Profesionalizacija ili improvizacija?

Jadranska regija se, poput ostatka svijeta, suočava s deficitom kadra i ključnih vještina u sektoru kibernetičke sigurnosti. Mogu li domaće obrazovne institucije pratiti ubrzani razvoj prijetnji i proizvesti dovoljno stručnjaka koji će zaštititi regionalni digitalni prostor?

Piše: Mirza Bahić; E-mail: redakcija@asadria.com

U sjeni rastućeg vala cyber napada sve češće je pitanje ima li uopće dovoljno ljudstva na prvim odbrambenim linijama. I, ako ima, jesu li profesionalci koji se bave zaštitom od evoluirajućih prijetnji dovoljno obučeni za sve izazove savremene cyber sigurnosti? U Jadranskoj regiji jedan od ključeva odgovora na ova pitanja drže i organizacije koje nude specijalizirane programe obuke i certifikacije u oblasti cyber sigurnosti. U ambijentu u kojem se predviđa globalni rast potražnje za stručnjacima ovog profila, takve institucije moraju izbalansirati ulogu mostova prema tržištu rada i centara za obuku ljudstva u bespoštednom digitalnom ratu.

Manjak sigurnosnih vještina je regionalni izazov

No, na početku, jedna dobra vijest: tržišna glad za cyber sigurnosnim stručnjacima itekako se osjeti i u našoj regiji. Prema riječima dr. Jasmina Azemovića, šefa sigurnosnih operacija u HTEC Grupi, to je odjek globalne potražnje za ekspertima koja kontinuirano raste. “Predviđa se da će doći do 31-postotnog rasta radnih mjesta u cyber sigurnosti do 2029. godine, što odražava hitnu potrebu za tim stručnim kadrom”, ističe Azemović.

Kada je riječ o najtraženijim vještinama na tržištu rada, stručnjaci s kojim smo razgovarali navode više ključnih oblasti. Trenutno najtraženije vještine, dodaje Azemović, uključuju pripremu odgovora na incidente, etičko hakiranje, mrežnu sigurnost i DevSecOps, a jednako traženi su i stručnjaci za sigurnost oblaka (cloud).

Ovaj trend potvrđuje i Branko Džakula, suosnivač i izvršni direktor firme UN1QUELY, koji navodi da “u regionu Zapadnog Balkana, uključujući Crnu Goru, postoji deficit stručnjaka u cyber bezbjednosti u sve tri glavne oblasti, što je potvrđeno lokalnim istraživanjem BIRN-a”. On posebno ističe nedostatak stručnjaka u defanzivnoj sigurnosti kao što su SOC analitičari i osoblje za odgovor na incidente. Ništa bolje nije ni u sferi tzv. ofanzivne sigurnosti, kojoj nedostaju stručnjaci za izvođenje penetracijskog testiranja i GRC-a (Governance, Risk & Compliance), s fokusom na ISO 27001, NIS2 i DORA regulativu. Tražene deficitarne vještine obuhvataju i oblasti etičkog hakiranja, sigurnosti oblaka, DevSecOps, upravljanje sigurnosnim rizicima, forenzičku analizu i istraživanje prijetnji.

Najtraženija kombinacija znanja

Dr. Igor Franc, osnivač Secit Securityja, koji ima svoju akademiju, navodi da najtraženije vještine predstavljaju kombinaciju različitih stručnih znanja u okviru informacijskih tehnologija. “Tu spadaju prepoznavanje prijetnji u računarskim mrežama (žičanim i bežičnim), napredna administracija operativnih sistema (Windows, Linux) i baza podataka (relacionih i no SQL), poznavanje protokola i mogućnost detekcije anomalija, poznavanje regulative i usklađivanje dokumentacije”, kaže Franc.

Za dr. Andreja Kosa, predstojnika Laboratorija za telekomunikacije na ICT Academy iz Slovenije, trenutno najtraženije vještine uključuju “sigurnost aplikacija, obavještajnu analizu prijetnji, penetracijsko testiranje, sigurnost mreža, sigurnost cloud računarstva i sigurni razvoj softvera”. Njegov kolega Zlatan Morić, stručnjak za kibernetičku sigurnost i voditelj studija kibernetičke sigurnosti Sveučilišta Algebra Bernays u Hrvatskoj, navodi da tržište traži stručnjake koji poznaju “implementaciju sigurnosnih kontrola, upravljanje sigurnosnim operacijama (SOC), analizu sigurnosnih prijetnji (threat intelligence), digitalnu forenziku, penetracijsko testiranje, procjenu rizika i razvoj sigurnosnih politika i procedura, kao i sigurnost industrijskih sistema (OT/ICS)”.

