Chýbajú nám špecialisti na kyberbezpečnosť. Etickí hekeri za hranicami ročne zarobia aj šesťcifernú sumu

Najväčšia svetová organizácia pre bezpečnosť IT odhaduje, že globálna pracovná sila v oblasti kybernetickej bezpečnosti predstavuje 5,5 milióna ľudí. Medziročne pribudlo takmer 440-tisíc nových pracovných miest, čo predstavuje nárast o 8,7 percenta.

„Napriek pokračujúcemu nárastu počtu pracovníkov štúdia ISC2 o pracovnej sile v oblasti kybernetickej bezpečnosti odhalila, že dopyt stále prevyšuje ponuku. Nedostatok pracovnej sily vzrástol o 12,6 percenta v tomto roku, pričom najväčší nárast sa zaznamenal v ázijsko-tichomorskom regióne (najmä v Japonsku a Indii) a Severnej Amerike,“ uvádza správa Medzinárodného konzorcia pre certifikáciu bezpečnosti informačných systémov (ISC2) z tohto roku.

Podľa jej odhadu chýba globálne takmer štyri milióny špecialistov v oblasti kybernetickej bezpečnosti. Národný bezpečnostný úrad (NBÚ) odhaduje, že na Slovensku existuje v tejto oblasti 19 200 neobsadených pracovných pozícií.

"S nedostatkom odborníkov v oblasti IT a kybernetickej bezpečnosti sa borí prakticky celý svet. Uvedená štatistika je výsledkom viacerých rokov skúmania pracovného trhu a jeho schopnosti reflektovať požiadavky doby aj legislatívy," uviedol hovorca NBÚ Peter Habara.

Práca v kybernetickej bezpečnosti je zaujímavá, no chýbajú kompetencie

Nedostatok odborníkov spôsobuje podľa slov Habaru pomalá integrácia vzdelávania v tejto oblasti, ale aj rýchly technologický vývoj, tlak na digitalizáciu a mnoho ďalších faktorov. Práca v oblasti kybernetickej bezpečnosti je pritom podľa známych špecialistov atraktívna, kreatívna a navyše aj platovo výborne ohodnotená.

„Je to úžasná práca. Vy sa stávate detektívmi v tých organizáciách. Vašou prácou je totiž odhaľovať, čo v tej organizácii skutočne je. Aké sú tam procesy a kto je vlastníkom jednotlivých aktív,“ uvádza odborník na kybernetickú bezpečnosť Roman Václav. „Všeobecne je absolútny nedostatok kľúčových odborníkov. Pričom je predpoklad, že minimálne dekádu sa táto situácia nezmení. Chýbajú najmä manažéri kybernetickej bezpečnosti a audítori,“ dodáva.

Znalostné štandardy rolí manažérov a audítorov v oblasti kybernetickej bezpečnosti sú ukotvené aj v slovenskej legislatíve. Tieto pozície musia byť v niektorých inštitúciách povinne obsadené, no odborníci, ktorí by mali kompetencie zodpovedajúce štandardom, aké stanovuje vyhláška NBÚ, chýbajú.

„Oblasť kybernetickej bezpečnosti je komplexná. Človek, ktorý sa ňou zaoberá, musí mať manažérske kompetencie a vyznať sa aj v právnych záležitostiach. Nie je to pre každého, človek sa musí neustále učiť,“ povedal prodekan Fakulty manažmentu Univerzity Komenského (FM UK) Vincent Karovič.

Špecialistov si vysoko cenia

Kompetencie pre kybernetickú bezpečnosť presahujú aj do oblastí záujmu manažérov či právnikov. Pochopiteľne vzdelávacie inštitúcie ako manažérske či právnické smery nevychovávajú IT špecialistov či etických hekerov, no aj ony ponúkajú vo svojom vzdelávacom programe predmety zamerané na túto oblasť, o ktoré aj je medzi študentmi záujem.

Podľa slov Karoviča sú špecialisti na kybernetickú oblasť aj dobre zaplatení. O konkrétnych platových pomeroch na Slovensku nie je informovaný, no v zahraničí etickí hekeri zarábajú ročne 120-tisíc eur a viac.

Prácou etického hekera je hľadať slabé miesta v systémoch jeho klientov, ktorí si ich následne môžu zabezpečiť a urobiť bezpečnejšími. Táto práca je vhodná pre ľudí, ktorí majú technické vzdelanie, ale aj prierezové zručnosti vo oblasti operačných systémov, sietí, webových či mobilných aplikácii. A všetko toto potrebujú vedieť prepojiť spôsobom, ktorý im umožňuje myslieť ako útočník a hľadať zraniteľné miesta na rôznych úrovniach komplexných IT systémov.

"Je nevyhnutné mať talent prepájania súvislostí a investigatívny pohľad na celok. Odhodlanie preniknúť do hĺbky si vyžaduje nadšenie pre technológie, trpezlivosť a vytrvalosť. Nájsť ľudí s takouto kombináciou je náročné, ale možné," hovorí Lucia Sládečková, marketingová koordinátorka spoločnosti Citadelo, ktorá ponúka službu etických hekerov na Slovensku.

Technickým znalostiam sa však ani manažér celkom nevyhne. „Až 75 percent zručností a znalostí, ktoré potrebujete, aby ste mohli pracovať v oblasti kybernetickej bezpečnosti, je technického charakteru,“ povedal riaditeľ odboru vzdelávania ECCC Miroslav Havelka budúcim manažérom počas konferencie o kybernetickej bezpečnosti na pôde Fakulty manažmentu bratislavskej Univerzity Komenského.

Firmy často riešia kybernetickú bezpečnosť až po tom, ako sa niečo stane

Agentúra AKO uskutočnila v apríli tohto roku pre Kompetenčné a certifikačné centrum kybernetickej bezpečnosti (ECCC) prieskum. Malých a stredných podnikov sa pýtali, aké faktory majú v ich organizácii najvyšší vplyv na zvyšovanie úrovne kybernetickej bezpečnosti.

Podľa prieskumu viac ako štvrtinu podnikov k zvýšeniu bezpečnosti v kybernetickom priestore motivuje rýchly rozvoj informačných technológií. Druhým a tretím najčastejším dôvodom je „odporúčanie od dodávateľov“ a „poučenie sa z predchádzajúceho incidentu“. Tieto dva dôvody sú podľa odborníka zlým znakom. Spolu ich však uviedla viac ako polovica opýtaných firiem.

Výsledky prieskumu agentúry AKO v spolupráci s ECCC, apríl 2023. Reprofoto: youtube/Cyber Security Day 2023

„Problém je, že namiesto toho, aby k tomu pristupovali systematickým spôsobom, teda aby sa riadili výsledkami vyhodnocovania rizík či bezpečnostného auditu, sú naklonení kamarátskej rade a ešte k tomu pod tlakom. To môže viesť buď k zakonzervovaniu niektorých rizík, alebo dokonca až k ich zvýšeniu,“ povedal generálny riaditeľ ECCC Ivan Makatura.

Podľa jeho slov by bolo najlepšie, aby sa firmy riadili najmä výsledkami analýzy rizík či odporúčaniami bezpečnostného auditu.