Kibernetička sigurnost je dio odgovornosti mnogih zanimanja, a pojavila se i kao samostalno zanimanje. Pogledajmo pobliže neke moguće opcije za karijeru.
Danas se stručnjaci za kibernetičku sigurnost mogu naći u mnogim oblicima i radnim mjestima koja kombiniraju značajke poput privatnosti, razvoja, fizičke sigurnosti i revizije.
Korporativna zanimanja
U prošlosti su organizacije s visokim stupnjem sigurnosti (poput obrane ili obavještajnih službi), kao i izvršitelji obrade transakcija velike vrijednosti (sektor financijskih usluga, burze i izvršitelji obrade platnih kartica), bile prve koje su se usmjerile na osiguravanje tih sustava. To znači da su navedeni sektori stavljali naglasak na unutarnje kontrole u svojoj tvrtki kako bi zaštitili svoje informacije.
U 1960-ima povećana komercijalna uporaba računala (kao što su IBM-ova velika računala) stvorila je potrebu za kontrolama i revizijama informacijske tehnologije. To je dovelo do zanimanja usmjerenih na kontrole i revizije, koja još uvijek postoje u okviru svakodnevnog rada mnogih radnih mjesta u suvremenim organizacijama.
Godine 1969., u SAD-u je osnovano Udruženje revizora elektroničke obrade podataka (engl. Electronic Data Processing Auditors Association, EDPAA) u Los Angelesu u Kaliforniji. Udruženje je danas poznato pod pokratom ISACA, a ubraja se u organizacije koje pružaju tečajeve o kibernetičkoj sigurnosti i certificiranje (kao što je CISA, CISM i CSX-P) za stručnjake za kibernetičku sigurnost.
Tradicionalno se podrazumijevalo da je kibernetička sigurnost mali dio u sklopu zanimanja korporativne sigurnosti (koja uključuje čuvare, vježbe u slučaju požara i brave), ako čak i to. Tada se smatralo da je IT sigurnost povezana samo s unutarnjim IT uslugama: radnim postajama, velikim računalima i mrežama.
Postupno su fizički sigurnosni sustavi postali umreženi, a fizičke sigurnosne kontrole (npr. vrata i brave) nisu mogle zaštititi informacije od vanjskog pristupa putem interneta.
Danas predvodnici u području korporativne sigurnosti obraćaju pozornost na informacijsku sigurnost jer su digitalni procesi predstavljaju mnogo značajniji dio poslovanja tvrtke. Također, IT je postao informacijska sigurnost. To znači osiguravanje informacija neovisno o tome jesu li na papiru ili u digitalnom formatu.
Isprva su se IT sigurnost i informacijska sigurnost (koja je kasnije dobila naziv kibernetička sigurnost) smatrale odvojenim zanimanjima. Ali uz digitalnu konvergenciju, ta su se zanimanja počela mijenjati i spajati. Ipak, ta tradicionalna radna mjesta (voditelj korporativne sigurnosti i voditelj IT sigurnosti) i dalje postoje.
Nakon što je GDPR stupio na snagu 2018., tvrtke su morale imenovati službenike za zaštitu podataka (engl. Data Privacy Officer, DPO) kako bi razvile prakse koje štite privatnost svojih zaposlenika i klijenata. Privatnost zahtijeva sigurnosne kontrole, što znači da stručnjaci za sigurnost i privatnost rade zajedno i usko surađuju jer rade na istom cilju.
Iako se neke funkcije uvelike koriste (npr. DPO), radna mjesta se razlikuju u svakoj organizaciji i industriji. Isto tako, svako radno mjesto ili neki od zadataka mogu se povjeriti konzultantu tvrtke koja nudi stručne usluge. To je dovelo do stvaranja znatno velike industrije savjetovanja iz područja kibernetičke sigurnosti.
Česta radna mjesta u području kibernetičke sigurnosti u organizacijama
Voditelj informacijske sigurnosti (engl. Chief Information Security Officer, CISO)
Obično su voditelji informacijske sigurnosti odgovorni za razvoj sigurnosne kulture i procesa i vođenje poslova i funkcije u području informacijske sigurnosti. Voditelji informacijske sigurnosti rade kao tumači između poduzeća, vodstva, dobavljača, vlasti i tehničkih stručnjaka za kibernetičku sigurnost.
