Rozwój umiejętności w zakresie cyberbezpieczeństwa – raport ENISA

26 marca 2020 roku ENISA opublikowała raport na temat rozwoju umiejętności w zakresie cyberbezpieczeństwa w UE (Cybersecurity Skills Development in the EU), który analizuje przyczyny niedoboru specjalistów z tej dziedziny na rynku pracy. W poszukiwaniu dobrych praktyk dostosowania systemów edukacyjnych do zapotrzebowania pracodawców, eksperci przyjrzeli się certyfikacji, wprowadzonej w 4 krajach. ENISA stworzyła również bazę studiów z cyberbezpieczeństwa. Baza ma dostarczać studentom informacji o istniejących możliwościach edukacyjnych, a uczelniom dać szansę na propagowanie swojej oferty i przyciąganie jak najlepszych kandydatów.

Niedobór specjalistów ds. cyberbezpieczeństwa

Rosnąca ilość zagrożeń w sieci sprawia, że pozyskiwanie specjalistów do zabezpieczania systemów informatycznych staje się absolutnym priorytetem zarówno dla biznesu, jak i sektora publicznego. Tymczasem na całym świecie zmagamy się z niedoborem specjalistów ds. cyberbezpieczeństwa (cybersecurity skills shortage, CSSS), co przejawia się w trudnych do obsadzenia wakatach i agresywnym podkupywaniu pracowników innych firm.

Ze względu na brak przekrojowych statystyk, trudno oszacować ilu specjalistów naprawdę brakuje. Brak także definicji „eksperta ds. cyberbezpieczeństwa”. Raport uwzględnia jednak potrzebę kształcenia w kierunku cyberbezpieczeństwa zarówno w zakresie przedmiotów technicznych, jak i humanistycznych (prawo, etyka, ochrona danych osobowych itp.). W opisie podstawy programowej studiów prezentowanych w raporcie, podkreślono konieczność przekrojowej wiedzy specjalistów.

W szacowaniu niedoboru specjalistów eksperci opierają się na analizie danych z obserwacji rynku pracy. W USA liczba ofert pracy dla specjalistów ds. cyberbezpieczeństwa w latach 2013-2019 wzrosła o 94% (podczas, gdy dla specjalistów IT jedynie o 30%), a zapełnienie wakatu takich specjalistów trwa o 20% dłużej niż w przypadku innych ofert pracy z obszaru IT. Eksperci szacują, że w 2019 roku brakowało  4.07 milionów specjalistów ds. cyberbezpieczeństwa i obecnie, aby sprostać wymaganiom rynku, potrzebny jest 145% wzrost[1].

Podobną tendencję obserwujemy w Europie. Statystyki pokazują, że luka CSSS wpływa na 74% organizacji, a jej największą konsekwencją jest coraz większe obciążanie pracą aktualnych pracowników przy równoczesnym braku szkoleń wewnętrznych i agresywnych taktykach rekrutacyjnych, aby pozyskać potrzebnych specjalistów[2]. Z kolei w raporcie ISACA z 2019 roku, 58% organizacji deklaruje, że posiada wakaty na stanowiskach związanych z cyberbezpieczeństwem. 60% z nich zaznacza, że rekrutacja na takie stanowiska trwa ponad 3 miesiące i zaledwie ¼ zgłaszających się kandydatów posiada kwalifikacje niezbędne do wykonywania pracy.

Przyczyna występowania luki specjalistów

Eksperci ENISA wskazali 4 przyczyny występowania niedoboru specjalistów ds. cyberbezpieczeństwa. 2 związane są z postawą pracodawców, a kolejne 2 wynikają z systemu edukacji:

  • Wysokie oczekiwania pracodawców do poziomu umiejętności i wszechstronności kandydatów.
  • Brak wystarczających szkoleń dla pracowników.
  • Zbyt mała ilość studentów wybierających studia z cyberbezpieczeństwa.
  • Brak dopasowania umiejętności absolwentów do oczekiwań pracodawców.

Eksperci ENISA radzą, że sposobem na rozwiązanie powyższych problemów jest stworzenie jasnych wymagań, jakie powinni spełniać absolwenci studiów z dziedziny cyberbezpieczeństwa. Do współpracy należy zaangażować przedstawicieli rządu, pracodawców i uczelni tak, aby wypracowane wytyczne były spójne i jednolite. Takie podejście zostało już wprowadzone w życie w 4 państwach: Australii, Francji, Wielkiej Brytanii i Stanach Zjednoczonych, w ramach certyfikacji edukacji z dziedziny cyberbezpieczeństwa.

