Systemy edukacji skupiają się na kształceniu prawników, marketingowców czy księgowych. Dlatego firmy nie mają większych trudności ze znalezieniem fachowca w jednej z tych profesji. Zupełnie inaczej wygląda sytuacja w przypadku specjalistów ds. cyberbezpieczeństwa. Jeszcze dekadę temu mało który z pracodawców myślał o etacie dla osoby zajmującej się ochroną zasobów informatycznych. Tym samym placówki edukacyjne na całym świecie nie nastawiały się na kształcenie specjalistów w tej dziedzinie, „produkując” magistrów od zarządzania i marketingu.

Nasilająca się fala cyberataków, a także nowa generacja narzędzi przeznaczonych do ochrony sieci i urządzeń końcowych, sprawiły, że właściciele firm zaczęli coraz bardziej nerwowo rozglądać się za ludźmi, którzy znają się na rzeczy. Popyt na tę grupę pracowników zaczął wyraźnie przewyższać podaż. Według szacunków HRK ICT na polskim rynku jest ponad 17 tysięcy nieobsadzonych stanowisk specjalistów ds. bezpieczeństwa IT. Co gorsza, rekruterzy nie mają nadziei na poprawę sytuacji. Wręcz przeciwnie, pojawiają się opinie, że liczba wakatów z roku na rok będzie się powiększać. Prawdopodobnie część firm będzie zatem zmuszona poszukać alternatywy dla fachowca na etacie. Szczególnie dotyczy to małych i średnich firm, których zazwyczaj nie stać na zaspokojenie wymagań finansowych specjalistów ds. bezpieczeństwa. Według „Ogólnopolskiego Badania Wynagrodzeń” mediana zarobków w tej grupie zawodowej wynosi 9,4 tys. zł brutto.

Producenci nie pomagają

Teoretycznie przedsiębiorcy mogliby wiązać nadzieje ze sztuczną inteligencją, której tak bardzo obawiają się przedstawiciele wielu zawodów. Jednak wiele wskazuje na to, że spece od cyberbezpieczeństwa mogą nie tylko spać spokojnie, ale wręcz przebierać w ofertach pracy jak w ulęgałkach. Po części jest to zasługa dostawców systemów bezpieczeństwa, którzy kilka lat temu ruszyli firmom na pomoc z takimi narzędziami jak EDR (Endpoint Detection and Response), NDR (Network Detection and Response), a od niedawna również XDR (Extended Detection and Response). „Drogi kliencie, powiadomimy Cię, kiedy wydarzy się coś złego, niemniej ktoś u Ciebie w firmie musi sprawdzać i analizować alerty” – to nowe przesłanie producentów. Niektórym przedsiębiorcom udaje się znaleźć takich specjalistów. Z kolei innym jedynie wydaje się, że takowych posiadają i po roku, a czasami później, okazuje się, że obsługa EDR-a bądź XDR-a przerasta możliwości zatrudnionych pracowników. Jednak nie można powiedzieć, że obecni dostawcy EDR, XDR czy SIEM nie wykonują dobrej roboty. Specjaliści przyznają, że po prostu podejście uniwersalne w zakresie bezpieczeństwa też ma swoje ograniczenia.

Złożoność narzędzi, a co za tym idzie trudności związane z interpretacją wysyłanych przez nie sygnałów, to nie jedyny problem, z jakim borykają się menedżerowie wyższego szczebla bądź właściciele firm. Osobnym wyzwaniem pozostaje liczba rozwiązań bezpieczeństwa IT, jakie są stosowane w poszczególnych firmach. Z badania Panaseer 2022 Security Leaders Peer Report wynika, że przeciętna korporacja korzysta z… 70 narzędzi bezpieczeństwa. W przypadku małych i średnich przedsiębiorstw może być jeszcze gorzej, ponieważ bezpieczeństwo IT staje się coraz bardziej złożone w związku z rosnącym wykorzystaniem usług chmurowych i liczbą używanych aplikacji SaaS (średnio firma korzysta ze 130 takich programów). To wymaga od pracowników wyższego poziomu wiedzy technicznej.

Niestety, liczba używanych narzędzi nie idzie w parze z jakością. Zwiększenie wydatków na bezpieczeństwo nie ograniczyło liczby cyberataków, a zwłaszcza szkód finansowych, które są przez nie wywoływane. Według analityków Gartnera w 2015 r. wartość globalnego rynku bezpieczeństwa wynosiła 75 mld dol., a na koniec bieżącego roku ma to być już 188 mld. Natomiast specjaliści Cybersecurity Ventures wyliczają, że straty gospodarki światowej z tytułu cyberataków wyniosą 8 bilionów dol. Jeszcze gorzej przedstawiają się prognozy analityków tej firmy. Otóż ich zdaniem w najbliższych latach ta niechlubna wartość ma rosnąć w tempie 15 proc. rocznie, by w 2025 r. osiągnąć poziom 10,5 bilionów dol. Dla porównania, w 2015 r. globalne szkody spowodowane przez cyberprzestępców miały sięgnąć 3 bilionów dol.