Upravitelj ili stručnjak za informacijsku/kibernetičku/IT sigurnost
Ti stručnjaci brinu o svakodnevnim sigurnosnim postupcima, podržavaju projekte vezane uz sigurnost i koordiniraju sigurnosne incidente. Također pripremaju smjernice za tečajeve i pravila za osoblje. Pretvaraju pravila i načela u izvedive zadatke u organizaciji.
Upravitelj ili stručnjak za sigurnost
Upravitelji sigurnosti pružaju tradicionalne sigurnosne usluge, kao što su kontrola fizičkog pristupa, koje su sve više digitalne. Upravitelji sigurnosti pružaju konkretnu sigurnost osoblju dok istovremeno i sami osiguravaju kibernetičku sigurnost usluge.
Revizor informacijskog sustava
Stručnjak za reviziju testira sigurnosne kontrole (fizičke i digitalne) i pruža preporuke za njihovo poboljšanje. Ponekad koriste posebne alate poput skenera da bi testirali stvarne konfiguracije. Revizori pružaju neovisna i objektivna mišljenja kako bi pomogli drugima da razviju prakse.
Konzultanti
Konzultanti sudjeluju u zapošljavanju, podučavanju, mentoriranju ili podržavanju tih radnih mjesta na drugi način. Konzultanti su često prethodno radili na jednoj od gore navedenih pozicija.
Od hobija do karijere u etičkom hakiranju
Kao što smo naučili u prvom poglavlju, hakeri mogu imati različite boje šešira. Za razliku od samih početaka toga zanimanja, bijeli šeširi i drugi etički „hobisti“ u području kibernetičke sigurnosti danas mogu pretvoriti svoj hobi u zanimanje.
Hakeri koji rade u korporaciji imaju puno posla tijekom dana i mnogo sastanaka s kolegama i unutarnjim ili vanjskim klijentima. Zbog toga nemaju mnogo prostora za istraživanje ili testiranje kreativnih ideja (hakiranja) osim ako ne pružaju neposrednu vrijednost. Vrlo mali broj organizacija može financirati i zaposliti istraživače na puno radno vrijeme osim ako to nisu istraživačke institucije pod pokroviteljstvom države.
Međutim, s povećanjem tržišta kibernetičke sigurnosti i poslovnim mogućnostima koje su postale globalne, rad na daljinu i istraživanje pojavili su se kao struka u kojoj visoko specijalizirani hobisti/istraživači (tzv. „etički hakeri“) mogu zarađivati.
Lovovi na pogreške (engl. bug bounties)
Platforme za masovnu podršku poput HackerOne, YesWeHack i Intigriti pružaju hakerima metodu kojom mogu unovčiti svoje „hakiranje“ ili sudjelovati u „lovu na pogreške“. Bilo tko se može manje ili više anonimno pridružiti tim platformama i potražiti organizacije koje imaju tzv. programe za „lov na pogreške“. Putem tih programa organizacije mogu ponuditi svoj proizvod, uslugu, aplikaciju ili isječak koda za testiranje. Ako bilo koji haker na platformi pronađe ranjivost softvera, platit će im se novčana naknada ovisno o kvaliteti i težini otkrivene pogreške.
U najboljem slučaju, ta karijerna mogućnost smatra se idealnom za buduće zanimanje. Možete raditi gdje god poželite, kad god poželite, a pritom i dobro zarađivati. Međutim, ni kritika ne nedostaje. Prije svega, vrlo mali broj etičkih hakera dobro zarađuje tijekom dužeg vremena. Tvrtke ponekad pogrešno misle da mogu zamijeniti sustavno testiranje s oportunističkim i često puta nasumičnim rezultatima lovova na pogreške.
Svaka organizacija treba imati vlastiti program otkrivanja ranjivosti. Program lova na pogreške uglavnom nije nužan. Program otkrivanja ranjivosti definira načine na koje istraživači mogu sigurno komunicirati o pojedinostima ranjivosti i o tome kako se one rješavaju i popravljaju unutar organizacije. Možda biste mogli razmisliti o pokretanju programa lova na pogreške ako vam se čini da njegove koristi prevladavaju moguće novčane troškove i vrijeme potrebno za upravljanje njima.
