В начале июня написал про прошедший Всемирный экономический форум (ВЭФ) и его отчёт через призму кибербезопасности (защиты информации). Следом подготовил две статьи, одну о росте кибератак по всему миру, вторую – про прошедший Питерский форум (ПМЭФ) тоже с точки зрения кибербезопасности (защиты информации). И сейчас вернулся к ВЭФ, его отчёту о глобальной кибербезопасности, о прошедших там дискуссиях. Пожалуй, это последний обзор про форумы перед главным – нашим BIS Summit 2022 :)
На форуме говорили про технологии и инновации, про то, что они разрушают одно и создают другое, про кибербезопасность, рост кибератак и защиту критической инфраструктуры, о том, что делает Всемирный экономический форум (ВЭФ) в области кибербезопасности.
Но я решил выделить два ключевых, по моему мнению, момента.
Первый: цифровая устойчивость, киберустойчивость и кибербезопасность
Второй: острая нехватка кадров в сфере кибербезопасности.
По первому моменту, следующему из отчёта (Global Cybersecurity Outlook 2022), важно, что многие лидеры цифровой трансформации стали в своих выступлениях, статьях прямо связывать благополучие населения, рост цифровой экономики с киберустойчивостью и кибербезопасностью, с необходимостью интегрировать риск-менеджмент в области кибербезопасности в управление бизнес-рисками, с возможностями находить компромиссы между безопасностью, удобством применения её требований и затратами на уровне высшего руководства. По сути, многие из них предлагают рассматривать кибербезопасность как стратегическую проблему бизнеса, влияющую на принятие решений.
И в современных реалиях цифровая устойчивость стала частью многих, но далеко не всех и даже не большинства бизнес-стратегий, хотя её критичность подтвердили реалии 2022 года: рост киберпреступности и противостояния в киберпространстве. В отчёте о глобальной кибербезопасности ВЭФ говорится, что было выявлено «три основных и критических пробела в восприятии» между директорами по информационной безопасности (CISO) и руководителями бизнеса (CEO), касающихся приоритизации задач безопасности при принятии бизнес-решений и управлении рисками, вследствие чего многие CISO по-прежнему заявляют, что с ними не консультируются при принятии бизнес-решений, что приводит к проблемам в сфере безопасности.
Третий пробел, выявленный в исследовании ВЭФ, – это проблемы привлечения и удержания специалистов по кибербезопасности. «59% всех респондентов, принявших участие в опросе ВЭФ, сочли бы сложным реагировать на инциденты кибербезопасности из-за нехватки навыков в их команде». Многие CISO рассматривают неспособность персонала должным образом реагировать на кибератаки как одну из основных уязвимостей предприятия.
Но и помимо отчёта, в своих статьях на сайте ВЭФ, выступлениях во время сессий говорили о необходимости решения проблемы глобальной нехватки квалифицированных специалистов в сфере кибербезопасности, о том, что без её решения невозможно построить устойчивую цифровую экономику. Например, «по данным Фонда ООН для инвестиций в развитие
экономический ущерб от нарушений в сфере безопасности достиг 4-6 триллионов долларов в 2020 году, что эквивалентно примерно 4-6% мирового ВВП». Также, «по данным Cybersecurity Ventures количество незаполненных вакансий в области кибербезопасности в мире увеличилось более чем в три раза с 1 миллиона в 2014 году до 3,5 миллиона в 2021 году».
Еще одна сторона кадрового вопроса, помимо поиска специалистов, – это проблема удержания кадров, связанная с массовыми увольнениями: «в 2021 году произошел самый большой отток сотрудников за всю историю наблюдений. Только в ноябре 2021 года почти 4,5 миллиона человек в США добровольно ушли в отставку, установив месячный рекорд». За время пандемии появился термин «Великая отставка» (Great Resignation, придуман и предсказан психологом Энтони Клотцем (Anthony Klotz).
Интересно, что с задачами обеспечения кибербезопасности стали явно связывать не только поиск и удержание специалистов, но и создание детальных политик увольнения сотрудников, препятствующих утечкам данных из организаций.
Одна из причин – и наиболее значимых – острого дефицита кадров в области кибербезопасности заключается в том, что это на такую должность могут принять только лояльного специалиста, преимущественно – гражданина своей страны, а если кандидат - иностранец, то он должен знать не только английский, но и язык страны, причём его знания и опыт в кибербезопасности будут рассматриваться только потом, и потенциальная нелояльность здесь – отсекающий критерий. Всё это сильно ограничивает трудовую миграцию в данной области и каждая страна может и должна полагаться прежде всего на подготовку своих кадров. Как показали события с практически мгновенным уходом иностранных вендоров и отключением их СЗИ, систем и сервисов, нельзя полагаться на «многолетнюю мировую репутацию» и лозунги о надёжности и доверии.
Для «мирового перетока кадров в сфере кибербезопасности» больше всего возможностей у специалистов в области безопасной разработки ПО, а также крупных компаний, имеющих представительства и клиентов по всему миру (консалтинг, пресейл, внедрение, техподдержка), но опять же, с учётом политический решений, в т.ч. санкций.
А как вы считаете, какие ключевые проблемы безопасности цифровой экономики существуют сейчас? Появились ли новые или просто изменился рейтинг угроз и проблем? Видите ли вы разницу между киберустойчивостью и кибербезопасностью?
Пишите – обсудим, самые интересные статьи и мнения опубликуем.