Prošlo je vrijeme statičnih kurikuluma

U ovakvom regionalnom ambijentu, mjesto za sebe traže i edukacijski centri i organizacije koje sve više prepoznaju potrebu za prilagođavanje svojih programa kako bi se odgovorilo na rastuće cyber prijetnje, ali i na potrebe tržišta kada je u pitanju poznavanje novih sigurnosnih tehnologija i trendova.

Dr. Jasmin Azemović primjećuje da ovi trendovi ukazuju na rastuću potrebu za proaktivnim pristupom u zaštiti podataka i infrastrukture, s naglaskom na integraciju naprednih tehnologija poput vještačke inteligencije u sigurnosne operacije i strategije. I njegov kolega Morić naglašava da, pored poznavanja temeljne cyber sigurnosti, tržište danas traži i stručnjake koji razumiju “sigurnosne aspekte vještačke inteligencije i automatizacije”.

Pored striktno tehničkih vještina, za Igora Franca su važne i “meke vještine koje uključuju sposobnost efikasne komunikacije, saradnju sa kolegama i različitim odjeljenjima, učešće u timskim projektima i aktivnostima, kao i organizaciju vremena”. Na tragu ovoga, Džakula naglašava da tehničke vještine jesu ključne, ali da važnu ulogu u uspjehu cyber sigurnosnih stručnjaka ima i njihova sposobnost kritičkog razmišljanja, rješavanja problema i komunikacije, “posebno u GRC-u i upravljanju incidentima”.

Tako se izgrađuju stručnjaci za koje Azemović smatra da moraju imati i nešto što on opisuje kao liderski pristup cyber sigurnosti. “Oni na sebe preuzimaju teret donošenja odluka i vođenja timova sa fokusom na nezavisnu vertikalu i tako utječu na to da cyber sigurnost vode oni koji imaju adekvatna tehnička znanja, vještine i iskustva koja se trebaju kombinirati sa liderskim sposobnostima”.

S druge strane, kao iskusan predavač u ovoj oblasti, Azemović u ponuđenim opcijama za obrazovanje o cyber sigurnosti vidi i slabosti, posebno kada je u pitanju agilnost i spremnost kreatora programa da  na vrijeme prepoznaju, kreiraju i ponude nove studijske programe u zavisnosti od potreba tržišta. “Vrijeme fiksnih planova i programa, barem iz perspektive informacijskih tehnologija – je iz nas. Zanimanja koja su bila u fokusu dugi niz godina više nisu, a naš obrazovni sistem to još nije adekvatno prepoznao”, upozorava Azemović. On ističe potrebu za većom fleksibilnošću akademskih programa kada je u pitanju kibernetička sigurnost. To se ogleda i u prepoznavanju važnosti jače saradnje između obrazovnih institucija i industrije, gdje povratna sprega između realnog sektora i akademskih programa može pomoći u definisanju potrebnih vještina. Kako bi se smanjio deficit stručnjaka u cyber sigurnosti, edukacija bi trebala biti što dinamičnija i usmjerena na praktične aspekte, pružajući studentima konkretno iskustvo u rješavanju sigurnosnih izazova. “Ovakva promjena zahtijeva veću agilnost i prilagodljivost prema konceptu studijskih programa koji se mogu brže organizirati prema potrebi”, zaključuje Azemović.

Praksa kao ključni element obuke

Agilnost u proizvodnji deficitarnog sigurnosnog kadra s adekvatnim vještinama ogleda se i u spremnosti organizacija da se odmaknu od ex cathedra pristupa fokusiranog na teoriju i modela brze zarade na lakovjernim korisnicima u potrazi za stabilnim i dobro plaćenim poslom u IT-u.

Svi naši regionalni sagovornici slažu se da je praktično iskustvo ključan element savremenog obrazovanja u oblasti cyber sigurnosti. Dr. Kos, naprimjer, ističe da su treninzi koje nudi ova institucija dizajnirani tako da simuliraju stvarne scenarije. Pri tome se koriste operaterske, poslovne i kućne mrežne infrastrukture, uključujući lokalne AI servere. “Ovo omogućava učesnicima rad s realnim postavkama, uključujući okruženja na operaterskom nivou i praktične vježbe koje odražavaju izazove u industriji”, navodi Kos.

Za Igora Franca i teorijska obuka ima ulogu, ali je ona sada reducirana samo na uvod “koji pruža osnovno razumijevanje ključnih koncepata, dok su kursevi dizajnirani tako da se uglavnom fokusiraju na praktični dio”. Ovaj segment uključuje simulacije cyber aktivnosti kod kojih se polaznicima omogućava da primijene stečena znanja u realnim situacijama.

I u Algebri su svjesni primata praktičnog aspekta nastave iz cyber sigurnosti, koji se danas realizira u laboratorijima opremljenim za simulacije napada i odbrambene scenarije. “Kroz hands-on vježbe i realne scenarije, polaznici razvijaju vještine koje su im potrebne za rad u stvarnim okruženjima”, navodi Morić.

