Zabezpečení dat a informační infrastruktury státu a rozpočtových organizací není možné dosáhnout tak, jak stanovuje zákon o kybernetické bezpečnosti. Podle analýzy technologické společnosti Ness Technologies a společnosti LMC, provozovatele kariérního portálu Jobs.cz, totiž na tuzemském pracovním trhu nejsou k dispozici zkušení bezpečnostní experti, které by stát dokázal zaplatit a pravidelně je školit. Soukromá sféra k sobě stáhla v podstatě všechny zkušené odborníky a tabulkové státní platy nemohou soukromé sféře konkurovat.
Podle statistiky společnosti LMC nástupní plat IT bezpečnostních specialistů dosahuje v průměru 41 200 korun. „Pro velmi zkušené odborníky mají firmy ze soukromé sféry samozřejmě výrazně atraktivnější nabídky včetně pestré palety benefitů. U bezmála 44 % míst například poskytují příspěvky na další vzdělávání a rozvoj, u 43 % nabízejí dovolenou navíc a v 16 % případů také poskytují možnost běžně pracovat z domova,“ říká Tomáš Ervín Dombrovský, analytik společnosti LMC.
Od práce ve státní sféře bezpečnostní odborníky odrazují zejména tabulkové platy a nejasný kariérní postup: „Odměna zkušeného bezpečnostního experta s mnohaletou zkušeností se v soukromé sféře pohybuje okolo osmdesáti tisíc korun měsíčně. Je zároveň postaráno i o jeho kariérní rozvoj. Jen formou školení a certifikací do něj firma musí investovat zhruba sto tisíc korun. Zkušené experty ,odsávají‘ zejména banky či jiné velké firmy,“ vysvětluje Jan Vachuda, expert na bezpečnostní systémy společnosti Ness Technologies.
Státu nezbude než potřebné odborníky outsourcovat, budou jich chybět tisíce
Podle analýzy společnosti Ness Technologies bude státní správa a samospráva v příštích letech potřebovat nejméně tisíc odborníků na kybernetickou bezpečnost. „Pokud mají ochránit státní informační infrastrukturu, nelze je nahradit juniory nebo pracovníky bez zkušeností. Sebelepší bezpečnostní systém za miliony korun únikům dat sám nezabrání. Bez zkušených bezpečnostních expertů s dostatečnými pravomocemi to jsou zmařené investice,“ varuje Jan Vachuda, expert na bezpečnostní systémy společnosti Ness Technologies.
Pozice v IT patří podle LMC mezi obtížně obsazované.
Mohou za to obrovské nároky na znalosti, které si experti musí neustále obnovovat. To se odráží ve výrazně nadprůměrných mzdách a benefitech.
Důležitost dlouholeté praxe potvrzuje i soudní znalec v oblasti informačních technologií Ivan Janoušek ze znaleckého ústavu Apogeo Esteem: „Bezpečnostní manažeři by měli mít alespoň pětiletou zkušenost a být ostřílenými praktiky se širokým záběrem. Musí být schopni informace z bezpečnostních systémů vyhodnotit a zároveň mít dostatek pravomocí k vynucení bezpečnostních pravidel či zásahu proti narušitelům. Pokud takoví odborníci na trhu nejsou, bude si je muset státní správa outsourcovat. Vychovat si je z vlastních řad je otázka řady let a navíc zůstává riziko odchodu za lepším do soukromé sféry.“
Společnost Ness Technologies očekává nárůst poptávky po bezpečnostních expertech zejména koncem letošního roku. „S tím, jak se budou snažit organizace naplnit zákon o kybernetické bezpečnosti, poroste i poptávka po zkušených expertech,“ říká Jan Vachuda. Trend potvrzuje i společnost LMC: „Zájem o ,bezpečáky‘ je zatím ve srovnání s tisícovkami dostupných míst pro vývojáře zdánlivě malý. Očekáváme však, že spolu se zvyšujícími se nároky a nárůstem počtu bezpečnostních hrozeb poměrně rychle poroste,“ dodává Tomáš Ervín Dombrovský.
Požadavky na bezpečnost státu jsou vyšší než u bank a velkých podniků
Nahradit zkušené pracovníky například juniory či nechat bezpečnostní agendu na klasickém IT oddělení je velmi nebezpečné. Nezkušení bezpečnostní manažeři představují pro kybernetickou bezpečnost státu velkou hrozbu. Nároky infrastruktury státní správy jsou totiž srovnatelné s potřebami například bank a nadnárodních firem.
V případě některých resortů, třeba ministerstva vnitra či justice, jsou požadavky nadstandardní. „Manažer a jeho tým musí umět vyhodnocovat bezpečnostní incidenty a v případě nebezpečí okamžitě zasáhnout. V organizaci s řádově tisíci zaměstnanci může být denně hlášeno až 2000 bezpečnostních incidentů. A ty je třeba selektovat podle povahy a najít příčiny, které se posoudí, a poté se navrhne řešení,“ říká Jan Vachuda.
může být zajištěna, jen pokud bude schopen zaměstnat zkušené a adekvátně ohodnocené odborníky a dát jim potřebné kompetence. Z krátkodobého hlediska to je možné s pomocí takzvaného body shoppingu, tedy outsourcingu potřebných odborníků z externích technologických firem. To je možné jak na krátkodobé, tak dlouhodobé úvazky, kdy odborník dochází do organizace jako řadový zaměstnanec. Z dlouhodobého hlediska musí případně státní správa navrhnout motivační program, který by přilákal do státní sféry i schopné technologické odborníky.
Bezpečnostní „superúředník“ musí mít páky i na ministra
Další slabinou v zabezpečení státní správy a samosprávy jsou kompetence bezpečnostních pracovníků ve státní správě. Pokud má systém řízení bezpečnosti fungovat, musí být schopni v případě ohrožení adekvátně zasáhnout, a to včetně nejvyšších úředníků, náměstků i ministrů.
„Musí disponovat řadou nadstandardních pravomocí, které mu umožní zasáhnout v případě ohrožení i na nejvyšších úrovních. Bezpečnostní úředník se nesmí bát pohnat k odpovědnosti třeba i samotného mistra, například za vynášení informací. Dají se proto očekávat velké tlaky na omezení pravomocí a akceschopnosti bezpečnostních pracovníků,“ říká Jan Vachuda, expert na bezpečnostní systémy společnosti Ness Technologies.
Na posílení pravomocí pro boj s kyberzločinem však není organizační struktura státní správy zatím připravena. „Bezpečnostní manažer bude tabulkově i z hlediska pravomocí zařazen maximálně na úrovni ředitele odboru. Těžko si lze představit, že takový člověk bude mít najednou pravomoc například změnit přístupová oprávnění ministra, pokud usoudí, že dochází k narušení bezpečnosti,“ uzavírá soudní znalec Ivan Janoušek.
