شکاف مهارت های امنیت سایبری: اینترنت یکی از بزرگترین برندگان در همه گیری سال گذشته بوده است که ترافیک و تراکنش ها در سال 2020 به سطوح بی سابقه ای رسیده است. جای تعجب نیست که تعداد حملات و فعالیت های مخرب همراه با آن افزایش یافته است. به گفته یورگن استاک، دبیر کل اینترپل، “مجرمان سایبری حملات خود را با سرعت هشدار دهنده ای توسعه و تقویت می کنند و از ترس و عدم اطمینان ناشی از وضعیت ناپایدار اجتماعی و اقتصادی ایجاد شده توسط COVID-19 استفاده می کنند.”

در زمانی که برآوردها حاکی از آن است که در سال جاری تا 3.5 میلیون شغل امنیت سایبری خالی خواهد ماند، این خبر بدی است. آیا ما جنگ را باختیم؟ ارتقاء مهارت کسانی که قبلاً در صنعت امنیت سایبری هستند و جذب تازه واردان برای پیوستن به آنها بهترین دفاع ما است، اما برنامه ها و طرح ها تکه تکه هستند و کافی نیستند.

ما با دکتر ادوارد هامفریس، متخصص امنیت فناوری اطلاعات مشهور جهان به گفتگو نشستیم تا در مورد نگرانی‌های مربوط به کمبود مهارت‌های سایبری و پیامدهای بالقوه آن برای تجارت و جامعه صحبت کنیم. DrHumphreys در تعدادی از کمیته ها که به طور مشترک توسط ISO و کمیسیون بین المللی الکتروتکنیکی (IEC) اداره می شوند، از جمله ISO/IEC JTC 1، فناوری اطلاعات، کمیته فرعی SC 27، امنیت اطلاعات، امنیت سایبری و حفاظت از حریم خصوصی که دارای بیش از 200 استاندارد منتشر شده است، می نشیند.

77 بیشتر در حال توسعه است. او که متخصص در زمینه خود است، اغلب به عنوان “پدر” خانواده استانداردهای ISO/IEC 27001 برای سیستم های مدیریت امنیت اطلاعات ذکر می شود.

مطالعه پیشنهادی: ایزو 14091: ارزیابی خطر تغییرات اقلیمی

امنیت سایبری یک نبرد دائمی است، با افزایش تقاضا برای استعدادهای سایبری و پیشی گرفتن از عرضه. وضعیت امروز کجاست؟

ذکر برخی از حکمت های باستانی در مورد استراتژی نبرد مفید است. این نقل قول امروزه اغلب در محیط های آموزشی و آموزشی مختلف برای متخصصان در بسیاری از زمینه ها از جمله مدیریت، مذاکرات تجاری و البته امنیت سایبری استفاده می شود.

هرچه اطلاعات بیشتری در مورد نقاط قوت و ضعف خود و دشمن خود داشته باشیم، آمادگی بیشتری داریم. ما باید اطلاعاتی در مورد اینکه دشمن کیست، چرا، کی، چگونه و چه چیزی ممکن است حمله کند و از آن چه چیزی به دست بیاورد، به دست آوریم. اگر خودمان و دشمنمان را خوب بشناسیم، شانس زیادی برای پیروزی در نبرد داریم.

داشتن نیروی کار آگاه سایبری با متخصصان ماهر و کارمندان آگاه، ما را در موقعیت خوبی قرار می دهد. این به معنای سرمایه گذاری زمان و پول در آموزش، آموزش و آگاهی سایبری است. سازمان هایی با استراتژی برنده برای امنیت سایبری آنهایی هستند که فرآیند مدیریت ریسک موثر و نیروی کار ماهر در امنیت سایبری دارند. در مجموع، این دو عنصر سازمان را قادر می سازد تا نقاط قوت و ضعف خود را برای مقاومت بهتر در برابر حملات ارزیابی کند.