Certyfikacja – dobre praktyki w porozumieniu pomiędzy pracodawcami i uczelniami

Do tej pory certyfikację w edukacji z dziedziny cyberbezpieczeństwa wprowadziły 4 państwa: Australia, Francja, Wielka Brytania i Stany Zjednoczone. Głównym celem było:

  • Zwiększenie liczby absolwentów, gotowych do zatrudnienia na rynku pracy.
  • Zbudowanie świadomości pracodawców na temat wiedzy, jaką posiadają absolwenci studiów.
  • Wsparcie studentów w podejmowaniu świadomych decyzji o ścieżce kształcenia poprzez jasne informacje na temat końcowych rezultatów poszczególnych studiów.

Posiadanie certyfikatu oznacza, że student posiada wiedzę i umiejętności, spełniające kryteria opracowane przez grupę ekspertów odpowiedzialnych za nadzór nad certyfikacją w danym kraju. W każdym państwie system zorganizowany jest nieco inaczej.

AUSTRALIA

W Australii utworzono dwa ośrodki naukowe oferujące certyfikowane studia z cyberbezpieczeństwa (Academic centres of cybersecurity excellence, ACCSEs) na Uniwersytecie w Melbourne i Uniwersytecie Edith Cowan w Perth. Obie uczelnie musiały spełnić kryteria programowe ustanowione przez departament edukacji australijskiego rządu. Wśród kryteriów znalazły się wytyczne dotyczące wiedzy teoretycznej i praktycznej, ale również wymagania związane z zapotrzebowaniem rynku (np. obowiązek przeprowadzenia komercyjnych badań dla biznesu). Program rozróżnia dwie ścieżki: techniczną i nietechniczną.

FRANCJA

We Francji zasady przyznawania certyfikatów określa program SecNumedu opracowany przez ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) we współpracy z rządem, biznesem i środowiskiem akademickim. Uczelnie, które ubiegają się o prawo do wydawania certyfikatów, muszą zapewnić, że program studiów jest zgodny z ustalonymi kryteriami. Dotychczas certyfikowanych jest 59 programów studiów: licencjackich, inżynierskich, magisterskich i specjalizacji.  

WIELKA BRYTANIA

Procesem certyfikacji w Wielkiej Brytanii zajmuje się NSCS (National Cyber Security Centre). Uczelnie, które ubiegają się o prawo przyznawania certyfikatów muszą złożyć aplikację zawierającą dokładny opis podstawy programowej. Do tej pory prawo do certyfikowania uzyskały 33 kierunki studiów. Od 2013 roku certyfikat można uzyskać również na studiach doktoranckich.

STANY ZJEDNOCZONE

W Stanach Zjednoczonych za certyfikację odpowiadają wspólnie dwie instytucje DHS (Department of Homeland Security) i NSA (National Security Agency), które sponsorują program centrów doskonałości akademickiej w cyberbezpieczeństwie (centres of academic excellence, CAEs). Program rozpoczął się w 1999 roku. Aktualnie w Stanach istnieją 272 formalnie uznane instytucje, pełniące funkcję CAEs w dwóch różnych obszarach: edukacja i badania. W zależności od poziomu programu studiów, instytucje muszą spełnić odpowiednie kryteria, aby móc wydawać certyfikaty. Prawo do certyfikacji jest odnawiane co 5 lat.

Choć programy certyfikacji są różne w każdym kraju, to jednak możemy zaobserwować punkty wspólne dla studiów, które kończą się wydaniem certyfikatu:

  • Podstawa programowa z konkretną ilością godzin z cyberbezpieczeństwa (w tym zajęć praktycznych)
  • Wysoka jakość prowadzonych zajęć i wykładowcy z potwierdzonymi kwalifikacjami
  • Włącznie do programów przedmiotów nietechnicznych z zakresu prawa, etyki, ochrony danych itp.
  • Współpraca z biznesem (praktyki, wizyty studenckie w firmach, wspólne badania)
  • Potwierdzone osiągnięcia absolwentów (znalezienie pracy w zawodzie, dalsza kariera naukowa)

Działania KE i ENISA

Konieczność budowania kompetencji z obszaru cyberbezpieczeństwa została zaznaczona już w pierwszej Strategii Cyberbezpieczeństwa UE: otwarta, bezpieczna i chroniona cyberprzestrzeń, w 2013 roku (Cybersecurity Strategy of the European Union: An Open, Safe and Secure Cyberspace). Kwestia ta była potem wielokrotnie podkreślana w późniejszych dokumentach[3]. W 2019 roku KE, w ramach Horyzontu 2020, uruchomiła 4 pilotażowe projekty (CONCORDIA, ECHO, SPARTA i CyberSec4Europe), które mają być prototypem europejskiej sieci kompetencji. Istotne działania na rzecz rozwoju cyberbezpieczeństwa prowadzi także ENISA, która wspiera organizację ECSC (European Cyber Security Challenge) – międzynarodowego konkursu z bezpieczeństwa technologicznego typu Capture the Flag, nastawionego na rozwój talentów młodych ludzi, a także koordynuje Europejski Miesiąc Cyberbezpieczeństwa (European Cybersecurity Month, ECSM) – ogólnoeuropejską kampanię edukacyjną promującą cyberbezpieczeństwo i wiedzę o nowoczesnych technologiach.

