Zawartość

Niekompetentne cyberbezpieczeństwo

2021-10-22
Niekompetentne cyberbezpieczeństwo

Internet okazał się jednym z największych wygranych zeszłorocznej pandemii; ruch w sieci i liczba transakcji osiągnęły w 2020 r. bezprecedensowe poziomy. Nic dziwnego, że wraz z tym wzrosła też liczba ataków i szkodliwej aktywności. Według sekretarza generalnego INTERPOL-u, Jürgena Stocka, „cyberprzestępcy rozwijają się i zwiększają liczbę ataków w alarmującym tempie, wykorzystując strach i niepewność wywołane przez niestabilną sytuację społeczną i gospodarczą spowodowaną przez COVID-19”.

Dzieje się to w chwili, gdy według szacunków nawet 3,5 miliona miejsc pracy w obszarze cyberbezpieczeństwa pozostanie nieobsadzonych – to zła wiadomość. Czy właśnie przegrywamy bitwę? Podnoszenie kwalifikacji osób już pracujących w cyberbezpieczeństwie i zachęcanie nowych do zatrudnienia się w tej branży jest naszą najlepszą obroną, ale programy nauczania są fragmentaryczne i niewystarczające. […]

Niedobór cyberspecjalistów

Ogólnoświatowy niedobór wykwalifikowanego personelu cybernetycznego ma bezpośredni i znaczący wpływ na organizacje i ich zdolność do (cybernetycznej) samoobrony. A to stanowi poważne zagrożenie dla ogólnego dobrobytu gospodarczego kraju, a co za tym idzie, również społeczeństwa.

Problem obejmuje co najmniej trzy obszary:

  • wykwalifikowanych specjalistów do zarządzania, administrowania i wspierania bezpieczeństwa i działalności organizacji;
  • wykwalifikowanych cyberinżynierów do projektowania systemów bezpieczeństwa oraz tworzenia bezpiecznego oprogramowania i narzędzi;
  • ogólną świadomość dotyczącą cyberbezpieczeństwa na każdym poziomie organizacji tak, aby każdy miał podstawową wiedzę na temat zagrożeń i ryzyka oraz tego, co to oznacza w kontekście pełnionej przez każdą osobę funkcji.

Zwiększające się wykorzystanie Internetu i usług online, wprowadzanie nowych technologii i szybko zmieniające się środowisko cyfrowe potęgują potrzebę dobrego i jeszcze lepszego cyberbezpieczeństwa. Rozpaczliwy niedobór specjalistów z umiejętnościami cybernetycznymi z pewnością opóźni postęp w osiąganiu odpowiedniej i skutecznej ochrony.

Normalizacja w branży cyberbezpieczeństwa

Jedna z grup roboczych Wspólnego Komitetu ISO/IEC JTC 1 rozpoczęła opracowywanie raportu technicznego dotyczącego edukacji i szkoleń w zakresie cyberbezpieczeństwa. Kiedy zostanie opublikowany, określi, dlaczego, co i jak należy zrobić w zakresie edukacji i szkoleń z cyberbezpieczeństwa, aby poprawić obecną sytuację.

Raport techniczny dostarczy nam więcej danych o tym, dlaczego edukacja i szkolenia w zakresie cyberbezpieczeństwa są takie ważne i jak są niezbędne do tworzenia dobrze poinformowanej i kompetentnej kadry pracowniczej, która może chronić biznes i społeczeństwo. Raport wyjaśni również, dlaczego edukacja w zakresie cyberbezpieczeństwa musi być strategicznym priorytetem rozwoju pracowników w organizacjach, agendach rządowych i we wszystkich sektorach biznesu.

Przewodnik będzie zawierał listę dostępnych inicjatyw i programów krajowych dotyczących kształcenia formalnego, szkoleń zawodowych, norm i wytycznych. Dzięki temu można będzie go wykorzystywać do identyfikacji obszarów wymagających poprawy i dalszego rozwoju. Będzie również opisywał specjalistyczne obszary edukacji w zakresie cyberbezpieczeństwa, które mają kluczowe znaczenie do zapewnienia skutecznej ochrony cybernetycznej.

Dla kogo nowy dokument?

Dokument w założeniu ma być przydatny każdemu, kto zajmuje się cyberbezpieczeństwem: użytkownikom, dostawcom, osobom certyfikującym, decydentom i regulatorom, pedagogom, konsumentom, sprzedawcom i producentom. Spodziewamy się, że zostanie opublikowany pod koniec 2021 r. lub na początku 2022 r.

Co organizacje mogą zrobić w międzyczasie, aby się chronić?

Jednym z najważniejszych działań, jakie organizacje muszą przedsięwziąć, to pełne zrozumienie zagrożeń, przed jakimi stoją oraz zastosowanie podstawowych mechanizmów kontrolnych w celu złagodzenia tych zagrożeń. Norma ISO/IEC 27002 Information technology – Security techniques – Code of practice for information security controls zawiera zestaw mechanizmów kontrolnych wywodzących się z najlepszych praktyk branżowych; umożliwia to dowolnej organizacji budowę zdolności zwalczania zagrożeń dzięki lepszemu zrozumieniu własnych potrzeb. Im więcej się wie na temat możliwych ataków, a także własnych słabości, tym łatwiej jedne i drugie zneutralizować.

Link do całości artykułu z „Wiadomości PKN 9/2021”