W przedostatnim tygodniu #CyberPaździernika chcemy skupić się na kwestiach edukacji na rzecz cyberbezpieczeństwa. Eksperci są zgodni - to właśnie ona jest najważniejszym elementem procesu, którym jest nieustanne podnoszenie cyberodporności poszczególnych państw, ich instytucji publicznych i sektora prywatnego, a ostatecznie - nas wszystkich, użytkowników internetu.
Według Borki Jerman Blažič z Laboratorium Otwartych Systemów i Sieci w Instytucie Józefa Stefana w Ljubljanie (Słowenia) problemem pozostaje brak należytej edukacji z dziedziny cyberbezpieczeństwa wśród osób na europejskim rynku pracy.
Jej zdaniem, w najbliższych latach kłopotem, z którym przyjdzie się mierzyć poszczególnym firmom i organizacjom, ale także całym państwom, będzie brak odpowiednich kompetencji z tej dziedziny nie tylko u pracowników technicznych, ale przede wszystkim na innych stanowiskach, w szczególności - zarządzających.
"Winne są braki w należytym zarządzaniu systemem edukacji wyższej" - ocenia ekspertka w swoim najnowszym opracowaniu naukowym, poświęconym usprawnianiu kształcenia z branży cyberbezpieczeństwa.
Wspólny, europejski program kształcenia?
Uczelnie wyższe, które uwzględniają cyberbezpieczeństwo w swojej ofercie kształcenia, bardzo często popełniają błąd zawężając kształcenie odpowiadające zapotrzebowaniu rynkowemu jedynie do kierunków technicznych - uważa Blažič.
Odpowiedzią na ten problem mogłoby być utworzenie wspólnego programu edukacji w zakresie cyberbezpieczeństwa na poziomie europejskim, a także sformułowanie odpowiednich wymagań.
Naukowczyni wskazuje, że - jeszcze do niedawna - cyberbezpieczeństwo postrzegane było jako problem dotyczący jedynie branży telekomunikacyjnej. Świadomość zagrożeń związanych z cyfryzacją i rosnącą aktywnością cyberprzestępców sprawiła jednak, że nastawienie to zaczęło się zmieniać. Ostatecznie, jak twierdzi Blažič - cyberincydenty, o których media donosiły w ostatnich kilku latach, dotyczą firm i organizacji z niemal każdego sektora gospodarki.
W zmianie myślenia o cyberbezpieczeństwie niezwykle istotnym elementem jest nagłaśnianie strat finansowych, ponoszonych przez korporacje w wyniku cyberataków, a także ich wpływu na branże takie, jak transport, energetyka czy infrastruktura krytyczna, w której incydenty bezpieczeństwa mogą przekładać się bezpośrednio na zagrożenie dla mieszkańców.
Jakich kompetencji cyberbezpieczeństwa potrzebuje Europa?
Odpowiedzi na to pytanie miało udzielić badanie prowadzone w 2020 roku przez Europejską Organizację Cyberbezpieczeństwa (ECSO), zrzeszającą podmioty z branży. Na podstawie ankiety, prowadzonej przede wszystkim wśród podmiotów komercyjnych, działających na rynku europejskim stwierdzono, że jedynie 39 proc. respondentów ocenia swoje zdolności do mitygacji ryzyka i przygotowanie na cyberataki za wystarczające. Większość ankietowanych nie posiadała również ubezpieczenia, które mogłoby posłużyć do pokrycia strat wynikających z cyberataków.
W badaniu stwierdzono, że umiejętności, których poszukują firmy, nie są wcale jednorodne. Ich zróżnicowanie zależy od branży, w której trzeba zaaplikować działania na rzecz cyberbezpieczeństwa. Tym, co łączyło niemal wszystkie odpowiedzi, była ocena, że zdolności niezbędne do obsługi bieżących problemów mogą być osiągnięte dzięki skorzystaniu z oferowanych na poziomie europejskim programów wspomagania edukacji na rzecz cyberbezpieczeństwa.
Cyberbezpieczeństwo i umiejętności z nim związane okazały się kluczowe dla sektorów takich, jak obronność, finanse, telekomunikacja, cyfrowa ochrona zdrowia czy transport. Wśród umiejętności, które wymieniali respondenci, znalazły się te związane z zagadnieniami z obszarów Internetu Rzeczy, urządzeń mobilnych, oprogramowania dla zarządzania sieciami, systemów cyfrowo-fizycznych, chmury obliczeniowej, wdrożeń technologii łączności 5G, technologii blockchain, rozwiązań biometrycznych dla bezpieczeństwa, a także sztucznej inteligencji, technologii kwantowych, Big Data i inżynierii oprogramowania.