Također, prema nekim anketama, platforme za lov na pogreške koriste ugovore o tajnosti kako bi ponudili lovcu na pogreške mogućnost isplate u zamjenu za njegovu šutnju. To omogućuje nekim korporacijama da ušutkaju hakere u lovu na pogreške kako ne bi objavili najozbiljnije sigurnosne ranjivosti a da ih pritom ne poprave. To bi dovelo korisnike dotičnog softvera u opasnost od kršenja sigurnosti.
Kao i kod ostalih oblika platformskog poslovanja, postoje i kritike u vezi s mogućim kršenjem zakona o radu, koji bi u mnogim zemljama prisilili poslodavce da brinu o svojim zaposlenicima. Kao haker koji sudjeluje u lovu na pogreške, tehnički ste poslodavac sami sebi i prema tome teško je osigurati prava radnika putem platforme.
Pročitajte intervju s hakerom koji sudjeluje u lovu na pogreške.
Napadački i obrambeni poslovi sigurnosti
Kod napadačkih i obrambenih sigurnosnih zadataka, „crveni tim“ odnosi se na poduzimanje ofenzive radi testiranja kontrola, a „plavi tim“ odnosi se na tim koji brani.
Penetracijsko testiranje (ukratko „pentesting“ prema engleskom penetration testing) je oblik napadačkog i istraživačkog testiranja sustava, aplikacije, usluge, poslužitelja, mreže, uređaja ili čak vozila (poput zrakoplova ili automobila). Crveni tim cilja veće entitete, kao što su korporacije u cjelini.
Za razliku od lovova na pogreške, ovaj oblik testiranja ima metu, opseg testiranja, klijenta, kriterije uspješnosti i povezano plaćanje. Neke organizacije imaju zaposlene „pentestere“, ali se češće za takve specijalizirane zadatke koriste vanjske usluge tvrtki koje su specijalizirane u tom području. Razlika između oportunističkog hakiranja i pentestinga je u tome što pentesteri pružaju osiguranje i sistematični su u svojem pristupu te nastoje obuhvatiti većinu mogućih metoda napada.
Primjeri uloga crvenih/plavih timova
Crveni: Tehnički pentester
Pentesteri koriste napadačke, komercijalne i vlastite alate za napad da bi testirali metu ili prikupili informacije od mete. Češće utvrđuju slabe točke konfiguracije nego nove ranjivosti softvera. Razmišljaju kao haker crnog šešira, ali koriste hakiranje u dobre svrhe. Pentesteri daju preporuke za druge tehničke stručnjake u području kibernetičke sigurnosti o tome kako popraviti otkrivene slabe točke.
Crveni: Član crvenog tima
Članovi crvenog tima imaju čitav niz vještina od tradicionalnog pentestinga do zaobilaženja fizičkih kontrola i korištenja metoda društvenog inženjeringa. Ti stručnjaci rade u timu koji ima raznovrsne vještine. Članovi crvenog tima kreativno testiraju kombinacije obrane da bi otkrili nove slabe točke.
Plavi: Arhitekt IT/kibernetičke sigurnosti
Arhitekti sigurnosti dizajniraju i primjenjuju strukture za IT usluge, baš kao kolege u građevinskoj industriji. Arhitekti sigurnosti
planiraju strukturu mreža, usluga povezanih sa sigurnošću, pa čak i koje će usluge slati vanjski dobavljač ako se ne pružaju unutar tvrtke.
Arhitekti sigurnosti razmatraju kako se identificira i provjerava autentičnost (IAM) računa svakog pojedinog korisnika i uređaja te kako se zapisuju različiti događaji. Arhitekt sigurnosti može se usmjeriti na određeno područje (kao što su IAM, mreža ili usluge u oblaku) ili baviti se arhitekturom čitavog poduzeća.
Plavi: Analitičar/stručnjak za SOC
Sigurnosno-operativni centar (engl. Security operations centre, SOC) je funkcija gdje organizacija centralno nadzire većinu zapisnika i događaja u vezi sa svojim IT okruženjem. SOC ima svoje posebne alate i usluge koji prikupljaju i povezuju golemu količinu stavki zapisnika ili događaja koji pokreću zadana pravila.
SOC analitičar odgovoran je za stvaranje i razvoj niza pravila korištenjem navedenih alata kako bi identificirao sumnjive događaje i po potrebi započinje postupak istrage. Te osobe koje su „prve na mjestu događaja“ (tzv. prva razina, engl. Tier 1) često rade 0-24 h, sedam dana u tjednu, 365 dana u godini. SOC analitičar može predati problematičnije istrage drugoj razini (engl. Tier 2), koja može imati iskusnije stručnjake za digitalnu forenziku, odnosno umijeće pronalaska elektroničkog dokaza mogućeg kršenja sigurnosti.
