Archiv pro měsíc: Únor 2015

● Ve státní správě a samosprávě chybějí tisíce bezpečnostních odborníků. Ti zkušení pracují převážně pro soukromé firmy. Stát jim zatím nemá co nabídnout.
● Bezpečnostní systémy za miliony korun jsou bez zkušených odborníků zbytečnou investicí.
● Nedostatek expertů se bude muset řešit outsourcingem „bezpečáků“ z technologických firem.

Zabezpečení dat a informační infrastruktury státu a rozpočtových organizací není možné dosáhnout tak, jak stanovuje zákon o kybernetické bezpečnosti. Podle analýzy technologické společnosti Ness Technologies totiž na tuzemském pracovním trhu chybí přibližně 10 tisíc zkušených bezpečnostních expertů. Soukromá sféra k sobě stáhla v podstatě všechny kvalitní odborníky a i tam jich je obrovský nedostatek.

„Státní správa a samospráva jich bude potřebovat dalších nejméně tisíc, a pokud mají ochránit státní informační infrastrukturu, nelze je nahradit juniory nebo pracovníky bez zkušeností. Sebelepší bezpečnostní systém za miliony korun únikům dat sám nezabrání. Bez zkušených bezpečnostních expertů s dostatečnými pravomocemi to jsou zbytečné investice,“ varuje Jan Vachuda, expert na bezpečnostní systémy společnosti Ness Technologies.

Negativní prognózu potvrzují i informace z trhu práce. Zkušené experty totiž už „odsály“ banky či jiné velké firmy. Od práce ve státní sféře bezpečnostní odborníky odrazují zejména tabulkové platy a nejasný karierní postup. „Odměna zkušeného bezpečnostního experta se v soukromé sféře pohybuje okolo osmdesáti tisíc korun měsíčně. Je zároveň postaráno i o jeho kariérní rozvoj. Jen formou školení a certifikací do něj firma musí investovat zhruba sto tisíc korun. Tomu státní správa zatím nemůže konkurovat,“ vysvětluje Jan Vachuda.

Státu nezbude než potřebné odborníky outsourcovat
Nahradit zkušené pracovníky například juniory či nechat bezpečnostní agendu na klasickém IT oddělení je velmi nebezpečné. Nezkušení bezpečnostní manažeři představují pro kybernetickou bezpečnost státu velkou hrozbu. Nároky infrastruktury státní správy jsou totiž srovnatelné s potřebami například bank a nadnárodních firem. „V případě některých resortů, třeba ministerstva vnitra či justice, jsou požadavky dokonce vyšší. Manažer a jeho tým musí umět vyhodnocovat bezpečnostní incidenty a v případě nebezpečí okamžitě zasáhnout. V organizaci s řádově tisíci zaměstnanci může být denně hlášeno až 2000 bezpečnostních incidentů. A ty je třeba selektovat podle povahy a najít příčiny, posoudit je a navrhnout řešení,“ říká Jan Vachuda.

Důležitost dlouholeté praxe potvrzuje i soudní znalec v oblasti informačních technologií Ivan Janoušek ze znaleckého ústavu Apogeo Esteem: „Bezpečnostní manažeři by měli mít alespoň pětiletou zkušenost a být ostřílenými praktiky se širokým záběrem. Musí být schopni informace z bezpečnostních systémů vyhodnotit a zároveň mít dostatek pravomocí k vynucení bezpečnostních pravidel či zásahu proti narušitelům. Pokud takoví odborníci na trhu nejsou, bude si je muset státní správa outsourcovat. Vychovat si je z vlastních řad je otázka řady let a navíc zůstává riziko odchodu za lepším do soukromé sféry.“

Bezpečnostní „superúředník“ musí mít páky i na ministra
Další slabinou v zabezpečení státní správy a samosprávy jsou kompetence bezpečnostních pracovníků ve státní správě. Pokud má systém řízení bezpečnosti fungovat, musí být schopni v případě ohrožení adekvátně zasáhnout, a to včetně nejvyšších úředníků, náměstků i ministrů.

„Musí disponovat řadou nadstandardních pravomocí, které mu umožní zasáhnout v případě ohrožení i na nejvyšších úrovních. Bezpečnostní úředník se nesmí bát pohnat k odpovědnosti třeba i samotného mistra, například za vynášení informací. Dají se proto očekávat velké tlaky na omezení pravomocí a akceschopnosti bezpečnostních pracovníků,“ říká Jan Vachuda, expert na bezpečnostní systémy společnosti Ness Technologies.

Na posílení pravomocí pro boj s kyberzločinem však není organizační struktura státní správy zatím připravena. „Bezpečnostní manažer bude tabulkově i z hlediska pravomocí zařazen maximálně na úrovni ředitele odboru. Těžko si lze představit, že takový člověk bude mít najednou pravomoc například změnit přístupová oprávnění ministra, pokud usoudí, že dochází k narušení bezpečnosti,“ uzavírá soudní znalec Ivan Janoušek.

INFOBOX: Kybernetická bezpečnost státu může být zajištěna, jen pokud bude schopna zaměstnat zkušené a adekvátně ohodnocené odborníky a dát jim potřebné kompetence. Z krátkodobého hlediska to je možné pomocí takzvaného body shoppingu, tedy outsourcingu potřebných odborníků z externích technologických firem. To je možné jak na krátkodobé, tak dlouhodobé úvazky, kdy odborník dochází do organizace jako řadový zaměstnanec. Z dlouhodobého hlediska musí případně státní správa navrhnout motivační program, který by přilákal do státní sféry i schopné technologické odborníky.

FacebookTwitterGoogle+Sdílet