Przedstawiciele branży cyberbezpieczeństwa podkreślają, że płynący na konta przestępców strumień pieniędzy byłby jeszcze większy, gdyby nie duże inwestycje w systemy bezpieczeństwa IT poczynione przez użytkowników biznesowych. Jednak wciąż nam daleko do stanu, kiedy liczba incydentów cybernetycznych będzie odwrotnie proporcjonalna do podejmowanych przez firmy wysiłków i wydatków w zakresie działań defensywnych.

Cyberbezpieczeństwo jako usługa

W obecnych czasach ciężko znaleźć firmę, która zatrudnia na etatach pracowników do ochrony mienia. Niemal wszyscy korzystają z usług firm zewnętrznych. Niewykluczone, że w tym samym kierunku będzie podążać rynek usług cyberbezpieczeństwa. Z tą różnicą, że zupełnie innych umiejętności wymaga się od pracowników chroniących zbiorniki z paliwem, fabryczne maszyny czy kontenery z żywnością, aniżeli osób odpowiadających za bezpieczeństwo zasobów IT. Tych ostatnich jest na rynku pracy zdecydowanie mniej, a więc zgodnie z zasadami ekonomii usługi cyberbezpieczeństwa powinny być droższe niż usługi ochrony obiektów przemysłowych.

Według Gartnera w ubiegłym roku wydatki na usługi bezpieczeństwa, takie jak doradztwo, wsparcie sprzętowe, usługi wdrożeniowe i outsourcing, wyniosły 72 mld dol., zaś w roku bieżącym ma to być 76,5 mld. Globalnie dużą popularnością cieszą się usługi MSSP (Managed Security Service Providers). Jak wynika z danych Allied Market Research wartość tego segmentu rynku w 2020 r. wyniosła 22,45 mld dol., a prognozy mówią o 77,1 mld w roku 2030. To oznacza tempo wzrostu na poziomie niemal 13 proc. rocznie. Najbardziej lukratywną grupę dla dostawców MSSP stanowią banki oraz instytucje finansowe, których wydatki na ten cel stanowią około 40 proc. całego rynku. Natomiast najszybciej w latach 2020–2030 ma rosnąć grupa klientów z branży produkcyjnej.

Jakby jednak nie patrzeć na powyższe dane, to pokazują one nieco zafałszowany obraz rynku. Po pierwsze banki czy duzi ubezpieczyciele bardzo często korzystają z usług globalnych koncernów konsultingowych, a wartość podpisywanych kontraktów nijak ma się do segmentu małych i średnich przedsiębiorstw (MŚP). Wiele wskazuje na to, że to właśnie nie największe firmy będą podpisywać najwięcej kontraktów z dostawcami MSSP. Niewykluczone, że początkowo podejmą próby poszukiwania i zatrudniania specjalistów ds. bezpieczeństwa, niemniej w dłuższej perspektywie czasu dadzą o sobie znać ograniczenia budżetowe, a także deficyt odpowiednich fachowców na rynku pracy.

Po drugie, zdecydowanym prymusem na rynku MSSP są Stany Zjednoczone, które ze względu na sposób prowadzenia biznesu różnią się do państw europejskich. Na przykład w USA działa wielu dostawców (w tym Soteria, Recon InfoSec, TrustedSec, Binary Defense), którzy zajmują się technicznym doradztwem w zakresie cyberbezpieczeństwa. Wymienione firmy zatrudniają wysokiej klasy inżynierów, architektów systemów bezpieczeństwa IT, zapewniając swoim klientom kompleksową obsługę w tym zakresie. Innym ciekawym zjawiskiem występującym za oceanem są przejęcia na rynku MSSP. Mniejsi dostawcy usług są połykani przez dużych graczy, chcących w ten sposób umocnić swoją pozycję liderów, rozszerzyć działalności, a także pozyskać najlepszych specjalistów z rynku pracy. Portal MSSP Alerts donosi, że w 2022 r. zarejestrowano aż 50 takich transakcji, co niewątpliwie świadczy o żywotności tego segmentu w Stanach Zjednoczonych.

– Amerykanie są bardziej otwarci na rozmowy niż Europejczycy. Wykazują większe zainteresowanie niż Polacy usługami chmurowymi, a jednocześnie są przy tym bardzo wymagający. Tym, co wyróżnia USA na tle Niemiec czy Polski, jest bardzo duża popularność usług zarządzanych oferowanych przez Managed Service Providerów. Za oceanem rośnie liczba przedsiębiorców, którzy wolą skorzystać z oferty wyspecjalizowanych firm zewnętrznych niż szukać pracowników na etat – mówi Michał Wendrowski, CEO Rublonu, polskiego dostawcy systemów MFA, który działa w USA od kilku lat.