U jeku četiri mlada uhapšena zbog sumnje u sudjelovanje u nedavnim ocjenama i Spencerom, supstanci i Harrods Ransomware napadima, lako je žuriti za cenzuru koji su odgovorni za poremećaje izazvane.
Ali jesmo li previše užurbani u našoj osudi? U doba stalnih nedostataka vještina, visok broj kršenja sigurnosti i starenje Cyber sigurnosne radne snage, trebamo li pogledati alternativne bazene mladih talenta, koji uključuje hakere, kako bi spasili dan?
Mike Gillespie je izvršni direktor informativnog i fizičkog sigurnosnog savjetovanja, Advent im. Kako on ističe: “To je starija profesija. Imam 56 godina i ja sam ovdje prosječan. Mi smo generacija koja je započela svu ovo i stvorila profesiju kao hobijskim praktičarima, ali mi smo i dalje najveći dio toga.”
Još jedan izazov je da industrija još uvijek nedostaje raznolikost i ostaje pretežno “bijelo i muško”, kaže on. To znači da većina poslodavaca kupuju talent “iz iste kutne trgovine, a zaliha postaje vrlo niska”.
Gotovo, da li kaže: “Organizacije samo se drže jedna od drugih i tako da plate nastaju u porastu. Ali dostavljamo u kriznu tačku, u kojem se značajan broj nas kreće prema penziji i ne postoje dovoljno mladih ljudi.”
Cyber sigurnost je pogrešno shvaćena
Neki od problema ovdje se mogu pripisati filmskoj slici stručnjaka za cyber sigurnosti biti “samotni geeks” u duksevima koji su izbacili na tipkovnice u slabo osvijetljenim sobama.
Ali nedostatak alternativnih uzora “postavlja puno ljudi”, vjeruje da je Amanda Finch, izvršni direktor Chealter Instituta za informacijsku sigurnost (Ciisec). Također sužava percepciju raznolikosti uloga dostupnih u struci.
“Tamo odakle dolazi neka zbrka je da je sve sada označeno” cyber sigurnošću “kada je to zaista informacijska sigurnost, koja kapsulira cyber stvari”, kaže Gillespie. “Informacijska sigurnost je upravljanje, rizik, usklađenost i revizija, ali ljudi se fokusiraju na visokotehnološke poslove, poput prodornog testiranja i uvredljivih hakiranja, kao što su izgledali samo mali dio ukupne industrije.”
Finch se slaže. “Iako mi, kao industrija, radimo bolji posao, još uvijek ne radimo dovoljno da objasnimo koliko je profesija raznolika u ulogama i koliko se oslanjamo na stručnost izvan samo čistih cyber vještina”, kaže ona. “Ljudi vole ideju koju je dobro plaćen i na raspolaganju je posao, ali još uvijek se vidi kao pomalo tamna umjetnost.”
Chris Wysopal je suosnivač kompanije za sigurnost aplikacije VeracOde i bivši L0Pht haker. Vjeruje da je problem još osnovniji.
“Jedan od izazova je da srednjoškolska djeca sa sposobnosti za cyber sigurnost nisu uvijek svjesni to kao profesiju”, kaže on. “Oni bi mogli biti igrači ili ljudi koji su igrali s različitim mrežama umrežavanja i AI i ne znaju da bi mogli pretvoriti svoje interesovanje u karijeru, tako da postoji potreba za boljim promocijom industrije.”
Alternativni potencijal bazena talenata
Još jedna prepreka ulasku je nedostatak jasnih puteva u profesiju izvan odlaska na univerzitet. Ovo je važno, vjeruje da je Wysopal, kao “mnogi talentirani ljudi koji bi mogli biti dobri praktičari nisu vrsta osobe koja želi raditi četiri godine na fakultetu”.
Ali čini se da neki poslodavci barem prepoznaju da bi mogli imati koristi od uzimanja punta na alternativnim talentskim bazenima.
Na primjer, nedavna studija Cyber obuke i certifikacijskog tijela ISC2, pod nazivom 2025 Cyber sigurnost trendovi zapošljavanjanaznačio da će poslodavci razmotriti kandidate za poslove ulazne i mlađeg nivoa ako su imali prethodno IT iskustvo ili ulazne cyber sigurnosne potvrde o diplomiranim iskustvom.
