الآلام المتزايدة: الفجوة في المهارات تتقابل مع تزايد سطح التهديدات

بقلم “ستيفن كوب” ، باحث متخصص في أمن المعلومات لدى شركة «إسيت» (ESET)

إذا كنت قلقًا بشأن خصوصية معلوماتك وأمنها  فقد تكون قد لاحظت عناوين الأخبار الأخيرة التي أعلنت أن فجوة المهارات الوظيفية العالمية للأمن السيبراني وصلت إلى ثلاثة ملايين. وهذا المقلق للغاية – أن العديد من المؤسسات حول العالم صرحت بأنها لا تستطيع العثور على ما يكفي من مقدمي الطلبات المؤهلين لنحو ثلاثة ملايين وظيفة الأمن السيبراني المتاحة – تأتي هذه المعلومات من قبل ISC² ، وهي مؤسسة دولية غير ربحية معروفة تعتمد الشهادات المهنية لأمن أنظمة المعلومات المعتمدة (CISSP) .

وقبل أن أقوم بتفصيل بعض الآثار المترتبة على هذا البحث الأخير في القوى العاملة، دعوني أقدم بعض النقاط السريعة:

• لقد كنت ضمن CISSP لفترة طويلة (كما هو موضح هنا).
• في رأيي، لا تتطلب العديد من وظائف الأمن السيبراني CISSP.
• لقد درست البيانات من قبل دراسات سابقة للقوى العاملة من ISC²
• أرى أن الدراسات عادلة ولا تضخم الطلب على مهارات الأمن السيبراني.
• أوصي بشدة بقراءة التقرير، الذي يمكن تنزيله هنا.
• أوصي أيضا بأخذ الأرقام الواردة في التقرير على محمل الجد.

فجوة المهارات أصبحت عميقة و واسعة

يجب أن أعترف بأنني كنت متشككًا في المرة الأولى التي سمعت فيها أن هناك نقصًا في عدد الأشخاص اللازمين للقيام بالعمل الضروري جدًا لتأمين أصولنا الرقمية العالمية. لذا بحثت في الموضوع ووصلت إلى رأي مفاده أن الأمر صحيح. قدمت بحثي في مؤتمر نشرة الفيروسات في عام 2016. وناقشت أيضًا فجوة المهارات – وجهود إغلاقها – في master’s dissertation in 2016 وعلى موقع  WeLiveSecurity.com في عام 2017.

إنه أمر صعب لتحديد وقياس فجوة المهارات في المهنة التي لا تزال تناضل من أجل الاتفاق على توصيفات الوظائف القياسية. بعض الأعمال المنجزة حتى الآن مفتوحة للتساؤل. ومع ذلك ، فقد وجدت بعض الاتساق في جانب واحد من البحث. عبر أربعة استطلاعات مختلفة من قبل أربعة كيانات أيضًا مختلفة، كانت هناك استجابة متسقة بشكل ملحوظ عندما تم طرح هذا السؤال على المديرين التنفيذيين ومديري تكنولوجيا المعلومات عبر مجموعة واسعة من الشركات: هل تعتقد أن هناك نقصا في المتخصصين في مجال الأمن السيبراني؟

في الحالات الأربع  وافق أربعة من كل خمسة أشخاص على أنهم يعانون من نقص. شمل هذا أرقام ISACA و ISC22 من 2015 و 2016 (على حد سواء في الفترة من بداية إلى منتصف الثمانينيات). وأظهرت دراسة قامت بها إنتل-مكافي من قبل CSIS – مركز الدراسات الإستراتيجية والدولية – إتفاقاً بنسبة 82٪ في عام 2016. وفي استطلاع رأيي لعام 2016 قال الأشخاص إن المواهب الأمنية السيبرانية الصحيحة إما متوسطة أو صعبة للغاية في العثور عليها و بلغ إجماليهم 83٪ ( وقال صفر بالمائة بأن التوظيف للأمن السيبراني أمر سهل للغاية).

في آخر تقرير لـ ISC²، قال 63٪ من المستجيبين عن شركاتهم: “لديهم نقص في الموظفين المخصصين للأمن السيبراني”. و أيضًا  قال 60٪ أن شركاتهم معرضة “لخطر معتدل أو شديد من الهجمات الإلكترونية بسبب هذا النقص”. من حيث أرقام الخطوط العليا، ويشير التقرير إلى أن فجوة الأمن السيبراني آخذة في الاتساع، وهو أمر مثير للقلق و خصوصًا عندما تدرك أن الجهود المبذولة لمعالجة المشكلة تعود إلى 10 سنوات على الأقل.

في عام 2010، وضع تقرير أزمة رأس المال البشري من CSIS المشكلة باعتبارها واحدة من مشكلتي “العمق وإتساع النطاق” و “الجودة والكمية”: “ليس لدينا فقط نقص في الأشخاص ذوي المهارات العالية تقنيا المطلوبة لتشغيل ودعم الأنظمة التي تم نشرها بالفعل، ولكن هناك نقصًا أكثر يأسًا في الأشخاص الذين يمكنهم تصميم أنظمة آمنة وكتابة رمز كمبيوتر آمن وإنشاء الأدوات الأكثر تطوراً اللازمة لمنع  والكشف والتخفيف وإعادة البناء للتلف الناتج عن فشل النظام والأعمال الضارة”.

سطح التهديد يتسع

ملاحظتي الخاصة هي أن البلدان والشركات تقصر باستمرار عن الجهد المطلوب لجذب عدد كاف من الناس إلى مهنة الأمن السيبراني وضمان امتلاكهم المهارات المناسبة. كذلك فشلت تقديرات ما يشكل “ما يكفي من الناس” في مواكبة معدل تطوير التكنولوجيا وإنتشارها.

