פער הכישורים הדיגיטליים, במיוחד באבטחת סייבר, אינו תופעה חדשה. בעייתיות זו מחריפה כעת בשל שכיחות השחיקה, שהוצגה ב-Black Hat USA 2022
הדיון בסוגיות המקורות במגזר אבטחת הסייבר אינו תופעה חדשה; לפי מיזמי אבטחה ברשת, מספר משרות אבטחת הסייבר שלא מומשו ברחבי העולם גדל ב-350% בין 2013 ל-2021, ממיליון ל-1 מיליון. המאמר מפרק את המספר הזה עוד יותר, ומעריך שיש מיליון עובדי אבטחת סייבר בארה"ב ונכון לנובמבר 3.5 בסביבות 1 משרות נוספות שלא מאוישות. המספרים הללו מספרים את סיפורה של סוגיית משאבים; הם גם מספרים את סיפורה של תעשייה שפועלת כיום על כשני שלישים מהמשאבים הדרושים לה.
מצגת בלוח הזמנים של Black Hat US 2022 מאת סטייסי ריו, Ph. D. לפסיכולוגיה קלינית וארגונית/עסקית משכה את עיני -מנסה להיות הכל לכולם: בואו נדבר על שחיקה. כאשר יש מחסור עצום בכישרון בתעשיית אבטחת הסייבר, מי שנמצאים בקו החזית עלולים לסבול משחיקה. ההנחה שלי הייתה שהמצגת תעשה צלילה עמוקה לתוך הלחצים שמהם סובלים צוותי אבטחת סייבר תוך שימוש בתיאורי מקרים ודוגמאות ספציפיות, ולאחר מכן כיצד לזהות את קיומו של הנושא ואת הצעדים שיכולים לעזור להקל על הכאב שאדם סובל. למרבה הצער, המצגת הייתה קלה לדוגמא, והייתה יותר מצגת על נושא השחיקה, במקום זיהוי והפחתה בהגדרות אבטחת סייבר.
חשוב ביותר לזהות את סימני השחיקה, וחלק מהסימנים המעידים שהוצגו כללו עייפות, ציניות, אי נהנית מהעבודה ואולי שתייה או אכילה מרובה, לאו דווקא עד כדי התמכרות אלא כמדד נוחות. שניים – אולי שלושה – מתוך הארבעה כנראה ניתנים לזיהוי כמעט אצל כל המשתתפים ב-Black Hat: עייפות עקב תרבות המסיבות של וגאס, שתייה יותר מדי, זה וגאס, ולבסוף, ציניות, נראית כדרישת עבודה בתעשיית אבטחת הסייבר – אנחנו מותנים ל לא לסמוך על כלום ולאמת הכל.
בנימה רצינית יותר, זהו נושא חשוב ביותר, ודבר שכל החברות הגדולות והקטנות, צריכות להיות מודעות אליו ולטפל בו. ההגדרה של שחיקה שמציגה סטייסי היא "שחיקה תעסוקתית מוגדרת קלינית כתסמונת פסיכולוגית המתרחשת עקב סטרס רגשי ובין אישי כרוני בעבודה" כאשר "בין אישי" מוסבר כ"קשור למערכות יחסים או תקשורת בין אנשים".
מזהי שחיקה המכוסים במצגת ומתייחסים ספציפית לאבטחת סייבר, היו:
- רמות גבוהות של עומס נפשי
- ציפייה להתקפות סייבר
- מחסור בכוח אדם ועלייה בעומס
- נאבקים למצוא את מקומו בתוך ארגון
- העבודה לרוב אינה מוערכת בארגון
ישנן אסטרטגיות שיכולות לעזור להתמודד עם שחיקה, ואני ממליץ להקדיש זמן לחקור אותן כדי לקבל הבנה טובה יותר. מחלקת משאבי אנוש או איש מקצוע מוכשרים אמורים להיות מסוגלים לכוון את העובדים על המסלול הנכון או לספק חומר קריאה טוב בנושא.
הנושא, לדעתי, הוא שילוב הנובע מהמחסור באנשים מוכשרים מנוסים, הטרנספורמציה הדיגיטלית המואצת שאנו עדים לה בשנתיים פלוס האחרונות והמטח הבלתי פוסק של מתקפות סייבר שצוותי אבטחת הסייבר נדרשים להתמודד איתן. הסוף למחסור הזה נראה באופק; לו רק זה היה נכון! חברות רבות דורשות מהמועמדים לקבל השכלה לרמת תואר, להחזיק באבטחת סייבר מוכרת בתעשייה הסמכה כגון CISSP ובעל ניסיון של 3-5 שנים. דרישות אלה עשויות, לפחות תורמות, להאשים בתפקידי אבטחת סייבר שלא מולאו.
מעסיקים צריכים להוריד את דרישות ההסמכה או ההשכלה שלהם לעבודות אבטחת סייבר ולהכניס כמה מהפחות מנוסים אך מתעניינים ונלהבים למקום העבודה כדי שירכשו את הניסיון הזה ויהפכו לכישרון המומחה הדרוש כדי להתגונן מפני התקפות העתיד. זה גם הכרחי, לדעתי, שאבטחת סייבר תיכנס לכל נושאי תוכניות הלימודים במערכת החינוך בתיכון או צעירים יותר. אנחנו מדברים על הצורך שאבטחת סייבר תילקח בחשבון בכל חלקי עיצוב המוצר, בכל חלק בתהליך עסקי וכדומה, אז זה כנראה שייך לכל נושא הנלמד בכיתה. אפילו שיעורים בכשרונות יצירתיים כמו אמנות יועילו על ידי מתן הבנה של כיצד לאבטח NFT: יש מעט מאוד נושאים שלא יועילו מהבנה והערכה של אבטחת סייבר.
נורמליזציה של אבטחת הסייבר בדרך זו תמנע, בתקווה, את המחסור בכישרון מחר, ובעיקר את השחיקה של אלה שבוחרים בקריירה בתחום אבטחת הסייבר.