Bezbožno, značajan udio menadžera za zapošljavanje također je zatražio da tražitelje za ulazne i juniorske razine s certifikatima, drže kvalifikacije namijenjene iskusnim profesionalcima – situaciju koja im neminovno otežava nogu u vrata.
Kao što Finch kaže: “Prvi korak je uvijek jako težak, jer su organizacije preopterećene i zauzete i tako žele iskustvo. Ali sve više vidimo ljude ulaganja u sirovi talent, a organizacije – kao što su Iajsme [formerly known as the UK Cyber Security Forum] – Rad sa ljudima na [neurodiverse] spektar. “
U ponudi da učini svoj bit, sami CII-a nudi i ulazne razine proširene klififikacije projekta (EPQ) u cyber sigurnosti. Do danas, EPQ su uglavnom preuzeli privatne škole, iako je određeni napredak unesen u unutrašnjoj gradskim školama prije odseka za nauku, inovacije i tehnologiju (DSIT) uklonjena sredstva.
Kao rezultat toga, CIIS je trenutno u procesu postavljanja dobrotvorne ruke za pružanje industrije zakonske rute kako bi se pomoglo da ispuni financijski nedostatak.
Izvođenje mladih talenta
Ali netradicionalni izvori zaposlenosti i dalje ostaju izuzetak, a ne pravilo. Izvještaj ICS2 ukazuje na primjer da su zapošljavanje i osoblja za osoblje kao i objave za posao (57%) i dalje najpovoljnija ruta zapošljavanja.
Pored popisa su interni programi stažiranja i fakulteti i univerziteti (55%). Nudeći interni programi naukovanja sa cyber sigurnošću raste u popularnosti (46%).
Na dnu hrpe zapošljava ljude iz drugih unutrašnjih odjela kompanije (22%), uzimajući vojne veterane (12%), ili druge članove vojne (8%). Druga mogućnost koja ga ne čini ni na popisu je mladi igrači koji trenutno ciljaju crni hakerski hakeri i organizirani kriminal.
“Online kriminalne bande moraju dobiti i svoj talent od negdje, pa se zapošljavaju u igrama za igranje i neskladne servere”, kaže Wysopal. “Oni traže ljude sa sposobnostima, a kad vide da neko potapa nožne prste u kako razbijaju sustave ili protivnike socijalnog inženjera, oni uzimaju interes i postanu dio razgovora.”
Slaže se obratio CASEY ELLIS, osnivač Crowdsourced sigurnosne platforme i suosnivač suosnivača projekta Otkrivenosti.
“Hakeri se regrutuju u cyber kriminal kao mlade kao 13 iz igarskih platformi za igrače, koristeći iste metode zapošljavanja dileri droge zaposlene u 1980-ima, sa 12-18-godišnjakinja,” on ukazuje na određene ciljeve “, označava. “Ideja je da ih nabavite kada su mladi kako bi lakše manipulirali, pa je pitanje kako industrija pojačava i suvladava da preuzmem mlade od kriminala?”
To je jedan od razloga Ellis postavio bugcrowd u 2012. godini, kaže on. Kompanija se posebno fokusira na iskorištavanje (etičkih) hakirnih vještina milenijalnih i starijih članova generacije Z kako bi pronašli skrivene ranjivosti u korisničkom softveru. Između 600.000 i 700.000 je prošlo kroz svoj program do sada.
Igrajući crne kape na njihovoj igri
Hakiranje igara, koja su članice i Ellis i Wysopal članice, opisuje se kao namjera otključavanja “nekonvencionalnog talenta (igrača, građevinara, pobunjenika i dubokih mislilaca)” da bi ih “priključili u globalnu misiju Cyber sigurnosti”.
To čini tako pružanjem nesotinih zajednica za mlade hakere i druge iz različitih pozadina za pridruživanje. To im pruža pristup industrijskim podacima, mentorima i ploča za poslove koji nalaze otvorene uloge. Haptai, hakiranje platforme za zapošljavanje AI, također stvara profil koji će im olakšati istražiti staze u karijeri na osnovu njihovih snaga.
