Niekompetentne cyberbezpieczeństwo
Internet okazał się jednym z największych wygranych zeszłorocznej pandemii; ruch w sieci i liczba transakcji osiągnęły w 2020 r. bezprecedensowe poziomy. Nic dziwnego, że wraz z tym wzrosła też liczba ataków i szkodliwej aktywności. Według sekretarza generalnego INTERPOL-u, Jürgena Stocka, „cyberprzestępcy rozwijają się i zwiększają liczbę ataków w alarmującym tempie, wykorzystując strach i niepewność wywołane przez niestabilną sytuację społeczną i gospodarczą spowodowaną przez COVID-19”.
Dzieje się to w chwili, gdy według szacunków nawet 3,5 miliona miejsc pracy w obszarze cyberbezpieczeństwa pozostanie nieobsadzonych – to zła wiadomość. Czy właśnie przegrywamy bitwę? Podnoszenie kwalifikacji osób już pracujących w cyberbezpieczeństwie i zachęcanie nowych do zatrudnienia się w tej branży jest naszą najlepszą obroną, ale programy nauczania są fragmentaryczne i niewystarczające. […]
Niedobór cyberspecjalistów
Ogólnoświatowy niedobór wykwalifikowanego personelu cybernetycznego ma bezpośredni i znaczący wpływ na organizacje i ich zdolność do (cybernetycznej) samoobrony. A to stanowi poważne zagrożenie dla ogólnego dobrobytu gospodarczego kraju, a co za tym idzie, również społeczeństwa.
Problem obejmuje co najmniej trzy obszary:
- wykwalifikowanych specjalistów do zarządzania, administrowania i wspierania bezpieczeństwa i działalności organizacji;
- wykwalifikowanych cyberinżynierów do projektowania systemów bezpieczeństwa oraz tworzenia bezpiecznego oprogramowania i narzędzi;
- ogólną świadomość dotyczącą cyberbezpieczeństwa na każdym poziomie organizacji tak, aby każdy miał podstawową wiedzę na temat zagrożeń i ryzyka oraz tego, co to oznacza w kontekście pełnionej przez każdą osobę funkcji.
Zwiększające się wykorzystanie Internetu i usług online, wprowadzanie nowych technologii i szybko zmieniające się środowisko cyfrowe potęgują potrzebę dobrego i jeszcze lepszego cyberbezpieczeństwa. Rozpaczliwy niedobór specjalistów z umiejętnościami cybernetycznymi z pewnością opóźni postęp w osiąganiu odpowiedniej i skutecznej ochrony.
Normalizacja w branży cyberbezpieczeństwa
Jedna z grup roboczych Wspólnego Komitetu ISO/IEC JTC 1 rozpoczęła opracowywanie raportu technicznego dotyczącego edukacji i szkoleń w zakresie cyberbezpieczeństwa. Kiedy zostanie opublikowany, określi, dlaczego, co i jak należy zrobić w zakresie edukacji i szkoleń z cyberbezpieczeństwa, aby poprawić obecną sytuację.
Raport techniczny dostarczy nam więcej danych o tym, dlaczego edukacja i szkolenia w zakresie cyberbezpieczeństwa są takie ważne i jak są niezbędne do tworzenia dobrze poinformowanej i kompetentnej kadry pracowniczej, która może chronić biznes i społeczeństwo. Raport wyjaśni również, dlaczego edukacja w zakresie cyberbezpieczeństwa musi być strategicznym priorytetem rozwoju pracowników w organizacjach, agendach rządowych i we wszystkich sektorach biznesu.
Przewodnik będzie zawierał listę dostępnych inicjatyw i programów krajowych dotyczących kształcenia formalnego, szkoleń zawodowych, norm i wytycznych. Dzięki temu można będzie go wykorzystywać do identyfikacji obszarów wymagających poprawy i dalszego rozwoju. Będzie również opisywał specjalistyczne obszary edukacji w zakresie cyberbezpieczeństwa, które mają kluczowe znaczenie do zapewnienia skutecznej ochrony cybernetycznej.
Dla kogo nowy dokument?
Dokument w założeniu ma być przydatny każdemu, kto zajmuje się cyberbezpieczeństwem: użytkownikom, dostawcom, osobom certyfikującym, decydentom i regulatorom, pedagogom, konsumentom, sprzedawcom i producentom. Spodziewamy się, że zostanie opublikowany pod koniec 2021 r. lub na początku 2022 r.
Co organizacje mogą zrobić w międzyczasie, aby się chronić?
Jednym z najważniejszych działań, jakie organizacje muszą przedsięwziąć, to pełne zrozumienie zagrożeń, przed jakimi stoją oraz zastosowanie podstawowych mechanizmów kontrolnych w celu złagodzenia tych zagrożeń. Norma ISO/IEC 27002 Information technology – Security techniques – Code of practice for information security controls zawiera zestaw mechanizmów kontrolnych wywodzących się z najlepszych praktyk branżowych; umożliwia to dowolnej organizacji budowę zdolności zwalczania zagrożeń dzięki lepszemu zrozumieniu własnych potrzeb. Im więcej się wie na temat możliwych ataków, a także własnych słabości, tym łatwiej jedne i drugie zneutralizować.