U akademiji UN1QUELY fokus je na simulacijama cyber napada koje uključuju penetracijsko testiranje, phishing kampanje, rad u CTF (Capture The Flag) scenarijima i slično. Osim toga, ova institucija radi na redovnom ažuriranju kurikuluma u skladu s industrijskim promjenama. “To znači uključivanje novih tehnologija poput cloud sigurnosti i upotrebe vještačke inteligencije u cyber sigurnosti, kao i kroz praktične studije slučaja bazirane na aktuelnim prijetnjama”, navodi Džakula.

Ova praksa može imati i zabavnu, ali profesionalno ništa manje važnu stranu. Algebra, naprimjer, jednom godišnje organizira i Capture the Flag (CTF) takmičenja s primjenom stečenih vještina u simuliranim scenarijima. Kako ovi događaji nisu namijenjeni samo polaznicima konkretnih edukacija, Azemović ih preporučuje svim zainteresiranim koji žele izbrusiti svoje vještine iz domene cyber sigurnosti.

Od tehničara do direktora informatičke sigurnosti

Regionalni obrazovni programi iz cyber sigurnosti otvaraju vrata za različite pravce razvoja karijere koji nisu posebno drugačiji od njihovih svjetskih pandana, smatraju naši sagovornici. Vladimir Simić, IT inžinjer i predavač u Informatičkoj akademiji InfoArs, navodi da su po završetku programa obuke polaznici kvalificirani za pozicije kao što su analitičar kibernetičke sigurnosti, specijalista za sigurnosne operacije, IT sigurnosni tehničar, analitičar sigurnosnih incidenata, administrator sigurnosti mreže, specijalista za sigurnost sistema i analitičar za usklađenost sa sigurnosnim standardima.

Polaznici Secit Akademije mogu postati i “direktori informacione bezbjednosti (CISO)” ako su ambiciozniji, dok su nižerangirane pozicije ništa manje zanimljive za tržište i uključuju menadžere informacijske sigurnosti, konsultante za informacijsku sigurnost, IT revizore, SOC analitičare, specijaliste za rizike, penetracijske testere, forenzičke analitičare i konsultante u oblasti informacijske sigurnosti. Slična situacija je i u Algebri, čiji nastavni programi osposobljavaju polaznike za uloge sigurnosnih operatora, analitičara, penetracijskih testera, forenzičkih istražitelja, voditelja kibernetičke sigurnosti, SOC analitičara, sigurnosnih arhitekata i konsultanata za upravljanje sigurnosnim rizicima.

Saradnja s industrijom i certifikacija otvaraju i gvozdena vrata

Dodatni most koji povezuje tržište i obrazovne institucije za kibernetičku sigurnost u Jadranskoj regiji su i kompanije koje mentorišu, a nerijetko i direktno zapošljavaju polaznike obuke. “Najbolji polaznici imaju priliku da rade s mentorima iz UN1QUELY-ja i partnerskih kompanija. Postoji mogućnost direktnog zaposlenja nakon uspješno završene obuke, a svakog mjeseca nastojimo da omogućimo trosedmičnu praksu najboljim polaznicima našeg programa”, kaže Džakula.

U Secitu, polaznici se uključuju u aktivnosti matične kompanije u vidu terenske obuke za pružanje usluga iz oblasti cyber sigurnosti. Tu je i saradnja s partnerskom kompanijom koja pruža cjelodnevne SOC usluge i polaznicima nudi priliku da se s ovom oblašću upoznaju kroz praktično iskustvo rada na realnim projektima i kasnije ga sami primjenjuju u praksi.

Važna komponenta u uvođenju reda i standardizacije u rad obrazovnih centara je i certifikacija. Nakon obuke, certifikati ne samo da potvrđuju stečeno znanje nego i povećavaju konkurentnost na tržištu rada. Zapravo, domaći i strani poslodavci sve češće zahtijevaju certifikate kao dokaz stručnosti i usklađenosti s industrijskim standardima u oblasti cyber sigurnosti. U konačnici, pored veće zapošljivosti, certificirani stručnjaci imaju bolje šanse za napredovanje i širu prepoznatljivost izvan Jadranske regije.

Fleksibilizacija nastavnog plana

Morić iz Sveučilišta Algebra Bernays navodi kako njegova institucija “sarađuje s brojnim globalnim kompanijama koje rade edukacijske materijale i provode certifikaciju kako bi osigurali da nam programi ostanu usklađeni s najnovijim trendovima”.

