Ο νέος κανονισμός για την κυβερνοασφάλεια και οι ανάγκες σε ανθρώπινο δυναμικό

Σε μείζον ζήτημα και για την ελληνική αγορά εξελίσσεται το θέμα της εξεύρεσης του κατάλληλου ανθρώπινου δυναμικού που θα καλύψεις τις διαρκώς αυξανόμενες ανάγκες στον τομέα της κυβερνοασφάλειας.

Η εφαρμογή της νέας ευρωπαϊκής οδηγίας (NIS 2) που προβλέπει την ενίσχυση των μέτρων κυβερνοπροστασίας για μία σειρά από οργανισμούς, φορείς αλλά και μεσαίες μεγάλες επιχειρήσεις -εκτιμώνται σε άνω των 2000- έχει ως αποτέλεσμα να έχει αυξηθεί η ζήτηση για εργαζόμενους που μπορούν να καλύψουν τις νέες θέσεις που δημιουργούνται. Αλλά στον συγκεκριμένο τομέα υπάρχει ιδιαίτερα μεγάλο έλλειμμα.

Είναι χαρακτηριστικό ότι η Εθνική Αρχή Κυβερνοασφάλειας (ΕΑΚ), η οποία και θα έχει τον έλεγχο και την εποπτεία της εφαρμογής της NIS 2, έχει μεν 75 άτομα προσωπικό αλλά αυτό είναι το ήμισυ αυτό που προβλέπει ο νόμος. Σε πρόσφατη συνάντηση με εκπροσώπους των μέσων ενημέρωσης ο διοικητής της ΕΑΚ, Μιχάλης Μπλέτσας εμφανίστηκε απαισιόδοξος για το κατά πόσον θα μπορέσουν να καλυφθούν οι ανάγκες σε προσωπικό. Σημειωτέον πως η ΕΑΚ στελεχώνεται κατά κύριο λόγο με εργαζόμενους στο ελληνικό Δημόσιο αλλά ακόμη και εκεί υπάρχει ανταγωνισμός καθώς είναι δύσκολο για έναν φορέα να αποσπάσει άτομα από άλλον οργανισμό του Δημοσίου καθώς αντίστοιχες ανάγκες υπάρχουν και εκεί! Συν ότι μετάταξη σημαίνει και αλλαγή μισθολογικού επιπέδου, οπότε οι ίδιοι οι εργαζόμενοι δεν θέλουν να μεταφερθούν!

Με δεδομένη τη σημασία που έχει αρχίσει να αποκτά η κυβερνοασφάλεια, θα ήταν μάλλον δικαιολογημένο η ΕΑΚ να στραφεί προς τον ιδιωτικό τομέα. Όμως, με δεδομένο ότι και εκεί υπάρχουν τεράστιες ελλείψεις, οι μισθοί έχουν αυξηθεί σημαντικά και η ΕΑΚ αδυνατεί να προσφέρει πάνω από ένα συγκεκριμένο επίπεδο, είναι πρακτικά εξαιρετικά δύσκολο να προσελκύσει στελέχη από τον ιδιωτικό τομέα. Σημειωτέον δε ότι, όπως ανέφερε ο κ. Μπλέτσας, οι μισθοί στην αντίστοιχη αρχή κυβερνοασφάλειας της Αλβανίας είναι σε τριπλάσια επίπεδα από την ελληνική!

Τι δείχνουν οι έρευνες

Τα στοιχεία που προκύπτουν από τις σχετικές έρευνες επιβεβαιώνουν ότι υπάρχει τεράστια έλλειψη εξειδικευμένου δυναμικού. Σύμφωνα με τα ευρήματα μελέτης που πραγματοποίησε ο Σύνδεσμος Επιχειρήσεων Πληροφορικής & Επικοινωνιών Ελλάδας (ΣΕΠΕ), σε συνεργασία με το Οικονομικό Πανεπιστήμιο Αθηνών (ΟΠΑ) και την ομάδα του καθηγητή κυβερνοασφάλειας, Δημήτρη Γκρίτζαλη, η ζήτηση για επαγγελματίες κυβερνοασφάλειας στην Ελλάδα δεν ήταν ποτέ μεγαλύτερη, καθώς οι απειλές στον κυβερνοχώρο αυξάνονται ραγδαία και οι επιχειρήσεις και οργανισμοί επιδιώκουν να ενισχύσουν την προστασία και ακεραιότητα των δεδομένων τους και την απρόσκοπτη και εύρυθμη λειτουργία τους.

