Dramatyczny brak specjalistów do spraw cyberbezpieczeństwa w administracji

Dramatyczny brak specjalistów do spraw cyberbezpieczeństwa w administracji
Mirosław Kutyłowski, Politechnika Wrocławska
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Prof. dr hab. Mirosław Kutyłowski z Politechniki Wrocławskiej przestrzega przed skutkami niedoceniania specjalistów do spraw cyberbezpieczeństwa.

#MirosławKutyłowski @PWr_Wroclaw: Nikt o słabych nerwach nie zaakceptuje pracy jako specjalista od #Cyberbezpieczeństwo w sektorze publicznym, ponieważ urzędnik płaci za błędy – zaniedbanie obowiązków jest zagrożone sankcjami w kodeksie karnym. #PolitechnikaWrocławska

Robert Lidke, aleBank.pl: Wiadomo, że w Europie i w Polsce brakuje informatyków, ale chyba szczególnie brakuje specjalistów od cyberbezpieczeństwa – dlaczego?

Prof. dr hab. Mirosław Kutyłowski, Politechnika Wrocławska: Jest kilka czynników – po pierwsze dobry rynek pracy powoduje, że dużo jest stanowisk pracy, które są stosunkowo łatwe, nie wymagają wysokich kwalifikacji, a jednocześnie zapewniają dobre, stabilne warunki zatrudnienia, wobec czego na zasadzie minimalizacji kosztów można zdobyć dobrą pracę nie ucząc się dużo…

…będąc informatykiem?

Zobacz i posłuchaj rozmowy na naszym kanale aleBankTV na YouTube albo na końcu artykułu

Tak będąc informatykiem – stosunkowo niewiele się ucząc w porównaniu do zagadnień cyberbezpieczeństwa. To jeden czynnik. Drugi czynnik to jest to, że bardzo często zależy nam na specjalistach cyberbezpieczeństwa w infrastrukturze publicznej. Tutaj jest taki problem, że nikt o słabych nerwach nie zaakceptuje tego typu pracy ponieważ za błędy urzędnik płaci – zaniedbanie swoich obowiązków jest zagrożone sankcjami w kodeksie karnym i przy złej woli można to zastosować do osób odpowiedzialnych za bezpieczeństwo systemów teleinformatycznych, ponieważ zaniedbali zabezpieczenia, doszło do ataku – grozi więc im odpowiedzialność karna.

Jednocześnie obecnie stan technologii jest taki, że trudno jest zagwarantować stuprocentowe bezpieczeństwo, a w zasadzie jest to niemożliwe.

Trzeci czynnik jest taki, że brak jest motywacji do tego, żeby reprodukować specjalistów związanych z bezpieczeństwem…

…czyli kształcić?

Tak, czyli zwiększać ich produkcję, ponieważ pewna część tych specjalistów musi iść do banków, do przemysłu, pewna część tych specjalistów musi tworzyć nowych specjalistów, żeby ich było potem wystarczająco dużo w stosunku do potrzeb. Poza tym specjaliści do spraw cyberbezpieczeństwa są wyjątkowo poszukiwani w Europie Zachodniej, wobec tego są odsysani z rynku.

Jednocześnie brakuje w naszym kraju perspektywicznego myślenia w odniesieniu do tej grupy zawodowej. Jeżeli tego typu zapotrzebowanie jest, to trzeba stworzyć takie warunki, żeby młodzi ludzie nie oglądali się za pracą w przemyśle, tylko żeby uczyli nowych specjalistów, żeby nie emigrowali, tylko zapewniali bezpieczeństwo systemów informatycznych tu i teraz.

Jak to zrobić? Rozumiem, że powinni więcej zarabiać, powinny być wyższe płace dla osób zajmujących się cyberbezpieczeństwem, i jak rozumiem powinien być wypracowany jakiś standard w sektorze publicznym, który chroniłby specjalistów od cyberbezpieczeństwa przed nieuzasadnioną odpowiedzialnością karną?

Tak, oczywiście trzeba dopuścić, że urzędnik podejmujący decyzje, jeżeli chodzi o cyberbezpieczeństwo ma prawo do błędów. Błędy są tutaj wpisane w aktualny stan techniki, czy organizacji systemów – to jest najważniejsza sprawa. Trzeba ten problem rozwiązać.

Jeśli chodzi o samych specjalistów i ich płace, to jest troszeczkę tak – gdybyśmy się odwoływali do jakichś analogii wojskowych – czy pilotowi myśliwca płacimy dokładnie tyle samo, co żołnierzowi w budce wartowniczej – oczywiście, że nie.

Istnieje system, który motywuje do zdobywania tych trudnych umiejętności przy jednoczesnym ryzykowaniu zdrowiem. Tak samo powinno być tutaj. Jakiś współczynnik kosztochłonności, czy współczynnik zapotrzebowania na określoną usługę powinien zostać wypracowany. Na razie mamy egalitaryzm.

Specjaliści od cyberbezpieczeństwa są wynagradzani tak, jak pozostałe grupy. Były jakieś nieśmiałe próby w ostatnich latach podwyższania płac, ale to jest problem systemowy. Powinno się – jeżeli mamy mówić na serio o bezpieczeństwie, czy o budowie tych systemów w sektorze publicznym – stworzyć takie warunki, aby specjaliści od cyberbezpieczeństwa chcieli pracować w instytucjach publicznych. To nie chodzi tu o samą pensję, ale o stabilność zatrudnienia i pozostałe powiedzmy „atrakcje”, które muszą się wiązać z takim stanowiskiem pracy.