Edukacja na rzecz cyberbezpieczeństwa to duży rynek
W swoim opracowaniu Blažič wskazała, że rynek edukacji na rzecz cyberbezpieczeństwa jest obecnie bardzo duży, choć nie zawsze można go scharakteryzować za pomocą pojęć powiązanych z tradycyjną edukacją.
Wiedza dotycząca cyberbezpieczeństwa oferowana jest dziś przez firmy prywatne, zajmujące się zarówno edukacją profesjonalną, jak i te działające w sektorze cyberbezpieczeństwa i oferujące szkolenia tematyczne.
Kursy online to jedna z bardziej atrakcyjnych możliwości zdobywania wiedzy z perspektywy pracowników różnych sektorów - uważa badaczka. Oferują one możliwość samodzielnej kontroli czasu poświęcanego na naukę oraz pozwalają wpisać proces edukacyjny w kalendarz obowiązków służbowych.
Najpopularniejszą platformą do nauki o cyberbezpieczeństwie online jest Coursera (33 mln użytkowników, ponad 50 kursów o cyberbezpieczeństwie na wszystkich poziomach). Druga w kolejności jest usługa edX, z której korzysta ok. 14 mln użytkowników. Można tam znaleźć około 30 kursów tematycznych związanych z cyberbezpieczeństwem. Na trzecim miejscu plasuje się moduł LinkedIn Learning należący do serwisu, którego właścicielem jest Microsoft. Z tej usługi korzysta ok. 9,5 mln osób, można tam znaleźć największą liczbę, bo aż 120 różnych kursów o cyberbezpieczeństwie. Połowa z nich przeznaczona jest dla użytkowników na poziomie średniozaawansowanym.
Blažič zauważa, że platformy te nie oferują kształcenia, które odwoływałoby się do jakiegokolwiek wspólnego modelu i zestawu kompetencji.
Dużą popularnością cieszą się także kursy przeznaczone dla menedżerów średniego i wyższego szczebla, które różnią się od nauki online i prowadzone są zazwyczaj przez ekspertów z branży cyberbezpieczeństwa.
Pięć filarów edukacji z zakresu cyberbezpieczeństwa
Blažič uważa, że skuteczna edukacja na rzecz cyberbezpieczeństwa powinna opierać się na pięciu filarach. To bezpieczeństwo urządzeń, bezpieczeństwo sieci, bezpieczeństwo oprogramowania i systemów, bezpieczeństwo danych i aplikacji, a także bezpieczeństwo koncentrujące się na problemach użytkowników.
Komercyjne usługi edukacyjne dostępne na europejskim rynku, zdaniem autorki opracowania odpowiadają na potrzeby sektora korporacyjnego, w szczególności - firm technologicznych. Dla osób reprezentujących kadry zarządzające bądź nie pracujących w działach IT, kursy te jednak mogą być mało użyteczne.
Europejska organizacja ENISA ocenia, że Europa musi zapewnić lepsze kształcenie swoich kadr, nie tylko w aspektach technicznych cyberbezpieczeństwa, ale także w zakresie rozwiązań, które odpowiadać będą na wyzwania społeczne, polityczne i naukowe wiążące się z cyberbezpieczeństwem.
Tymczasem, analiza 104 programów nauczania uczelni wyższych przeprowadzona w 2020 roku przez organizację CyberSec4Europe wykazała, że najczęściej pojawiającymi się wśród wykładanych na uczelniach problemów są te związane z kryptografią, cyfrową kryminalistyką śledczą, integralnością danych i problematyką wokół mechanizmów uwierzytelniania. Wszystkie badane programy wykazały ubytki w zakresie przedstawiania zagadnień związanych z aspektami cyberbezpieczeństwa, wpływającymi na kwestie takie, jak organizacja pracy, problemy społeczne, czy kwestie humanitarne. Tematy są lepiej poruszane w nauczaniu większych krajów, takich jak Hiszpania, Francja, Niemcy i Włochy - wynika z badania CyberSec4Europe.
Bariery, które napotyka rzetelna edukacja dla cyberbezpieczeństwa, to brak kontaktu uczelni wyższych z branżą, niedostateczne zasoby finansowe i brak wsparcia technicznego, a także niezrozumienie specyfiki rynku pracy w tym sektorze.
Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.