“Cyber bezbednosna industrija je u nepovoljnom položaju u odnosu na kriminalne bande jer ne zapošljava talentovane mlade u mestima koje se druže”, ističe Wysopal. “Ali hakirajuće igre jedna je od stvari koje mogu pomoći u rješavanju tako što ćete doći do mladih prije nego što su regrutovali loši momci. Nakon toga, vrlo je teško.”
Ali pitanje nije samo preusmjeravanje mladih iz cyber kriminala danas, Ellis vjeruje. Također je u vezi s lijevanjem neto šire kako bi se bolje nadmašilo kriminalne bande i “budući dokaz” industrije.
“Ima puno zlata u mlađoj generaciji”, kaže on. “Ne radi se samo na pronalaženju posla. Radi se o njihovom strateškom ulazu kao što su porijeklom iz tehnološkog okruženja koji trenutno stvaramo i zato nemamo pretpostavke koje radimo – važno je da se međusobno slušamo i učimo.”
Ključni izazov danas je raširen nerazumijevanje onoga što je haker zapravo, kaže Ellis. “Razlika između crnih šešira i etičkih hakera jednaka je između provalnika i bravara”, ističe on. “Imaju iste vještine i radoznalost, ali različite moralne kompasom.”
Wysopal se slaže da je “Hacker opterećen termin”. S jedne strane, kaže on, kad se pridružio L0Pht 1992. godine, njegovi su članovi bili svi hobisti jer nije bilo takve stvari kao cyber sigurnosna profesija. S druge strane, postoje različiti oblici hakiranja aktivnosti.
“Neki ljudi su kriminalni majstori i u sebi su za novac, ali postoje i oni koji su napisali alat ili su prevarili nekoga da predaju lozinku, koji su na ribovima kriminaliteta”, označava Wysopal. “Oni su možda prekršili zakon, ali morate biti oprezni da ne tarnite nečiju cijelu karijeru kao puno toga se dešava kada su ljudi maloljetnici.”
Šta učiniti sa osuđenim hakerom?
Kao rezultat toga, kaže on, čak i sa uvjerenjem, bio bi spreman zaposliti nekoga ako misli da su se promijenili.
“Ovdje nema crno-bijelog”, kaže Wysopal. “Različite je ako postoji obrazac ponašanja i nečiji je očvrsnut zločinac, ali ako imaju osudu za sitne krađe, bilo je samo jedno vrijeme i bilo mi je prije 10 godina, zar ne želim ih uzimati kao softverski inženjer?”
Ipak, neizbježno bi bilo ograničenja na vrstama posla koji su mogli učiniti, kaže on.
“Najveći izazov u angažovanju ljudi sa ubjeđenjem je kako to izgleda kao kupci, pogotovo ako se uključite sa njima da napravite testiranje prodora”, dodaje Wysopal. “To je pitanje optike i stavlja osuđenog hakera na mrežu i dajući im vjerodajnice da se crveni napad osjeća previše rizično.”
To znači da bi njegova sklonost bila osuđenog hakera u back-ured, ne-korisniku koji se suočavaju sa kupcem, poput istraživača ili člana obrnutog inženjerskog tima, gdje se ne bi zahtijevala.
Gillespie se slaže da je situacija škakljiva. “Da sam želio da se neko probao i testirao, bivši haker bi mogao biti dobra ideja”, kaže on. “Ali izazov je da puno poslova, posebno ako se bavite projektima vlade visoke sigurnosti i odbrane, zahtijevaju odobrenje, a ako neko ima osudu, može vas spriječiti da dobijete posao.”
U konačnici, ipak, Wysopal vjeruje da je vrijeme za cyber sigurnosni sektor da zaposli više samoučene talente.
“U određenoj mjeri se industrija treba vratiti u svoje korijene kao što je svijet drugo mjesto na svijetu 2000-ima, kada je industrija počela rasti i diplomirani su postali skupni način zapošljavanja”, kaže on. “Mladi se više ne igraju sa modemima i računarom – igraju online igre u Discord Grupe, tako da morate ići tamo gdje su.”