Evropska unija bije bitko s časom in pomanjkanjem kadrov v boju proti kibernetskim napadom. Agencija EU za kibernetsko varnost (ENISA) opozarja, da podjetja, ki upravljajo ključno infrastrukturo – od energetskih omrežij in bolnišnic do bank – ne najdejo dovolj usposobljenih strokovnjakov za zaščito svojih digitalnih sistemov.
“Na trgu dela preprosto ni dovolj kandidatov z ustreznimi znanji,” je za Politico dejala Eleni Philippou, strokovnjakinja pri ENISI. Konkurenca za omejen nabor talentov postaja vse bolj neusmiljena, kar potrjuje tudi nova raziskava agencije, ki je zajela 1.080 organizacij v javnem in zasebnem sektorju. Kar tri od štirih organizacij se soočajo s težavami pri privabljanju usposobljenega osebja za kibernetsko varnost.
Zaradi nezmožnosti zaposlovanja lastnih ekip so podjetja prisiljena spreminjati strategijo. Namesto v ljudi vlagajo v tehnologijo in najemanje zunanjih izvajalcev. Organizacije so lani za kibernetsko varnost namenile mediano 1,5 milijona evrov, kar je nekoliko več kot leto prej, a se sredstva vse bolj prelivajo v nakup opreme in storitev. ENISA to vidi kot “strateško izbiro za doseganje največjega učinka z omejenimi človeškimi viri”.
Kadrovska stiska ima neposredne varnostne posledice. Kritična infrastruktura, ki je pod stalnim udarom, ostaja ranljiva za napade, ki bi jih lahko preprečili z osnovnimi ukrepi, kot je nameščanje varnostnih popravkov.
Medtem ko hekerji začnejo izkoriščati znane ranljivosti le nekaj dni po njihovem razkritju, organizacije zaradi pomanjkanja osebja pogosto potrebujejo mesece, da te luknje zakrpajo. V tem vmesnem času so sistemi izpostavljeni napadom.
Povečano zanašanje na zunanje tehnološke in varnostne storitve prinaša nova tveganja v dobavnih verigah. Septembrski kibernetski napad na podjetje Collins Aerospace, dobavitelja sistemov za prijavo in vkrcanje, je povzročil kaos na večjih evropskih letališčih, kar kaže na krhkost povezanih sistemov.
Dodaten pritisk na podjetja ustvarja še nova, strožja evropska zakonodaja (kot sta direktiva NIS2 in uredba DORA), ki zahteva višjo raven zaščite. Čeprav ta pravila spodbujajo vlaganja v varnost, pa brez ustreznih strokovnjakov njihova izvedba ostaja velik izziv.
Komentirajo lahko naročniki