Siber Güvenlik Açıkları Şirketleri ve Ülkeleri Tehlikeye Atıyor

Intel Security ve Stratejik ve Uluslararası Araştırmalar Merkezi (CSIS), hem şirketler hem de ülkeler düzeyinde siber güvenlik uzmanlığı krizi ile ilgili Hacking the Skills Shortage (Uzman Eksikliğini Kırmak) başlıklı bir rapor yayınladı. Araştırmaya katılanların %82’si siber güvenlik uzmanlığında eksiklik olduğunu kabul ederken, katılımcıların %71’i bu eksiklik nedeniyle hackerlar açısından kolay birer hedefe dönüşen kurumların doğrudan ve ölçülebilir zarar gördüğünü belirtti.

CSIS’te Stratejik Teknolojiler Programı Yöneticisi ve CSIS Başkan Yardımcısı James A Lewis “Siber güvenlik konusunda beceri sahibi uzmanların eksikliği, -tescilli veriler ve IP veri kayıpları da dahil olmak üzere- şirketlere doğrudan zarar vermektedir. Bu küresel bir sorundur. Araştırma yapılan tüm ülkelerde katılımcıların çoğu iş gücündeki eksikliğin kurumlarına zarar verebileceğini ifade etmiştir” dedi.

2015 yılında sadece ABD’de siber güvenlik alanında 209.000 pozisyon boş kaldı. Dört katılımcıdan biri, kurumlarının siber güvenlik uzman açığı nedeniyle tescilli verilerini kaybettiğini belirtse de iş gücünde yaşanan bu eksikliğin kısa vadede çözüleceğine dair bir işaret bulunmuyor. Araştırmaya katılanlar şirketlerindeki siber güvenlik pozisyonlarının yaklaşık %15’inin 2020 yılına kadar doldurulamayacağını tahmin ediyor. Bulut, mobil uygulamalar ve nesnelerin interneti gibi alanlardaki artışla birlikte, ileri düzeydeki hedefli siber saldırılar ve siber terörizm yüzünden, daha güçlü siber güvenlik insan kaynağı giderek önem kazanıyor.

Intel Security Grubu Genel Müdürü ve Kıdemli Başkan Yardımcısı Chris Young “Güvenlik endüstrisi uzun süredir siber saldırıları ve güvenlik ihlallerinde yaşanan fırtınayı nasıl sonra erdirebileceğini konuşuyor ama ne kamu ne de özel sektör, siber güvenlik uzmanlığında yaşanan eksikliği çözmeye yeterince öncelik tanımadı. İş gücünde yaşanan bu krizi çözebilmek için, yeni eğitim modelleri geliştirmeli, eğitim fırsatlarını daha fazla erişilebilir kılmalı ve otomasyonu artırmalıyız” dedi.

Araştırmanın yapıldığı ülkelerde, siber güvenlik profesyonellerine olan talep, gelişmiş teknik becerilere sahip kalifiye iş gücü arzından daha hızlı büyüyor. Saldırı tespit sistemleri, güvenli yazılım geliştirme ve saldırıların azaltılması gibi bilgi ve beceri alanları, iş birliği, liderlik ve etkin iletişim gibi sosyal becerilerden daha değerli görülüyor.

Hazırlanan rapor, siber güvenlik uzmanlığındaki eksikliği dört boyutta inceliyor:

1. Siber güvenlik harcamaları: Siber güvenlik bütçelerinin büyüklüğü ve artışı devletlerin ve şirketlerin siber güvenliğe ne kadar öncelik tanıdığını ortaya koyuyor. Beklenildiği gibi, siber güvenliğe daha çok harcama yapan ülkeler ve sektörler iş gücü eksikliğiyle daha kolay başa çıkabiliyor. Araştırmaya katılanların %71’ine göre siber güvenlik uzmanı eksikliği, kurumlarının güvenlik ağlarının doğrudan ve ölçülebilir oranda zarar görmesine neden oluyor.
2. Eğitim: Araştırmaya katılanların sadece %23’ü eğitim programlarının öğrencileri sektörün ihtiyaçlarına göre hazırladığını düşünüyor. Hazırlanan rapor, uygulamalı eğitim, bilgisayar oyunları, teknoloji egzersizleri ve hackleme çalışmaları gibi alışılagelmişin dışındaki eğitim yöntemlerinin, siber güvenlik becerilerini edinmek ve geliştirmek için daha etkili olabileceğini gösteriyor. Katılımcıların yarısından fazlası siber güvenlik uzmanlığındaki eksikliğin diğer IT alanlarındaki beceri eksikliğinden daha derin olduğuna inanıyor ve sürekli eğitimin önemine dikkat çekiyor.
3. İşveren Dinamiği: İşyeri seçiminde, ücret düzeyi temel belirleyici olsa da hizmet içi eğitim, mesleki gelişim fırsatları ve kurumun IT departmanının itibarı gibi konular da en iyi adayların işe alımı ve çalıştırılmasında büyük önem taşıyor. Katılımcıların neredeyse yarısı, eğitim veya mesleki gelişim imkanlarının desteklenmesi gibi alanlardaki eksikliklerden ötürü işten ayrılmaların arttığını belirtiyor.
4. Devlet Politikaları: Katılımcıların %76’sı devletlerin siber güvenlik uzmanı geliştirmeye yeterince yatırım yapmadığını belirtiyor. Bu eksiklik ABD, İngiltere, İsrail ve Avustralya devlet başkanlarının geçtiğimiz yıl siber güvenlik iş gücüne desteğin artırılması yönündeki çağrılarından beri önemli bir siyasi konuya da dönüşmüş durumda.