Uit internationaal onderzoek van Intel Security en het Amerikaanse Center for Strategic and International Studies (CSIS) blijkt dat 82 procent van de it-beslissers een tekort aan beveiligingsvaardigheden ervaart. Wij vroegen ons af of dit in België ook speelt en legden onze eigen securityexperts de onderwerpen uit het onderzoek voor. Uit deze rondvraag blijkt dat bijna alle vaardigheden in cybersecurity schaars zijn en dat er nog te weinig bewustwording bij bedrijven en burgers is.
Wim De Smet, cto bij SecureLink België meent dat bijna alle vaardigheden in cybersecurity schaars zijn. ‘De vraag naar beveiligingskennis is de laatste jaren enorm gestegen. De beste manier om nieuwe specialisten aan te trekken is via het eigen netwerk.’ Hij meent dat dit vooral werkt bij securitybedrijven. ‘Bij bedrijven waar security niet de kernactiviteit is, is het onhaalbaar om deze mensen te werven.’ Om toch aan de juiste securityvaardigheden te komen pleit hij voor opleiding van huidige werknemers. ‘Dit vereist wel interne specialisten die hun kennis kunnen overbrengen naar deze nieuwe trainees’, vult hij aan.
Vaardigheden
Gilles Chekroun, NSX specialist SE bij VMware, meent dat vaardigheden en ervaring de belangrijkste eigenschappen van securityspecialisten zijn. ‘Iemand die ervaring heeft met een cyberaanval heeft hier nieuwe inzichten mee opgedaan. Het probleem zit in het feit dat de nieuwe aanvalsmethodes zo snel groeien dat specialisten dit niet kunnen bijhouden.’ De Smet hecht ook waarde aan zachte vaardigheden, zoals ambitie. ‘Daarnaast moeten securityexperts een achtergrond in switching of system hebben.’
Experts behouden
De juiste mensen in dienst hebben stelt bedrijven nog niet veilig voor het tekort aan specialisten. Dit komt door het verloop van bedrijven. Chekroun meent dat experts een bedrijf verlaten als zij over een te klein budget beschikken om de werkzaamheden uit te voeren. ‘Zonde, want de schade van een datalek is tien keer groter.’
De Smet sluit zich bij aan Chekroun: ‘Een andere reden tot vertrek is het gebrek aan focus. Zonder focus speel je niet in op de nieuwste ontwikkelingen, waardoor het bedrijf na een aantal jaar niks meer voorstelt. Daarnaast moet er voldoende kennisdeling plaatsvinden en zoeken zij voldoende uitdaging in hun werk.’
Studenten
Het onderzoek van Intel Security toont aan dat slechts 23 procent van de it-beslissers meent dat studenten in hun opleiding worden klaargestoomd voor de industrie. Chekroun sluit zich hierbij aan: ‘De hedendaagse (security)opleiding stoomt studenten onvoldoende klaar voor het bedrijfsleven.’ De Smet is iets optimistischer. Hij meent dat het opleidingsinstituut leerlingen vooral de basis moet meegeven. ‘Andere zaken kunnen ze in de praktijk opdoen. Vereiste is wel dat zij talent moeten hebben.’
De onderzoekers menen dat niet-traditionele en praktijkgerichte leermethodes, zoals hands-on training, gaming en hackathons, kunnen bijdragen aan het leerproces van cybersecuritykennis en -vaardigheden. De Smet ziet wel een toegevoegde waarde in deze hackingcompetities. ‘Vereiste is wel dat de deelnemers goed worden begeleid. Zo’n competitie leert hen vooral technische vaardigheden. Hierdoor kunnen zij prima functies op gebied van audit, analyse of pentesting bekleden. Het speelt minder in op zachte vaardigheden, zoals communicatie. Hierdoor zijn deelnemers misschien minder geschikt voor consulting.’
Oplossing in technologie
Chekroun denkt niet dat de ontwikkelingen in cybersecuritytechnologie het tekort aan cybersecurityvaardigheden kan compenseren. ‘Technologie verandert snel. Hackers zijn slim en vinden altijd wel nieuwe manieren om een aanval te plegen. Daardoor zijn de vaardigheden van werknemers echt onmisbaar.’
De Smet is het hier niet mee eens. ‘Ik geloof echt in (nieuwe) technologieën als machine learning en artificiële intelligentie. De eerste oplossingen gebaseerd op deze technologieën worden uitgerold en dat zal in de toekomst alleen maar meer worden. Dit zorgt ervoor dat bepaalde (menselijke) taken vervangen kunnen worden door deze oplossingen.’
GDPR
‘De General Data Protection Regulation (GDPR) is nu actief in Nederland, maar dit wil niet zeggen dat de mensen op de hoogte zijn’, vertelt De Smet. ‘Ook de bedrijven zijn allemaal nog niet op de hoogte. Het bedrijfsleven had zich hier eerder in moeten verdiepen. In België is deze wet pas in 2018 van kracht. Bedrijven moeten hier nu al inspelen. Zo moeten ze inzichtelijk krijgen waar privédata opslagen staat en procedures instellen om deze te beveiligen en verwijderen.’
Chekroun is het met De Smet eens. ‘Binnen twee jaar is deze wet van kracht en de boetes kunnen hoog oplopen (tot 4 procent van de jaarlijkse omzet). Bedrijven hebben dus geen keuze en moeten zich snel gaan klaarmaken voor deze wet.’
Bewustzijn
‘De grootste securityuitdaging is het bewustzijn van de medewerkers’, legt De Smet uit. ‘Dat wil niet zeggen dat er geen beveiligingstechnologieën zijn om de menselijke factor tot zijn minimum te herleiden, maar volledig uitschakelen is nog niet mogelijk. Daarom moet hier ook aandacht aan besteed worden.’
Ook Chekroun ziet een gevaar in dit kennisgebrek van de medewerkers. Hij ziet de oplossing in zogenaamde ‘cyber drill’-oefeningen, waarbij intern nep phishingmails worden gestuurd om meer bewustheid bij de medewerkers te bewerkstelligen.
De Smet ziet vooral een gevaar weggelegd bij de nieuwere generaties. ’Zij liggen niet wakker van wat ze op internet delen. Dit gaat pas spelen wanneer er misbruik van wordt gemaakt.’ Chekroun en De Smet zien daarom een rol voor scholen en de overheid weggelegd om meer bewustzijn te creëren.