НЕХВАТКА ЗНАНИЙ В ОБЛАСТИ КИБЕРБЕЗОПАСНОСТИ
Почему образование - наше лучшее оружие против киберпреступности.
Интернет очень сильно выиграл от пандемии, начавшейся в прошлом году, его трафик и количество транзакций достигли беспрецедентных уровней в 2020 году. Неудивительно, что количество вредоносных атак и активности с использованием Интернета также сильно возросли. По словам генерального секретаря Интерпола Юргена Штока (Jürgen Stock), "киберпреступники развивают и активизируют свои атаки с крайне тревожащей скоростью, используя царящие в обществе страх и неопределенность, вызванные нестабильной социально-экономической ситуацией, вызванной COVID-19".
Сейчас, когда, по последним оценкам, в этом году в сфере кибербезопасности будут до 3,5 млн. незаполненных вакансий и рабочих мест, это плохая новость. Проигрываем ли мы битву с киберпреступностью? Повышение профессиональной квалификации тех, кто уже работает в сфере кибербезопасности, и привлечение новых работников - наша лучшая защита, но подходящие для этого программы и схемы разрозненны и недостаточны.
Мы встретились со всемирно известным специалистом по ИТ-безопасности доктором Эдуардом Хамфрисом (Edward Humphreys), чтобы обсудить проблемы, связанные с нехваткой кибернавыков и их потенциальными последствиями для бизнеса и общества. Д-р Хамфрис входит в состав ряда комитетов, совместно управляемых ИСО и Международной электротехнической комиссией (МЭК), в том числе ИСО/МЭК СТК 1 Информационные технологии, подкомитета ПК 27 Информационная безопасность, кибербезопасность и защита частной жизни, который опубликовал более 200 стандартов, и еще 77 новых находятся в стадии разработки. Будучи экспертом в своей области, мистер Хамфрис часто именуется “отцом” семейства стандартов ISO/IEC 27001 на системы управления информационной безопасностью.
ДОКТОР ЭДУАРД ХАМФРИС
Организатор рабочей группы ИСО/МЭК СТК 1/ПК 27 РГ 1, Системы управления информационной безопасностью
Кибербезопасность - это постоянная борьба, а спрос на киберталанты продолжает расти и опережает предложение. Какова ситуация в данной сфере на сегодняшний день?
Полезно процитировать древнюю мудрость о боевой стратегии. Эта цитата часто используется сегодня в различных образовательных учреждениях для профессионалов во многих областях, включая менеджмент, деловые переговоры и, конечно же, кибербезопасность.
Если вы знаете своего врага и знаете самого себя, то и в ста сражениях одержите победу. Если вы знаете самого себя, но не своего врага, то будете то побеждать, то проигрывать. Если вы не знаете ни своего врага, ни самого себя, то будете проигрывать в каждом сражении.
Чем больше у нас есть информации о наших сильных и слабых сторонах, а также о сильных и слабых сторонах нашего противника, тем лучше мы подготовлены. Нам необходимо получить информацию о том, кто именно является нашим врагом и почему, когда, как и на что он может напасть и что он хочет получить от этого. Если мы хорошо знаем самих себя и нашего врага, то у нас есть высокие шансы на победу в битве.
Наличие киберграмотных специалистов и хорошо информированных о кибератаках сотрудников ставит нас в выгодное положение. Это означает, что необходимо инвестирование времени и денег в образование, обучение нужным навыкам и, в целом, повышение осведомленности населения в области кибербезопасности. Организации с выигрышной стратегией кибербезопасности - это организации с эффективным процессом управления рисками и квалифицированными сотрудниками в области кибербезопасности. В совокупности эти два элемента позволяют организации оценивать свои сильные и слабые стороны, чтобы лучше противостоять кибератакам.
Во всем мире ощущается острая нехватка квалифицированных экспертов в данной области. Почему так происходит?
Технологии постоянно меняются, поэтому промышленным специалистам трудно за ними угнаться, и часто для их развития требуются специализированные знания, на получение которых требуется время. По данным Агентства Европейского Союза по кибербезопасности (ENISA), производители и другие организации, использующие решения Индустрии 4.0 и интернета вещей часто не успевают адекватно обучить свой персонал, прежде чем все снова меняется, тем самым подвергая себя потенциальным рискам. Более того, доступное им обучение часто не соответствует действительному положению вещей, и/или является крайне дорогим.
В последние годы участились случаи кибератак, что привело к тому, что организации поспешили нанять квалифицированных специалистов, в результате чего на рынке труда стало крайне сложно найти профессионалов в данной сфере. Необходимость и срочность принятия мер усугубляется ситуацией с пандемией COVID-19 и тревожным звонком, вызванным резким увеличением числа успешных кибератак. Обучение и подготовка специалистов в области кибербезопасности не поспевает за необходимостью создания квалифицированной рабочей силы.
Причины этого дефицита многочисленны и разнообразны. На уровне формального образования (университет или колледж) за последние десять с лишним лет число специалистов по кибербезопасности неуклонно росло, но число выпускников все еще не достигает уровня, которого требует отрасль. Для обучения и подготовки высококвалифицированных специалистов требуется много времени, а ещё больше времени необходимо для приобретения ими практического опыта работы. В то же время инвестиции в подготовку кадров по вопросам кибербезопасности серьезно ограничены, поскольку бюджеты по статьям расходов, не связанным непосредственно с прибылью и доходом, были значительно сокращены.
Что это значит для нашего будущего, если больше ничего сделано не будет?
