Pre novú legislatívu budú na Slovensku chýbať tisíce bezpečnostných IT špecialistov.
Zákon o kybernetickej bezpečnosti, ktorý schválil parlament koncom januára, je jedno z viacerých legislatívnych opatrení, ktoré v najbližších rokoch zvýšia dopyt po odborníkoch zameraných na počítačovú bezpečnosť. K ďalším bude patriť nová metodika pre bezpečnosť IT vo verejnej správe z dielne Úradu podpredsedu vlády SR pre investície a informatizáciu, ako aj smernica o ochrane osobných údajov známa pod skratkou GDPR.
Slovenské technické univerzity v súčasnosti produkujú ročne iba niekoľko jednotiek absolventov špecializovaných na bezpečnosť IT, preto ich je na pracovnom trhu už dnes málo. V budúcnosti však dopyt po takýchto ľuďoch výrazne porastie. „Naše prepočty ukazujú, že v najbližších rokoch budú na Slovensku chýbať zhruba tri tisícky fundovaných ľudí, ktorí by mali vo firmách a vo verejnej správe plniť nové role vyplývajúce z prísnejšej legislatívy a požiadaviek na vyššiu bezpečnosť digitálnych technológií a ochranu dát,“ hovorí Roman Čupka, konzultant spoločnosti Flowmon Networks.
Zákon o kybernetickej bezpečnosti, ktorý by mal byť účinný od apríla tohto roku, má definovať efektívne opatrenia pre bezpečnosť národného kybernetického priestoru. V praxi to znamená, že ukladá bankám, energetickým podnikom, operátorom, dopravcom, aj nemocniciam, klinikám a mnohým ďalším organizáciám, povinnosť vytvoriť celú organizačnú štruktúru pre riadenie bezpečnosti, ktorá má pozostávať z viacerých rolí. Legislatíva tiež určí pre každú rolu – od štatutárneho orgánu, cez manažéra kybernetickej bezpečnosti, až po administrátora a používateľa – jasné práva, povinnosti a zodpovednosti.
„Viaceré z rolí, ktoré zákon organizáciám nariadi pokryť, budú vyžadovať niekoľkoročnú nepretržitú prax v oblasti riadenia bezpečnosti informácií. Oblasť informačnej bezpečnosti je pomerne mladá a iba málo organizácií malo doteraz pre takéto role vyčlenených špecializovaných samostatných ľudí,“ zdôvodňuje R. Čupka, prečo môže byť náročné novým požiadavkám vyhovieť.
Prísnejšia legislatíva pre počítačovú bezpečnosť sa nedotkne iba firiem, ale aj verejnej správy. Úrad podpredsedu vlády SR pre investície a informatizáciu v súčasnosti pripravuje novú metodiku pre systematické zabezpečenie informačnej bezpečnosti v štáte. Usmernenie sa týka ministerstiev, polície, súdov a iných organizácií verejnej správy. Štát chce na národnej aj rezortných úrovniach vytvoriť tímy, ktoré budú monitorovať infraštruktúru, analyzovať bezpečnostné incidenty, robiť penetračné testy a navrhovať ochranu proti kybernetickým hrozbám. Dopyt verejnej správy aj firiem po odborníkoch na bezpečnosť zvýši aj nariadenie GDPR, ktoré u nás začne platiť 25. mája.
„Opatrenia pre zlepšenie ochrany kybernetického priestoru sú nevyhnutné – napokon, nariaďuje nám ich prijať aj európska smernica NISD. Nová legislatíva však dramaticky zvyšuje nároky na ľudské zdroje, pričom pracovný trh a školy tieto potreby nedokážu v najbližších rokoch vykryť,“ upozorňuje R. Čupka z Flowmon Networks.
Čiastočným riešením by mohla byť automatizácia IT bezpečnosti. Popri tom, ako rastie význam a zložitosť počítačových sietí, rastú aj nároky na jej správu, monitoring a bezpečnosť. Väčšina firiem a úradov však monitoruje v sieti len aktívne zariadenia ako servery, tlačiarne či routre, čo dnes nestačí. „Novodobé hrozby vyžadujú monitoring dátovej prevádzky v reálnom čase a detekciu neznámych bezpečnostných anomálií, ich diagnostiku a automatizovanú analýzu, ktorá umožní zrýchliť reakčný čas na narušenie bezpečnosti a zároveň pomôže šetriť ľudské zdroje potrebné pre prípadné forenzné analýzy,“ dodáva R. Čupka.