V Česku chybí ve firmách tisíce expertů na kyberbezpečnost. Jak to řešit?

Odborníci na kybernetickou bezpečnost nejsou. Na českém pracovním trhu jich v současnosti chybí tisíce. K tomu se blíží čas, kdy vstoupí v platnost nový zákon o kybernetické bezpečnosti, který poptávku po bezpečnostních expertech ještě zvýší. Šéf bezpečnosti O2 Radek Šichtanc mimo jiné radí, ať firmy podporují školení a rekvalifikaci stávajících zaměstnanců.

Vysoká poptávka po bezpečnostních expertech je trendem, který se jen tak nezastaví. Už před pandemií měli tito pracovníci klíčovou roli v zabezpečování systémů před útoky, jako je ransomware nebo DDoS (denial-of-service).

Během pandemie se mnoho firem přesunulo ještě více do digitálního prostoru a řada těch nových už rovnou buduje svůj byznys výhradně online. Je přitom jasné, že množství kyberútoků neustále roste. Podle Web Arx Security každý den vznikne na 300 000 nových druhů malware, které kladou na kyberbezpečnost další nároky. A k tomu se organizace musí připravit na splnění povinností, které tisícům z nich předepisuje připravovaný zákon o kybernetické bezpečnosti vycházející z evropské směrnice NIS2.

Po celém světě chybí miliony expertů na kyberbezpečnost

Americká společnost Fortinet zjistila, že téměř 90 % firem zaznamenalo v posledním roce útok, který byl alespoň částečně způsobený nedostatkem lidí v týmu kybernetické bezpečnosti. Zvýšení kybernetických rizik podle 70 % společností souvisí právě s chybějícími znalostmi. A 87 % manažerů dotazovaných organizací také uvedlo, že zaznamenali útoky, které je možné přinejmenším částečně připsat nedostatku dovedností v kyberbezpečnosti. Po celém světě přitom dnes chybí miliony odborníků na kybernetickou bezpečnost.

Kdo je kdo v kybernetické bezpečnosti?

• Security Engineer: Tito odborníci se zaměřují na vývoj a implementaci bezpečnostních řešení. Jsou zodpovědní za instalaci a správu bezpečnostních nástrojů, jako jsou firewally, antivirové programy a systémy pro detekci a prevenci průniků.
• Security Analyst: Analytici monitorují síťový a systémový provoz za účelem detekce potenciálních bezpečnostních hrozeb. Provádějí analýzu dat a hlášení o incidentech a pomáhají vytvářet strategie pro zlepšení celkové bezpečnosti.
• Security Architect: Tato role se soustředí na návrh, budování a údržbu bezpečných informačních systémů. Bezpečnostní architekti vyvíjejí celkové bezpečnostní strategie a zajišťují, že IT projekty jsou v souladu s bezpečnostními standardy a požadavky. 
• Compliance Business Analyst: Zaměřují se na to, aby firma splňovala všechny relevantní průmyslové a vládní bezpečnostní předpisy, jako je GDPR. Tito analytici pracují na propojení obchodních a IT požadavků a zajišťují, že firma dodržuje všechny nezbytné normy a předpisy.
• Ethical Hacker: Tito odborníci provádějí tzv. penetrační testy, kde napodobují útoky na systémy své firmy, aby identifikovali slabá místa a možné bezpečnostní hrozby.
• Incident Response Team: Tento tým je povolán k akci v případě bezpečnostního incidentu. Zabývá se identifikací, zkoumáním a řešením bezpečnostních incidentů a pracuje na obnově systémů a minimalizaci škod.
• Chief Information Security Officer: Tato vedoucí manažerská role zajišťuje celkové vedení a strategické směřování kyberbezpečnostních aktivit. CISO je odpovědný za rozvoj a implementaci bezpečnostní politiky, plánování a reakce na incidenty a komunikaci s vedením firmy.

NÚKIB také doporučuje mít v týmu i auditora, který provádí audity kybernetické bezpečnosti. Auditor kybernetické bezpečnosti by měl vykonávat svoji roli nestranně a výkon jeho role by měl být oddělený od výkonu jiných bezpečnostních rolí.

Organizacím podléhajícím směrnici NIS2 pak NÚKIB nařizuje ustanovit výbor pro řízení kybernetické bezpečnosti. Jde o klíčovou skupinu lidí odpovědných za řízení a rozvoj stěžejních informačních a komunikačních systémů, jako jsou kritická informační infrastruktura, významné informační systémy a informační systémy základních služeb. Členové výboru, mezi které musí patřit zástupce vrcholového vedení nebo manažer kybernetické bezpečnosti, mohou pocházet jak z vrcholového, tak ze středního managementu. Většinou jsou to odborníci z oblasti ICT a bezpečnosti. Struktura a složení výboru jsou přizpůsobeny specifikům dané organizace, a to v souladu s vyhláškou o kybernetické bezpečnosti, která také doporučuje osnovy pro fungování tohoto výboru.

Jak řešit nedostatek kvalifikovaných pracovníků? Radí expert

Je zřejmé, že poptávka po odbornících na kybernetickou bezpečnost bude i nadále narůstat. Jenže lidé nejsou. Co s tím? Zeptali jsme se šéfa bezpečnosti O2 Radka Šichtance.

S pokročilou mírou digitalizace prakticky v každé oblasti činností vznikla potřeba řešit kybernetickou bezpečnost i u organizací, které toto téma dříve nezohledňovaly. Právě u nich se nejvíce projeví nedostatek kvalifikovaných odborníků. Bez nich nebudou tyto organizace schopny správně nastavit mechanismy kybernetické bezpečnosti a adekvátně tak chránit svůj byznys.

