Az elmúlt év alaposan felforgatta a vállalatok életét.
Az IT csapatoknak extrém terhelés alatt kellett dolgozniuk. Az IT biztonsági rendszert úgy kellett kialakítani, hogy átfogó védelmet biztosítson ehhez az új, hibrid rendszerhez. Ezek a feladatok sok esetben új embereket is kívántak, ám jó szakembert találni nem egyszerű, főleg nem egy kisebb cég számára.
Az információbiztonság egy folyamatosan növekvő iparág. Gyors fejlődése abból adódik, hogy sorban jelennek meg az új technológiák. A szakemberek leginkább egy adott témára specializálódnak, ahhoz értenek a legjobban.
A jelenlegi statisztikák azt mutatják, hogy nincs annyi szakember Magyarországon, mint ahányra a nyitott pozíciók alapján szükség lenne. Kevesen rendelkeznek olyan átfogó tudással, amellyel mindenhez IS értenek. Vannak, akik az üzemeltetői részéhez értenek jobban, mások a szabályozói szinten mozognak otthonosan, de kevés olyan ember van, aki ezekkel egyszerre foglalkozik.
Legtöbb esetben a cégeknek csak egy emberre van szükségük, ettől az egy embertől várják el, hogy minden munkakörben megfeleljen. Jelenleg azt tapasztaljuk, hogy egy álláshirdetésben feltüntetik, hogy az illető foglalkozzon IT audittal, GDPR-ral, értsen a szabályozási körülményekhez. Emellett pedig legyen releváns végzettsége, tanúsítványa (CISA, CISM, CEH) és legyen pentester is. Bizonyos pozíciók évekig üresek maradnak, mert a cégek nem engednek az elvárásaikból.
Mi lenne a megoldás a szakemberhiányra?
A legegyszerűbb megoldás a fejlődés, tanulás, képesítés szerzés. Magyarországon jelenleg elég szűk a paletta, kevés megfelelő képzés érhető el. Két egyetem nyújt hasonló képzettséget. Egyrészt a Nemzeti Közszolgálati Egyetem, ahol elektronikus információbiztonsági vezető képzést indítanak. A másik lehetőség pedig az Óbudai Egyetem, melyen kiberbiztonsági szakember képzés indul. Ezek főként elméleti jellegűek, ezért az alapok jól elsajátíthatók, de gyakorlat és tapasztalat nélkül még nem leszünk szakemberek. Pentester képzés, etikus hacker képzés főiskolai vagy egyetemi keretek között Magyarországon nincs, és valószínűleg a közeljövőben nem is lesz, hiszen ez főleg gyakorlati oktatásként működhetne. A képzések mellett azonban az oktatókból is hiányt szenvedünk. Jelenleg, aki hasonló területen szeretne dolgozni, annak először el kell végeznie egy BSC képzést.
Tőlünk nyugatra azonban már előrébb járnak ebben a témában. Főiskolán lehetőség van különböző szakirányok közül választani, emellett pedig több hónapos tanfolyamok is léteznek, melyekkel tanúsítványokat lehet megszerezni. Természetesen ez a magyarok számára is elérhető, de magyar nyelvű tanúsítványokra is szükség lenne.
Hogyan oldható meg cégen belül az IT biztonság?
Jellemzően azt látjuk, hogy egy vállalatnál az információbiztonsági szakember egyszerre több dologgal is foglalkozik. Ő készül fel az auditokra és vezényli le őket, segít a belső ellenőrnek, belefolyik az adatvédelembe. Ezek mellett nem marad már ideje arra, hogy technikai dolgokkal is foglalkozzon. Azonban megfelelő képességek és képesítés nélkül egy informatikusnak 2-3 évig is eltarthat, mire beletanul az információbiztonsági munkakörbe.
Sokszor elfelejtjük, hogy az IT-n belül olyan önálló témakörök léteznek, melyekhez egy élet is kevés lenne, hogy minden aspektusát megtapasztaljuk.
Egy kisebb cégnek nem feltétlenül van lehetősége arra, hogy belső embert alkalmazzon. Legtöbbször azt a megoldást választják, hogy egy külsős személlyel kötnek támogatói szerződést, aki hetente egyszer kimegy a céghez, elvégzi a felhasználók által kérteket, rövid szemlét tart.
A rendvédelmi szférában több IT biztonsági szakembert alkalmaznak?
Sajnos egyáltalán nem. A nem tudásalapú, és a versenyszférától messze elmaradó bérek miatt nincs lehetőségük rá, hogy a piaci viszonyokhoz igazodva megfizessenek egy szakembert. Manapság kevés az olyan ember, aki a hivatástudat miatt marad a rendvédelmi szerveknél.
Például a Honvédségbe olyan ember jelentkezésére számíthatnak, aki informatikusként nem tud megélni vagy elhelyezkedni civil cégeknél.
A túlképesítés is veszélyt jelent rájuk nézve. A főiskolán kiképzik a hallgatókat, ahol egy alap tudást kapnak, majd később kikerülnek a csapatokhoz. Elvégzik az információbiztonsági tanfolyamokat és esetleg megszerzik a felsőfokú NATO-s nyelvvizsgát. A reményteljes ifjú tehetségeket azonban könnyen elcsábíthatják a nagyobb vállalatok.
Milyen tanúsítvány elegendő egy KKV IT biztonság igényeihez?
Egy KKV IT biztonsági igényét 2-3 év tapasztalattal rendelkező szakember ki tudja elégíteni, még abban az esetben is, ha nincs végzettsége. Átfogó, biztonsági alapot tud nyújtani például az elektronikus információbiztonsági vezető képzés elvégzése, ami államilag elismert oklevelet is ad. A többit pedig gyakorlatban lehet megszerezni.
A kisebb cégek legtöbbször nem tudják megfizetni azt az embert, aki tapasztalattal vagy tanúsítvánnyal rendelkezik, mert az ő bérigényük magasabb. Nekik mindenképpen külsős szolgáltatóhoz kell ezt kiszervezniük.
Informatikusként pedig érdemes lehet etikus hacker képzésen is részt venni. Így az illető több lábon állhat, több mindenhez érthet egyszerre, ezáltal több pénzt is kereshet. Ahogy egyre több minden kerül át az online térbe, úgy lesz egyre fontosabb a biztonság. Az etikus hackerek már így is nagyon keresettek, később pedig még nagyobb szükség lesz rájuk.
Miért éri meg jobban a bug bounty, mint egy belső kolléga?
Egy belső kolléga egyedül dolgozik, a napi 8 órás munkát minden esetben ki kell fizetni neki, emellett pedig nem tudja folyamatosan tesztelni a hálózatot vagy az applikációt. Ezzel szemben egy bug bounty-nál egyszerre több etikus hacker is teszteli a rendszert és csak sérülékenység esetén jár a jutalom.
Egy belső kolléga természetesen jó kiegészítés lehet, de ajánlott egy bug bounty program is. Ez a programlehetőség azok számára is megfelelő lehet, akik nem tartanak fenn külön IT csapatot.
Összességében elmondhatjuk, hogy egy kisebb cégnek nem feltétlenül éri meg egy folyamatos pentestert fenntartania. Inkább külső, független szakembert javasolt megbízniuk. Nagyobb szervezeteknél viszont már érdemes lehet belső kollégát felvenni, aki kézben tartja ezt a területet és tartja a kapcsolatot a külső szakemberekkel.