وبعبارات موجزة يزيد كل جهاز جديد متصل بالإنترنت عدد السبل المحتملة للهجوم. وبما أن هذه الأجهزة “جديدة” مقارنة بالتكنولوجيات المجربة والمختبرة، فإنها تتطلب مزيد من المهارات اللازمة لتأمينها. ووفقا لشركة سيسكو، بلغ عدد الأجهزة المتصلة بالإنترنت 8.7 مليار في عام 2012 (فوربس). وكان هناك بالفعل فجوة في المهارات في تلك المرحلة. و بحلول عام 2018 ، تضاعف عدد الأجهزة المتصلة ثلاث مرات تقريبًا (Statista).

في حين أن المعادلة مثل “الاشخاص في الأمن السيبراني لكل مليون جهاز” لا معنى لها ، إذا كان عدد الأجهزة سيتضاعف ثلاث مرات في السنوات السبع القادمة، فمن غير المرجح أن يتجه إجمالي عبء العمل إلى الأسفل (ما لم يكن هناك انخفاض مفاجئ في مجرمي الإنترنت كنشاط و / أو اختراق هائل في تكنولوجيا الأمن – لا يبدو أي منهما مرجحًا لي). أيضًا تمثل هذه الأجهزة موجات متتالية من التكنولوجيا الجديدة – بداية من الطائرات بدون طيار وصولاً إلى السماعات الذكية و المباني الذكية والسيارات و التطبيقات التي لا تعتمد على الخادم، وما إلى ذلك – والتي من المحتمل أن تكون فيها نقاط ضعف جديدة يمكن أن يساء استخدامها بشكل سلبي من قِبل جهات فاعلة سيئة.

هناك مؤشر مختلف لعبء العمل في مجال الأمن السيبراني هو عدد مستخدمي الإنترنت، على افتراض أن كل مستخدم لديه القدرة على التصرف بشكل غير آمن ويتطلب من كل موظف بعض الجهد في مجال الأمن السيبراني. في عام 2012 بلغ عدد مستخدمي الإنترنت 2.4 مليار (إحصائيات عالم الإنترنت). وبحلول منتصف عام 2018 تخطى الأمر 4 مليارات.

كل هذه الأرقام تضاف إلى سطح الهجوم الذي يتسع، هناك المزيد من الطرق للتنازل وإساءة استخدام الأنظمة والبيانات. كان ذلك بمثابة إجماع غرفة مليئة بخبراء أمن المعلومات في حلقة نقاش عقدت مؤخراً حول الأمن السيبراني إستضفتها NASDAQ، في البورصة حيث تسرد العديد من شركات التكنولوجيا المعروفة في العالم أسهمها. كان هذا جزءًا من حدث استمر ليوم واحد نظمه التحالف الوطني للأمن على الإنترنت، وهي منظمة غير ربحية ترسي الوعي السنوي بالأمن السيبراني (إخلاء المسؤولية: أنا أمثل إسيت في مجلس إدارة NCSA).

تم استخدام أداة اقتراع مجهولة المصدر لتسأل أعضاء اللجنة والحاضرين “ما الذي يبقيك ليلاً؟” كانت الخيارات: تسوية البريد الإلكتروني للأعمال؛ هجمات دولية؛ هجمات داخلية؛ سطح التهديد يتسع وغيرها. 45% من المجيبين فكروا كثيرا في هذه الأمور ، واختاروا: ” سطح التهديد يتسع “. و بالنسبة لي هو الخيار المنطقي لأنه عندما تجمع بين فجوة المهارات وبين سطح تهديد متزايد، فإنه من المحتمل رؤية المزيد من هجمات الدولية والمزيد من الهجمات الداخلية و المزيد من تسوية البريد الإلكتروني للأعمال و غيرها الكثير”.

سياق اوسع

في حين إستطاعتنا جميعًا بذل المزيد من الجهد لمعالجة فجوة مهارات الأمن السيبراني، فمن المهم إدراك أنها ليست الفجوة الوحيدة في المهارات فهي أيضًا متعلقة بالصناعات الأخرى. “فجوة المهارات السيبرانية” موجودة ضمن نطاق واسع من الفجوات المهارية والتي ناقشها زميلي توماس فالتون هنا. وعندما تنظر إلى ما وراء تكنولوجيا المعلومات، يمكنك أن ترى فجوات في المهارات في القطاعات الأخرى كما تنعكس في عناوين الأخبار هذه، بدءًا من عام 2018: فجوة مهارات الفضاء الجوي: انخفاض القوى العاملة، مع تزايد الحاجة إلى المواهب ؛ فجوة المهارات تأثر في نمو صناعة البناء؛ أمريكا لديها نقص كبير في سائقي الشاحنات؛ نقص الطيار لا يغير المهارات؛ “الحرب من أجل المواهب” تبرز نقص القوى العاملة الماهرة في مجال الأزياء. إن الأمن السيبراني لم يقم حتى بتقليص هذا المقال تحت عنوان أهم خمسة قطاعات تعاني نقص العمالة .

كل ذلك يعني أن الاستراتيجيات الأربع التالية للتعامل مع فجوة مهارات الأمن السيبراني سوف تحتاج إلى النظر فيها في سياق أوسع للتنافس على العمالة:

1. جلب المزيد من الأشخاص في القوى العاملة لمجال الأمن السيبراني.
2. التأكد من أن التكنولوجيا الجديدة أكثر أمانًا من التقنيات القديمة.
3. تبطئ نشر التكنولوجيا الجديدة حتى يتم تحقيق النقطة رقم 2.
4. زيادة الجهود لردع الجريمة السيبرانية.

مرة أخرى ، يمكن تنزيل تقرير القوى العاملة من ISC² لعام 2018 من هنا.