Jak řešit nedostatek kvalifikovaných pracovníků?

Organizace mohou investovat do školení stávajících zaměstnanců, aby získali potřebné dovednosti v oblasti kybernetické bezpečnosti, podporovat rekvalifikace pracovníků z jiných příbuzných technických oborů nebo využívat partnerství s univerzitami a odbornými školami k nalákání mladých talentů z technických oborů.

Rekvalifikační kurzy od Ministerstva práce a sociálních věcí ČR

Na nedostatek odborníků v oblasti IT reaguje i Ministerstvo práce a sociálních věcí, které prostřednictvím Úřadu práce ČR nabízí hned několik rekvalifikačních kurzů. Na jeho stránkách najdete celou škálu kurzů v oblasti bezpečnosti v IT, od základů v etickém hackingu přes zvládání incidentů, zabezpečení cloudu až po kurz kyberbezpečnosti pro IT manažery přímo se zaměřením na implementaci opatření NIS2 do firmy. 

Zdroj: Úřad práce ČR

Z krátkodobého pohledu je řešením využití externích bezpečnostních firem nebo konzultantů k pokrytí specifických potřeb a projektů.

Jaké jsou požadavky na uchazeče na pozice v kybernetické bezpečnosti? Co by měli umět?

Kandidáti by se měli orientovat v moderních IT a bezpečnostních technologiích, rozumět aktuálním i nově vznikajícím hrozbám a mít přehled o bezpečnostních standardech. 

Kromě toho by měli znát metodiky a normy, jako jsou ISO 27000, NIST, OWASP nebo PCI DSS, a vědět, jak je použít v praxi. Také je důležité, aby měli certifikáty v oblasti IT bezpečnosti, například CISA nebo CISM.

A samozřejmě mimo technických dovedností by měli mít silné komunikační schopnosti, aby mohli spolupracovat i s lidmi mimo IT, analytické myšlení a chuť rychle se učit nové věci.

Existují nové technologie nebo nástroje, které by mohly pomoci zmírnit dopad nedostatku kvalifikovaných pracovníků v kybernetické bezpečnosti?

V oblasti bezpečnosti existuje a stále vzniká řada nástrojů, které přinášejí např. vyšší míru automatizace, autonomie a zlepšují tak efektivitu, zejména u rutinních činností. I tyto nástroje je ale potřeba správně konfigurovat, provozovat a vyhodnocovat. Určitě to není tak, že si koupím nějaký zázračný nástroj, který zcela eliminuje potřebu kvalifikovaných bezpečnostních specialistů.

Jak se mohou menší firmy, které nemají velké rozpočty, vypořádat s rostoucími nároky na kybernetickou bezpečnost a nedostatkem odborníků?

Na začátku postačí zaměřit se na podstatné věci. Každá firma by měla vědět, jaká aktiva jsou pro její obchodní činnost klíčová a jaké kybernetické hrozby jsou pro ně relevantní. Často pak identifikují i základní opatření, jejichž zavedením mohou svůj bezpečnostní profil výrazně zlepšit. Koneckonců i návrh nového zákona o kybernetické bezpečnosti nezavádí pro menší firmy v režimu nižších opatření žádné drakonické opatření, ale v podstatě základní věci, jako je např. školení zaměstnanců v oblasti bezpečnosti, zálohování, vícefaktorová autentizace, ochrana před škodlivým kódem, ochrana dat na perimetru sítě atp., které nemusí být příliš složité na realizaci, zejména pokud firmy využijí služeb externích partnerů.

Kdy má smysl outsourcing? A co z kybernetické bezpečnosti outsourcovat?

Vždy je to poplatné tomu, jaké hrozby jsou pro mě v oblasti kybernetické bezpečnosti relevantní. Pokud nemohu tyto hrozby adresovat vlastními zdroji, tedy nemám dostatek kvalifikovaných pracovníků, může být outsourcing správné východisko. A nemusí jít o celou oblast kybernetické bezpečnosti – firmy mohou outsourcovat jen část bezpečnostní agendy, zejména spojenou s týmy, které mají jasně vymezenou roli, provozní model nebo zadání – typicky SOC, penetrační testeři atp.

Outsourcing může řadě firem zavánět nejistotou, ale i Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) spolupráci s externími firmami označuje jako standardní postup, jak se vypořádat s nedostatkem odborníků v kyberbezpečnosti.

Zkušených firem, které nabízejí kyberbezpečnost na klíč, na trhu postupně přibývá. Je však třeba si při jejich výběru dát záležet na tom, aby k vám přistupovali individuálně a uměli se skutečně zaměřit na konkrétní nedostatky v zabezpečení vaší firmy. To s sebou může obnášet i to, že vám řeknou, že je třeba začít u základních bezpečnostních opatření, aby se mohli posunout ke splnění vašeho požadavku.

Co si z článku odnést?

• Bezpečnostních expertů v IT je nedostatek. S novou směrnicí NIS2 a novým zákonem o kybernetické bezpečnosti ale bude potřeba tento nedostatek řešit. 
• Útoků neustále přibývá, proto je klíčové zabezpečit své interní systémy. 
• Nedostatek IT expertů na bezpečnost lze řešit prostřednictvím rekvalifikačních kurzů.
• Možností je také předat bezpečnostní dohled externím expertům.

Petra Javornická
Marketingový specialista pro B2B