Το πλέον ανησυχητικό είναι ότι παρατηρείται σημαντική έλλειψη προσφοράς ακαδημαϊκών προγραμμάτων, κυρίως σε προπτυχιακό επίπεδο, με αποτέλεσμα να καταγράφεται σημαντική αναντιστοιχία μεταξύ προσφοράς και ζήτησης σε δεξιότητες κυβερνοασφάλειας. Για παράδειγμα, η μελέτη έδειξε ότι δεν υπάρχει πανεπιστήμιο στην Ελλάδα, το οποίο να παρέχει βασικό τίτλο σπουδών (πτυχίο) στην κυβερνοασφάλεια. Υπάρχουν, όμως, 4 κολλέγια που παρέχουν τέτοιο τίτλο σπουδών.

Η πλειοψηφία (65%) των εκπαιδευμένων/ καταρτιζόμενων σε κυβερνοασφάλεια προέρχεται από προγράμματα μεταπτυχιακών σπουδών που είναι διαθέσιμα σε 5 πανεπιστήμια. Επίσης, υπάρχουν κολλέγια στην Ελλάδα, τα οποία παρέχουν εξειδίκευση, σε προπτυχιακό και μεταπτυχιακό επίπεδο, σε κυβερνοασφάλεια ή σε συναφές γνωστικό πεδίο. Επιπλέον αυτών, υπάρχουν 7 Κέντρα Επιμόρφωσης και Δια Βίου Μάθησης (ΚΕΔΙΒΙΜ) που παρέχουν κατάρτιση σε κυβερνοασφάλεια ή σε συναφή γνωστικά πεδία στην Ελλάδα με περιορισμένο αριθμό εκπαιδευόμενων.

Οι διεθνείς σύνδεσμοι επαγγελματιών (ISC2, ISACA) παρέχουν έναν αξιόλογο αριθμό πιστοποιήσεων (480) σε σειρά επιμέρους πεδίων της κυβερνοασφάλειας και των συναφών της γνωστικών πεδίων.

Ακόμη, οι απόφοιτοι προγραμμάτων/ σεμιναρίων σε κυβερνοασφάλεια ή σε συναφή γνωστικά πεδία είναι στη μεγάλη πλειονότητά τους άνδρες, χωρίς να υπάρχει αξιοσημείωτη τάση εξισορρόπησης. Η μελέτη αναφέρει ότι στην Ελλάδα, η χαμηλή αναλογία συμμετοχής των γυναικών (24-28%) στην κυβερνοασφάλεια ή σε συναφή γνωστικά πεδία ισχύει ανεξαρτήτως προγραμμάτων ακαδημαϊκών σπουδών.

Οι μελλοντικές ανάγκς

Παράλληλα, σύμφωνα με την έρευνα, οι πιο αναγκαίες δεξιότητες κυβερνοασφάλειας στο άμεσο μέλλον αφορούν την ασφάλεια στο cloud, την προστασία προσωπικών δεδομένων, το αποκαλούμενο cyber resiliency και τη διαχείριση περιστατικών.

Επιπρόσθετα, όπως αναδείχθηκε από την έρευνα, ο εμπειρογνώμονας κυβερνοασφάλειας του μέλλοντος θα πρέπει να διαθέτει δεξιότητες, οι οποίες σχετίζονται με λειτουργικά συστήματα, τη διαχείριση δικτύων, τη διαχείριση κινδύνων, την εκπαίδευση και κατάρτιση, αλλά και αναλυτική και δημιουργική σκέψη.

Σημειώνεται ότι η έρευνα εντάσσεται στο έργο CyberHubs του προγράμματος Erasmus, που συντονίζεται από τον Ευρωπαϊκό Σύνδεσμο Βιομηχανίας Ψηφιακής Τεχνολογίας (DIGITALEUROPE). Πραγματοποιήθηκε διαδικτυακά τον Ιούνιο του 2024, με τη χρήση του EUSurvey, με στόχο την καταγραφή των αναγκών σε ρόλους και δεξιότητες κυβερνοασφάλειας στην Ελλάδα. Συμμετείχαν στη μελέτη 140 επιχειρήσεις και οργανισμοί στους οποίους περιλαμβάνονται: πάροχοι κυβερνοασφάλειας, εταιρείες τεχνολογιών πληροφορικής και επικοινωνιών, ιδιωτικοί και δημόσιοι φορείς με εσωτερικές ανάγκες κυβερνοασφάλειας, ακαδημαϊκά ιδρύματα και άλλοι. Παράλληλα, η μελλοντική ζήτηση διερευνήθηκε περαιτέρω μέσω γνωμοδοτήσεων εμπειρογνωμόνων για την πρόβλεψη τάσεων και απαιτήσεων σε δεξιότητες.