کمبود شدید متخصصان ماهر در سراسر جهان در این زمینه وجود دارد. چرا این هست؟

فناوری مدام در حال تغییر است، بنابراین برای پرسنل صنعت کار سختی است که به آن ادامه دهند، و اغلب نیاز به دانش تخصصی دارد که توسعه آن به زمان نیاز دارد. بر اساس گزارش آژانس امنیت سایبری اتحادیه اروپا (ENISA)، تولیدکنندگان و سایر سازمان‌هایی که از راه‌حل‌های Industry 4.0 و اینترنت اشیا استفاده می‌کنند، معمولاً زمان لازم برای آموزش کارکنان را قبل از تغییر دوباره ندارند و خود را در معرض خطرات بالقوه قرار می‌دهند. علاوه بر این، آموزش موجود ناکافی و/یا گران است.

در سال‌های اخیر، تشدید حملات سایبری باعث شده است که سازمان‌ها به سرعت برای جذب افراد حرفه‌ای هجوم بیاورند و این باعث می‌شود بازار از استعدادهای موجود تهی شود. نیاز و فوریت برای اقدام به دلیل وضعیت COVID-19 و زنگ بیداری ناشی از افزایش چشمگیر حملات موفقیت آمیز بدتر شده است. آموزش و پرورش استعدادهای امنیت سایبری همگام با رقابت برای ایجاد نیروی کار ماهر نیست.

دلایل این کمبود بسیار و متنوع است. در سطح آموزشی رسمی (دانشگاه، کالج)، پذیرش امنیت سایبری به عنوان یک مدرک تحصیلی به طور پیوسته در طول دهه گذشته یا بیشتر در حال رشد بوده است، اما تعداد فارغ التحصیلان هنوز بسیار کمتر از تقاضای صنعت است. برای آموزش و تربیت افراد متخصص بسیار ماهر و زمان برای کسب تجربه کاری عملی نیاز است. در همین حال، سرمایه گذاری در آموزش امنیت سایبری با کاهش یا کاهش بودجه برای اقلام هزینه ای که مستقیماً به سود و درآمد مرتبط نیستند، به شدت با مشکل مواجه شده است.

اگر کاری بیشتر انجام نشود، این چه معنایی برای آینده ما دارد؟

کمبود پرسنل سایبری ماهر در سراسر جهان تأثیر مستقیم و قابل توجهی بر سازمان ها و توانایی آنها برای محافظت از خود دارد. و این در مجموع به یک تهدید قابل ملاحظه برای رفاه کلی اقتصادی یک ملت و در نتیجه، برای جامعه می‌افزاید.

این مشکل حداقل سه حوزه نگران کننده را پوشش می دهد:

متخصصان ماهر برای مدیریت، اداره و پشتیبانی امنیت و عملیات سازمانی
مهندسین سایبری ماهر برای طراحی سیستم های امنیتی و توسعه نرم افزارها و ابزارهای ایمن
آگاهی عمومی از امنیت سایبری در هر سطح سازمانی، به طوری که همه از تهدیدها و خطرات، و این که در زمینه عملکرد شغلی هر فرد به چه معناست، آگاهی اولیه داشته باشند.

رشد استفاده از اینترنت و خدمات آنلاین، معرفی فناوری‌های جدید و تغییر سریع چشم‌انداز دیجیتال، نیاز به امنیت سایبری بهتر را تشدید می‌کند. کمبود شدید متخصصان سایبری ماهر به وضوح مانع از پیشرفت در دستیابی به حفاظت کافی و مؤثر خواهد شد.

اگر کمبود جهانی نیروی کار ماهر در زمینه امنیت سایبری ادامه یابد، سازمان‌ها برای حضور در سمت برنده نبرد دشوارتر خواهند بود. چشم انداز آینده یکی از افزایش قرار گرفتن در معرض حملات سایبری خواهد بود که منجر به خسارات مالی سنگین تر، اختلال بیشتر در عملیات، قطع خدمات و زنجیره تامین، به خطر انداختن حریم خصوصی و ایمنی شخصی و بسیاری از اثرات دیگر خواهد شد.

چه ابتکاراتی برای تشویق و تشویق استعدادهای سایبری برای پر کردن شکاف در حال افزایش مهارت ها در حال انجام است؟

ENISA از دانش متقابل در مورد امنیت فناوری اطلاعات و OT و برای پیشبرد آموزش و ارائه آموزش حمایت می کند. ظرفیت سازی را به عنوان یک هدف کلیدی در استراتژی جدید خود قرار داده است و فعالیت های آگاهی بخشی زیادی را با مصرف کنندگان برای ترویج رفتار آنلاین امن تر انجام می دهد. همچنین در حال ترویج و تجزیه و تحلیل آموزش امنیت سایبری به منظور مقابله با کمبود حرفه ای امنیت سایبری است که هم برای توسعه اقتصادی و هم برای امنیت ملی یک مسئله است.