Dio tih materijala uključen je i kao sadržaj na kolegijima koji se izvode u okviru studijskog programa. Polaznici se pripremaju za certifikate kao što su CISSP, CCISO, CPENT, CEH, CND, CHFI, CIH, CSA, SC-100, SC-200, SC-300, SC400, MS-500, CCNA-CCNP Security, FCP in Network Security, FCP in Security Operations, FCSS in OT Security i CompTIA Security+.

Vladimir Simić iz InfoArsa navodi da je njihov nastavni plan posebno dizajniran da pripremi polaznike za ISC2 CC certifikat. Prema njemu, ovo je kvalitetan početni certifikat koji može poslužiti kao važna odskočna daska za nastavak karijere u kibernetičkoj sigurnosti.

I Secit Akademija nudi obuku za važne certifikate u industriji cyber sigurnosti kao što su Certified Information Systems Security Professional (CISSP), CompTIA Security+, Certified Information Security Manager (CISM), Certified Information Systems Auditor (CISA), Offensive Security Certified Professional (OSCP) i GIAC Certified Incident Handler (GCIH).

Osim certifikacije, polaznici danas traže i fleksibilizaciju ponuđenih nastavnih sadržaja prema različitim profesionalnim potrebama tržišta, ali i ličnim ambicijama.

Slovenski ICT Academy na ovu potrebu odgovara različitim formatima obuka koje idu izvan sfere certifikacije za CCNA Cybersecurity Operations – Security Analytics i CCNP ENCOR (350-401) iz oblasti mrežne sigurnosti i infrastrukture. U ponudi su i posebne obuke za nove tehnologije s kojim danas cyber sigurnost često konvergira, poput rješavanja sigurnosnih izazova specifičnih za 5G mreže, korištenja analitike velikih podataka (big data) za poboljšanje sigurnosti, zaštite podataka i aplikacija u cloud okruženjima, SSDLC sigurnosnih mjera tokom cijelog procesa razvoja softvera i, na kraju, primjene kvantnih računara i enkripcije kao potencijalnih prijetnji postojećim sigurnosnim protokolima.

Sve ovo, smatra dr. Azemović, dokaz je da su industrijski certifikati ključni u jačanju profesionalne vidljivosti budućeg eksperta u oblasti cyber sigurnosti. “Stečeni certifikati demonstriraju poslodavcima da kandidat posjeduje specifične vještine i znanje koje su u skladu s industrijskim standardima i potrebama tržišta”, kaže on.

Ažurnost, certifikacija i prstohvat fleksibilnosti

Deficit cyber sigurnosnih vještina značajan je izazov za Jadransku regiju, ali i prilika za razvoj novih obrazovnih paradigmi i pristupa. Obrazovne institucije u regiji sve više prepoznaju važnost prilagođavanja kurikuluma aktuelnim trendovima i potrebama tržišta te stavljanja naglaska na praktično iskustvo i saradnju s industrijom, posebno s privatnim sektorom.

Da bi se adekvatno odgovorilo na rastuće potrebe za stručnjacima i deficitarnim vještinama u oblasti cyber sigurnosti, neophodno je kontinuirano brusiti obrazovne planove, promovirati programe certifikacije te razvijati što fleksibilnije modele učenja koji će biti dostupni kako početnicima tako i iskusnim profesionalcima koji žele unaprijediti vještine ili proći sve popularniju prekvalifikaciju.

Kroz sveobuhvatan pristup obrazovanju i jaču saradnju obrazovnih institucija, privatnog i sigurnosnog sektora, Jadranska regija može smanjiti postojeći deficit vještina i izgraditi snažnu bazu stručnjaka sposobnih da odgovore na sve složenije sigurnosne izazove digitalnog doba.

Prekvalifikacija kao rješenje iz sjene za manjak stručnjaka

Jedan od ključnih načina za smanjenje deficita cyber sigurnosnih stručnjaka jeste prekvalifikacija profesionalaca iz srodnih tehničkih oblasti. Dr. Igor Franc iz Secit Akademije primjećuje da je ova praksa sve češća, jer mnogi mrežni i sistem-administratori prepoznaju cyber sigurnost kao priliku za napredovanje. “To se prije svega dešava zbog deficita, ali i prepoznavanja mrežnih administratora i sistem-administratora da mogu napredovati u ovoj oblasti zbog dobrih osnova koje imaju za ovu oblast”, objašnjava on. Na Sveučilištu Algebra Bernays dio ovih programa akreditiran je kroz mikrokvalifikacije koje se finansiraju uz podršku Hrvatskog zavoda za zapošljavanje, što stručnjacima omogućava dodatnu specijalizaciju i stjecanje ključnih kompetencija. Slično tome, dr. Andrej Kos ističe da je njegova matična institucija ICT Academy razvila program cyber sigurnosti u okviru mikrokvalifikacija, uz planove za širenje ponude specijaliziranih kurseva u budućnosti.