian Gilon.
Przykładowe zarobki specjalistów ds. cyberbezpieczeństwa (dane Randstad)
- Information Security Architect: 25 000 – 30 000 zł brutto/msc
- Security Engineer: 15 000 – 20 000 zł brutto/msc
- Security Manager: 25 000 – 30 000 zł brutto/msc
- Cybersecurity Specialist: 14 000 – 19 000 zł brutto/msc
Firmy inwestują w rozwój pracowników
Do 2023 r. 75% organizacji ma zrestrukturyzować zarządzanie ryzykiem i bezpieczeństwem, aby zająć się nowymi systemami cyber-fizycznymi (CPS) oraz konwergentnymi potrzebami IT, OT, Internetem rzeczy (IoT) i fizycznymi zabezpieczeniami. Obecnie cele te realizuje zalewie 15% przedsiębiorstw (źródło: Gartner, IT Roadmap for Cybersecurity). Nic dziwnego, że firmy, które chcą poprawić swoje bezpieczeństwo, coraz częściej podejmują złożone działania na rzecz pozyskania ekspertów. Ogłoszenia z ofertami pracy nie gwarantują jednak znalezienia pożądanego pracownika, dlatego przedsiębiorstwa coraz częściej wybierają inną drogę – kształcą sobie potrzebnych specjalistów, inwestując w szkolenia oraz pomagając pracownikom w podnoszeniu ich kwalifikacji.
Szkolenia prowadzone są in-housowo – np. pracownicy wymieniają się swoimi przemyśleniami, udostępniają notatki, tworzą dokumentację i procedury, omawiają na bieżąco projekty, dzielą się wiedzą zdobytą na zewnętrznych szkoleniach, co umożliwia przepływ wiedzy między zespołami pracowników oraz wzmacnianie posiadanych umiejętności. Jednocześnie dużo firm inwestuje w szkolenia prowadzone przez zewnętrzne firmy IT.
– Podmioty te często zrzeszają najlepszych praktyków na rynku, współpracują z jednostkami certyfikującymi, dodatkowo oferują szkolenia dopasowane do potrzeb organizacji. Nie tylko ustalają wspólnie zakres szkolenia, dostosowując je do wymagań klienta, ale oferują również audyt potrzeb, tzn. przyglądają się zespołom i technologiom używanym w firmie, rozmawiają z przedstawicielami działów IT o procesach i wyzwaniach, z jakimi się mierzą. Pozyskana w ten sposób wiedza pozwala rekomendować tematykę szkolenia, zakres i poziom przekazywanych treści. Takie dopasowanie to gwarancja wymiernych korzyści – zarówno dla firmy, jak i dla pracowników – mówi Sebastian Gilon.
Korzyści ze szkoleń dla pracowników:
- większe zaangażowanie, większe lojalność wobec firmy – firma inwestuje w rozwój pracownika
- pracownik ma poczucie, że firma w niego inwestuje, docenia go, zwiększa się jego zadowolenie z miejsca pracy
- rozwój umiejętności, które może wykorzystać podczas konkretnych projektów
Choć obecnie nie ma jednego dominującego programu kształcenia, którego wymaga rynek pracy, wymagania w stosunku do specjalistów są bardzo wysokie. Ekspert ds. cyberbezpieczeństwa musi posiadać szeroką wiedzę techniczną obejmującą cały proces wytwarzania oprogramowania: zaczynając od programowania, testowania, administrowania systemami, aż po zarządzanie projektem. Do tego dochodzi jeszcze etyka biznesu i coś o czym mało kto wspomina, czyli umiejętności miękkie.
Gartner przewiduje, że do 2025 r. 40% rad dyrektorów będzie miało specjalny komitet ds. cyberbezpieczeństwa nadzorowany przez wykwalifikowanego członka zarządu lub konsultanta zewnętrznego wyspecjalizowanego w tej dziedzinie. Poza tym prognozuje się, że globalny rynek bezpieczeństwa informacji wzrośnie w pięcioletnim CAGR na poziomie 8,5%, aby osiągnąć 170,4 mld USD w 2022 r. – Potencjał rynku pracy w tym sektorze jest więc przeogromny – podsumowuje Mateusz Piaszczak, IT security expert, z TestArmy.