Нехватка квалифицированных киберспециалистов во всем мире оказывает прямое и существенное влияние на организации и их способность защищать себя от киберугроз. В совокупности, все это создает ощутимую угрозу общему экономическому благосостоянию нации и, как следствие, благосостоянию общества.
Данная проблема охватывает, по крайней мере, три области, вызывающие особую озабоченность:
- Наличие квалифицированных специалистов по управлению, администрированию и поддержке организационной безопасности и операций
- Наличие квалифицированных кибер-инженеров для разработок систем безопасности и программного обеспечения и инструментов для обеспечения безопасности
- Создание общей осведомленности о кибербезопасности на каждом организационном уровне, с тем чтобы каждый работник имел базовые знания о киберугрозах и рисках и о том, что они означают в контексте каждой служебной функции каждого
Рост масштабов использования Интернета и онлайновых услуг, внедрение новых технологий и быстро меняющийся цифровой ландшафт усугубляют необходимость повышения уровней кибербезопасности. Отчаянная нехватка киберпрофессионалов явно замедляет прогресс в обеспечении достаточной и эффективной защиты.
Если глобальная нехватка квалифицированных кадров в области кибербезопасности сохранится, организациям будет сложнее выходить победителями из схваток с киберпреступниками. В таком случае, в будущем следует ожидать увеличения числа кибератак, приводящих к более тяжелым финансовым потерям, большим перебоям в работе, перебоям в предоставлении услуг и цепочках поставок, нарушению неприкосновенности частной жизни и безопасности, а также многим другим тяжелым последствиям.
Какие инициативы предпринимаются для того, чтобы попытаться поощрить талантливых киберспециалистов для заполнения увеличивающегося пробела в знаниях и навыках?
ENISA выступает за распространение межфункциональных знаний в области ИТ и ОТ безопасности, а также за продолжение обучения и курсов повышения квалификации. Данная организация выбрала наращивание потенциала в качестве ключевой цели своей новой стратегии и теперь проводит множество мероприятий по повышению осведомленности потребителей в целях содействия более безопасному поведению в Интернете. Она также поощряет и анализирует образование в области кибербезопасности в целях решения проблемы нехватки специалистов по вопросам кибербезопасности, которая представляет собой проблему как для экономического развития, так и для национальной безопасности.
В таких странах, как США и Великобритания, проводится ряд кампаний по повышению осведомленности о карьерах в сфере кибербезопасности, однако продвижение этих кампаний носит фрагментарный характер, и ни одна из них ни вышла на международный уровень.
В некоторых странах разработаны программы для решения этой проблемы. К ним относятся национальные кампании по повышению осведомленности о кибербезопасности, поощряющие университеты, колледжи, школы и учебные организации к продвижению кибербезопасности в качестве одной из сфер обучения. В Канаде и Великобритании, например, киберпросвещение начинает внедряться в школах для детей уже с восьмилетнего возраста. Это обнадеживает, поскольку нам необходимо создать будущие поколения талантливых кибернетических специалистов.
В настоящее время вы работаете над новым стандартом образования в области кибербезопасности. Как он должен будет помочь?
Одна из наших рабочих групп приступила к разработке технического отчета по образованию и подготовке кадров в области кибербезопасности. Когда данный документ будет опубликован, в нем будет изложено, почему, что и как следует делать в сфере образования и профессиональной подготовки в области кибербезопасности, чтобы помочь улучшить существующую ситуацию.
Этот новый технический доклад даст представление о том, почему образование и подготовка кадров в области кибербезопасности имеют важное значение и как они необходимы для создания хорошо информированной и компетентной рабочей силы, способной защитить и бизнес, и общество в целом. Также, новый стандарт сможет дать представление о том, почему образование в области кибербезопасности должно стать стратегическим приоритетом в развитии рабочей силы в организациях и правительстве, во всех деловых секторах.
В руководстве будет перечислено, какие национальные программы и инициативы, формального образования, профессиональной подготовки, стандартов и руководящих принципов в настоящий момент имеются в наличии. Таким образом, данное руководство может быть использовано для определения областей, требующих совершенствования и дальнейшего развития. Оно будет также охватывать специализированные области образования по вопросам кибербезопасности, которые имеют решающее значение для обеспечения эффективной кибербезопасности.
Для кого предназначен этот документ и когда мы можем надеяться его использовать?
Документ предназначен для использования всеми, кто занимается вопросами кибербезопасности: пользователями, поставщиками, сертифицирующими органами, директивными и регулирующими органами, специалистами в области образования, потребителями, поставщиками и производителями. Мы ожидаем, что он будет опубликован в конце 2021 или начале 2022 года.
Что могут сделать организации, чтобы защитить себя?
Одними из ключевых действий, которые должны предпринять организации, является полное понимание рисков, с которыми они сталкиваются, и применение базовых мер контроля, чтобы попытаться смягчить эти риски. ISO/IEC 27002, Информационные технологии - Технологии безопасности - Кодекс практики в области контроля информационной безопасности, предоставляет набор средств контроля, которые основаны на лучшей отраслевой практике; это удовлетворяет потребность организаций в создании возможностей для своей победы над киберпреступниками, при этом лучше понимая себя, как я уже говорил в начале. Чем больше организации понимают, с какими атаками они могут столкнуться и каковы их слабые стороны, тем лучше они могут уменьшить риски таких атак. Мудрость Сунь Цзы в его трактате об искусстве войны так же применима сегодня, как и тогда, когда она была впервые написана.