W 2020 roku ENISA stworzyła bazę studiów wyższych z dziedziny cyberbezpieczeństwa. Baza ma stanowić źródło informacji dla wszystkich, którzy chcą się szkolić i rozwijać swoje umiejętności. Studentom dostarcza informacji na temat istniejących możliwości nauki, a uczelniom daje szansę na propagowanie oferty edukacyjnej i zachęcenie jak najlepszych kandydatów.

Uczelnie mogą dodać studia do bazy pod warunkiem spełnienia odpowiednich kryteriów:

  • Dla studiów stacjonarnych I stopnia (licencjackich/inżynierskich) – co najmniej 25% zakresu przedmiotowego dotyczy cyberbezpieczeństwa.
  • Dla studiów stacjonarnych II stopnia (magisterskich) – co najmniej 40% zakresu przedmiotowego dotyczy cyberbezpieczeństwa.
  • Dla studiów doktoranckich – praca doktorska z zakresu cyberbezpieczeństwa.

Więcej informacji dla uczelni, które chcą zarejestrować się w bazie można znaleźć TUTAJ.

REKOMENDACJE

Eksperci rekomendują przede wszystkim prowadzenie systematycznych i pogłębionych obserwacji sytuacji specjalistów ds. cyberbezpieczeństwa w UE e w zakresie: liczby wakatów, zapotrzebowania rynku, zarobków, rodzajów specjalistów, ilości absolwentów studiów, wpływu certyfikacji studiów na wielkość luki specjalistów itp. Szczegółowe dane pozwolą na opracowanie spójnej strategii w UE, a także możliwości pomiaru wprowadzanych działań. ENISA zachęca również uczelnie do rejestracji w bazie studiów wyższych z dziedziny cyberbezpieczeństwa i tym samym umożliwienie zainteresowanym kandydatom dalszej edukacji w wybranym przez nich kraju.

PODSUMOWANIE:

  1. Trudno oszacować ilu specjalistów ds. cyberbezpieczeństwa brakuje, ponieważ nie mamy przekrojowych statystyk. Eksperci ENISA rekomendują wprowadzenie systematycznych obserwacji sytuacji specjalistów ds. cyberbezpieczeństwa w UE.
  2. Eksperci ENISA wskazali 4 przyczyny występowania niedoboru specjalistów ds. cyberbezpieczeństwa:
    • Wysokie oczekiwania pracodawców do poziomu umiejętności i wszechstronności kandydatów.
    • Brak wystarczających szkoleń dla pracowników.
    • Zbyt mała ilość studentów wybierających studia z cyberbezpieczeństwa.
    • Brak dopasowania umiejętności absolwentów do oczekiwań pracodawców.
  3. Jednym ze sposobów na niedobór specjalistów jest stworzenie jasnych wymagań dla absolwentów studiów. W 4 państwach (Australii, Francji, Wielkiej Brytanii i Stanach Zjednoczonych) odbywa się to w ramach certyfikacji studiów z dziedziny cyberbezpieczeństwa. We wszystkich państwach studia, które kończą się wydaniem certyfikatu muszą spełniać kryteria związane z odpowiednią podstawą programową, jakością prowadzonych zajęć, obecnością elementów praktycznych, a także potwierdzoną skutecznością w kształceniu absolwentów.
  4. KE i ENISA prowadzą szereg działań na rzecz zwiększenia poziomu kompetencji z obszaru cyberbezpieczeństwa. ENISA stworzyła bazę studiów wyższych na kierunku cyberbezpieczeństwo, w której gromadzi ofertę edukacyjną ze wszystkich państw członkowskich.
  5. Eksperci ENISA wskazują, że kolejnym krokiem na drodze poprawy edukacji z dziedziny cyberbezpieczeństwa będzie opracowanie spójnej i jednolitej strategii w UE.

[1] Dane z raportu International Information System Security Certification Consortium, dotyczą rynku amerykańskiego.

[2] Raport roczny za 2019 stworzony przez Enterprise Strategy Group and the Information Systems Security Association.

[3] Budowanie kompetencji z dziedziny cyberbezpieczeństwa pojawiło się również w komunikacie Building strong cybersecurity for the EU w 2017 roku, a także w ramach tworzenia tzw. Koalicji na rzecz umiejętności cyfrowych i zatrudnienia (Digital Skills and Jobs Coalicion).


TAGI ENISA, Unia Europejska,