Sadece 2018'in ilk yarısında, veri ihlallerinde dört milyardan fazla kayıt tehlikeye atıldı .
Yani göre, ağır bir bedeli var IBM ve Ponemon Enstitüsü tarafından 2018 çalışma . Ortalama veri ihlali maliyet şirketlerine 3,86 milyon dolar, çalışma bulundu ve büyük çaplı ihlal 350 milyon dolara varabilir.
Bu çerçevede, şirketler bu risklere karşı korunmak için siber güvenlik uzmanlarını işe almaya isteklidir. Sorun: Bu rolleri dolduracak kadar neredeyse insan yok.
Nitelikli güvenlik uzmanlarına olan talep , kar amacı gütmeyen BT güvenlik organizasyonuna (ISC) ² göre dünya genelinde 2.93 milyon pozisyonu açık ve doldurulmamış siber güvenlik endüstrisinin karşılaştığı en büyük zorluklardan biridir .
BT araştırma şirketi Enterprise Strategy Group'un kıdemli analisti Jon Oltsik'e göre, eğitimli güvenlik personeli olmadan, kurumlar doğru kontrolleri uygulama veya siber saldırıları tespit etme ve önleme için özel güvenlik süreçleri geliştirme yeteneğine sahip değiller. Buna ek olarak, mevcut çalışanlar sürekli değişen bir sektörün zorluğuyla karşı karşıya.
Oltsik, "Her zaman siber güvenlik uzmanlarının doktorlar gibi olduklarını söylüyorum, çünkü en son araştırma ve tehdit zekasını incelemek için bol zaman harcamak zorundalar" dedi.
Bir boru hattı sorunu
On yıl önce, kuruluşlar tipik olarak bir avuç genel BT personeline siber güvenlik sorumlulukları bıraktı. Ardından, IBM Security'nin akademik tanıtım lideri Heather Ricciuto, "eğlenmek için yapan amatörler" tarafından siber saldırılar gerçekleştirildi.
Bulut tabanlı sistemler gibi daha fazla internet cihazının kurumsal operasyonlara sunulmasıyla birlikte şirketler gittikçe büyüyen bir alanda saldırılara açıldı.
Bu değişiklik gerçekleştikçe - ve sofistike saldırılar arttı - örgütler yardıma ihtiyaç duyduklarını anladılar. CNC'ye konuşan Oltsik, siber güvenlik yetenekleri için ortaya çıkan acele nedeniyle pazarın tükenmesine neden oldu ve okullardan ve eğitim programlarından çıkan yeni uzmanların sayısı artmadı.
Oltsik, "Yeteneğe daha fazla talep var ve orada yeterince yetenek yok." Dedi.
IBM uzmanları, eğitim düzeyindeki kaynakların eksikliğinin kıtlığa önemli bir katkı olduğunu belirtti.
Uygulamalı olarak, teknik beceriler işverenler tarafından en çok arananları oluştururken, birçok okulda siber güvenlik konusunda eğitimli öğretmenler veya kurs materyalleri bulunmuyor - öğrencileri siber güvenlik profesyonellerinin ihtiyaç duyduğu kritik becerileri alma fırsatından mahrum bırakıyorlar.
Ricciuto, yıllarca siber güvenliğin ortak bir çalışma alanı olmadığını ve üzerinde çok fazla program bulunmadığını belirtti. Aslında, Raytheon'dan yapılan bir 2016 araştırması, 12 ülkeden öğrencilerin yüzde 62'sinin siber güvenlik alanında kariyerinin danışmanları veya öğretmenleri tarafından asla belirtilmediğini belirtti.
İnsanlar 'en zayıf halka'
Siber güvenlik personelinin eksikliği, uzun zamandan beri işletmeler için en büyük siber risklerden biri olarak lanse edilen diğer çalışanların hata riskini de artırabilir .
IBM Security sözcüsü Cassy Lalan, "Uzmanlardan duyduğumuz, insanın siber güvenliğin en zayıf halkası olduğudur. İnsanlar mükemmel değildir ve kolayca kandırılabilirler." Dedi.
Yani, uzmanlar bilgisayar korsanlarının bir şirketin sistemlerine erişmesinin en kolay yolunun eğitimsiz çalışanlar tarafından içeriden olduğunu söylüyorlar.
Uygun siber güvenlik becerileri eğitimi olmadan, teknik olmayan çalışanlar cehalet ve ihmalden faydalanan kimlik avı e-postaları gibi sosyal mühendislik taktikleri konusunda daha savunmasızdır. Bu, bilgisayar korsanlarının bir şirketin veri sisteminde ilk adımını kazanmasını sağlar.
Çalışanlar bilmeden bu tuzaklara düştüğünde, siber güvenlik personelinin iş yüküne katkıda bulunur - bu da sorunu daha da artırabilir.
Oltsik, "Siber güvenlik ekibi yangınları söndürmekle meşgulken, eğitim kursları geliştirmek, iş birimleriyle çalışmak veya işgücünü eğitmek için yeterli zamanları yok." Dedi.
Boşluğu doldurmak
Günün sonunda, uzmanlar, şirketlerin siber güvenlik sorunlarına çözümün daha yetenekli profesyoneller işe almak için bir yol bulmak anlamına geleceğini söyledi.
Ricciuto, şirketlerin siber güvenlik eğitimi ve işe alım için bir alan oluşturmaya odaklanması gerektiğini söyledi: Anahtar, sadece derecelere değil becerilere odaklanmaktır.
“(IBM) güvenlik için geleneksel kökenli olmayan insanları arıyor. Müzikte geçmişe sahip, politik bilimle teknik olarak ilginizi çekemeyeceğini düşündüğünüz çok sayıda insan var. dedi.
Ricciuto, bu sektörde gerçekten başarılı olan kişilerin bilgi ve teknik becerilerin bir kombinasyonuna sahip olduğunu ekledi.
IBM uzmanına göre, hem siber güvenlik endüstrisi hem de ulusal hükümetlerin yetenek havuzunu geliştirme çabalarında kasıtlı olmaları gerekecek.
“Dürüst olmak gerekirse, hepimiz risk altındayız. İster büyük bir kuruluştan ister bir bireyden bahsediyor olun, risk herhangi bir bireyle sınırlı değildir” dedi. “Endüstriler, hükümetler, STK'ların birlikte çalışması önemlidir, çünkü kimse bunu tek başına yapamaz.”