تعدادی از کمپین های آگاهی شغلی امنیت سایبری در کشورهایی مانند ایالات متحده و بریتانیا وجود دارد، اما تبلیغ این کمپین ها پراکنده است و چیزی وجود ندارد که در سطح بین المللی هماهنگ باشد.

برخی از کشورها برنامه هایی را برای بررسی این مشکل ایجاد کرده اند. اینها شامل کمپین‌های آگاهی ملی است که دانشگاه‌ها، کالج‌ها، مدارس و سازمان‌های آموزشی را تشویق می‌کنند تا استفاده از امنیت سایبری را به‌عنوان یک رشته تحصیلی ارتقا دهند. به عنوان مثال، در کانادا و بریتانیا، آموزش سایبری در مدارس برای کودکان زیر هشت سال شروع شده است. این اطمینان‌بخش است زیرا ما نیاز داریم تا نسل‌های آینده استعدادهای سایبری را بسازیم.

شما در حال حاضر در حال کار بر روی یک استاندارد جدید برای رسیدگی به آموزش در صنعت امنیت سایبری هستید. چگونه برای کمک در نظر گرفته شده است؟

یکی از گروه های کاری ما تهیه گزارش فنی برای آموزش و آموزش امنیت سایبری را آغاز کرده است. هنگامی که منتشر شد، چرایی، چیستی و چگونگی آموزش و آموزش سایبری برای کمک به بهبود وضعیت فعلی را تشریح خواهد کرد.

این گزارش فنی جدید بینشی در مورد اینکه چرا آموزش و آموزش امنیت سایبری مهم است و اینکه چگونه برای ایجاد نیروی کار آگاه و شایسته که می تواند از کسب و کار و جامعه محافظت کند ضروری است، ارائه می دهد. همچنین نشان می‌دهد که چرا آموزش امنیت سایبری باید به یک اولویت استراتژیک در توسعه نیروی کار در سازمان‌ها و دولت، در تمام بخش‌های تجاری تبدیل شود.

این راهنما آنچه را که در رابطه با برنامه ها و ابتکارات ملی، آموزش رسمی، آموزش حرفه ای، استانداردها و دستورالعمل ها در دسترس است، فهرست می کند. بنابراین، می توان از آن برای شناسایی زمینه های بهبود و توسعه بیشتر استفاده کرد. همچنین به حوزه‌های تخصصی آموزش امنیت سایبری که برای اطمینان از حفاظت مؤثر سایبری حیاتی هستند، می‌پردازد.

در نظر گرفته شده است که این سند برای هر کسی که در امنیت سایبری دخیل است مفید باشد: کاربران، تامین‌کنندگان، گواهی‌دهنده‌ها، سیاست‌گذاران و تنظیم‌کننده‌ها، مربیان، مصرف‌کنندگان، فروشندگان و تولیدکنندگان. ما انتظار داریم که آن را در پایان سال 2021 یا اوایل سال 2022 منتشر کنیم.

یکی از اقدامات کلیدی که سازمان ها باید انجام دهند این است که به طور کامل خطراتی را که با آن مواجه هستند، و اعمال یک خط پایه از کنترل ها برای تلاش و کاهش این خطرات انجام دهند. ISO/IEC 27002، فناوری اطلاعات – تکنیک‌های امنیتی – آیین‌نامه عملکرد برای کنترل‌های امنیت اطلاعات، مجموعه‌ای از کنترل‌ها را ارائه می‌دهد که از بهترین عملکرد صنعت مشتق شده‌اند. همانطور که در ابتدا ذکر کردم، این نیاز سازمان ها را برای ایجاد قابلیت برنده با درک بهتر خود برآورده می کند.

هرچه بیشتر در مورد حملاتی که ممکن است با آنها روبرو شوند و نقاط ضعف آنها درک کنند، بهتر می توانند آنها را کاهش دهند. حکمت سون تزو در هنر جنگ امروز به همان اندازه که برای اولین بار نوشته شد قابل اجرا است.