Sigurnost u razvoju
Razvoj kibernetičke sigurnosti nije samo za specijalizirane stručnjake za kibernetičku sigurnost, već i za svakoga u IT industriji. Tehnički, sve se izvodi na temelju koda. Kod je niz uputa koje mogu čitati ljudi, a pisan je (razvijen) i zatim preveden u objekt koji uređaj može izvršiti. Tu izvršnu datoteku potom testira razvojni inženjer. Nakon testiranja, izvršna datoteka uvodi se u operativno okruženje (engl. operational environment, OPS), gdje ulazi u interakciju s drugim programima, poslužiteljima i uslugama.
Sve te faze mogu stvoriti sigurnosne nedostatke namjerno ili slučajno. Zato je važno osigurati sigurnost samoga koda, sastavnih dijelova i njihovih interakcija od početka procesa. Za razliku od pentestinga (koji je usmjeren na pronalaženje slabih točaka nakon izrade koda), sve veći broj najučinkovitijih sigurnosnih aktivnosti obavlja se prije ili tijekom razvoja.
Primjeri radnih mjesta u području razvoja sigurnosti
Razvojni inženjer za sigurnost (engl. security developer)
Razvojni inženjeri za sigurnost fokusiraju se na usluge koje su ključne za kibernetičku sigurnost, kao što su usluge identifikacije i provjere autentičnosti.
Voditelj odjela za sigurnost (u razvojnom projektu)
Voditelj odjela za sigurnost (engl. security champion), koji je obično viši razvojni inženjer, fokusira se na prakse sigurnog kodiranja. Oni su mentori drugim razvojnim inženjerima i drugim članovima projektnog tima. Oni osiguravaju provođenje sigurnosnog testiranja i drugih aktivnosti vezanih uz sigurnost (npr. pregled kodova) prema planu.
Kibernetička sigurnost: karijera za budućnost
Sada, više nego ikada prije, potražnja za stručnjacima za kibernetičku sigurnost u svim industrijama naglo raste. Digitalna transformacija našeg svakodnevnog života i posla potiče potrebu za tih vještinama u svim sektorima i područjima. Vlasti, poduzeća i građani najviše su zabrinuti zbog toga da će širenje digitizacije i novih tehnologija nadmašiti našu mogućnost osposobljavanja kvalificiranih stručnjaka za kibernetičku sigurnost koji su potrebni da bi zaštitili naš internetski svijet.
U svojoj godišnjoj studiji za 2020., (ISC)², međunarodna neprofitna organizacija za članove koji se bave kibernetičkom sigurnošću, procjenjuje da Europa ima manjak radne snage od više od 168 000 mjesta koja ne može popuniti kvalificiranim stručnjacima za kibernetičku sigurnost. Na svjetskoj razini taj broj premašuje 3 milijuna. Iako se ova potražnja za radnicima smanjila u odnosu na 2020., zbog općeg pada gospodarske aktivnosti uzrokovanog bolešću Covid19, ona je i dalje velika, a očekuje se i da će ubrzano rasti.
Unatoč više od 500 sveučilišta i akademskih institucija koje diljem Europe dodjeljuju certifikate i diplome za stručnjake za kibernetičku sigurnost, rastuća potražnja daleko nadmašuje ponudu. Jedno je rješenje kojim bi se premostio taj jaz je da poslodavci i radnici pronađu načine da steknu nove vještine za taj posao ili nastave obrazovanje. Sada kada ste završili ovaj tečaj, imate dobru podlogu da krenete u tom smjeru. Za više informacije o tome gdje možete steći daljnje vještine u području kibernetičke sigurnosti, posjetite web-mjesto Digital SkillUp.
Sign up to solve exercises
Nakon završetka petog poglavlja, trebali biste znati:
Razumjeti kako nove tehnologije mogu pružiti nove mogućnosti, ali i rizike, u području kibernetičke sigurnosti.
Raspraviti o nekim posljedicama za kibernetičku sigurnost u bliskoj budućnosti.
Razumjeti kakvi su poslovi dostupni za stručnjake u području kibernetičke sigurnosti.
