Polacy lubią szukać dziury w całym - jak wygląda rynek IT security w Polsce?
IT security wciąż jest na topie. Od kilku lat temat nie schodzi z ust specjalistów, programistów, hakerów, naukowców, managerów, pracowników organizacji rządowych, pasjonatów, studentów. Jednak nie trzeba być ekspertem lub interesować się światem IT, by na co dzień otrzymywać sporą dawkę informacji na temat nowych zagrożeń czy spektakularnych ataków. O cyberbezpieczeństwie słyszał prawdopodobnie każdy, kto na bieżąco śledzi media informacyjne.
Ta dziedzina IT rozwija się bardzo intensywnie. Prężnie działają liczne portale i blogi, zawiązują się nowe społeczności, a hackathony i konferencje przyciągają coraz więcej uczestników.
- Jeszcze jakiś czas temu było mało wydarzeń z tym związanych, a teraz jest na nie boom, każdy się tym zajmuje, nawet jeśli do tej pory nie miał nic wspólnego z cyberbezpieczeństwem - mówi Mirosław Maj, założyciel i prezes Fundacji Bezpieczna Cyberprzestrzeń.
Coraz bardziej rozpowszechniony jest też trend, by za darmo zapraszać na takie wydarzenia studentów, reprezentantów kół naukowych i organizacji akademickich. Tak jest między innymi w przypadku najstarszej w Polsce konferencji poświęconej IT security - CONFidence.
Ogromne zainteresowanie tą tematyką rodzi jednak pewne problemy. IT security to bardzo dynamiczna, wymagająca dziedzina, która zmusza do stałej czujności, uzupełniania wiedzy i doskonalenia umiejętności. Wysokie kompetencje, aktywność i chęć ciągłego rozwijania się - oczekiwania rynku są spore, a jednak wielu polskich specjalistów decyduje się na karierę w cybersecurity.
IT security to nasza specjalność
Według Mirosława Maja w Polsce mamy mnóstwo bardzo dobrych specjalistów. Osoby profesjonalnie zajmujące się bezpieczeństwem IT zwykle prezentują wysoki poziom i są bardzo zaangażowane w to, co robią.
- Wygrywamy międzynarodowe konkursy takie jak Capture the Flag, w których świetnie spisują się Dragon Sector czy ostatnio p4 i Snatch the Root. Polskie zespoły zajmują pierwsze miejsca na międzynarodowych ćwiczeniach, Polacy osiągnęli najlepszy wynik w organizowanych przez Europejską Agencję ds. Bezpieczeństwa Sieci i Informacji (ENISA) w 2014 roku oraz w Locked Shields - ćwiczeniach organizowanych przez NATO.
Kolejne przykłady światowych sukcesów wymienia Wojciech Dworakowski, właściciel firmy SecuRing od 13 lat zajmującej się testowaniem bezpieczeństwa i lider Poland OWASP Chapter:
- Moim zdaniem to wręcz nasza narodowa specjalność. Wystarczy popatrzeć na rankingi bug-bounty, CTF-ów, prelekcje na prestiżowych zagranicznych konferencjach, itp. Wielu naszych rodaków pracuje w core-teamach takich firm jak Google czy międzynarodowe instytucje finansowe.
Osiągnięcia i wystąpienia na arenie międzynarodowej na pewno w dużym stopniu wpływają popularność tej dziedziny w Polsce. Jakie jest jednak jej właściwe źródło? Najwyraźniej mamy to we krwi. Cyberbezpieczeństwo to (...) szperanie w systemie i szukanie dziury w całym. Polacy lubią to robić, stąd pewnie te sukcesy - twierdzi Mirosław Maj.
- Polacy od samego początku istnienia tematyki "bezpieczeństwa IT" plasowali się w czołówce światowej klasy specjalistów i dziś także nasi rodacy pomagają zabezpieczać największe firmy z całego świata - zauważa Borys Łącki, specjalista od ponad 10 lat związany z bezpieczeństwem IT, właściciel LogicalTrust, autor wielu prelekcji i bloga Bothunters.
Wciąż brakuje ekspertów
Mimo tak ogromnych sukcesów osiąganych przez polskie zespoły na arenie międzynarodowej, lokalny rynek nadal czuje niedosyt. Jednak niedobór ekspertów na odpowiednim poziomie to dużo szerszy problem.
- W ostatnim czasie w całej branży IT obserwujemy olbrzymi problem związany z brakami osób o odpowiednich kompetencjach i kwestia ta nie ominęła także sfery bezpieczeństwa IT - mówi Borys Łącki.
Problem stanowi też brak różnorodności na rynku - pracodawcy mogą wybierać wśród mimo wszystko nie dość licznych ekspertów lub samemu kształcić pracowników, przyjmując do pracy osoby, które dopiero zaczynają karierę. Jest bardzo dużo bardzo dobrych specjalistów na rynku, ale brakuje tak zwanej szerokiej ławy, która sprawiłaby, że średni poziom byłby wyższy - stwierdza Maj.
Podobnie jak w innych dziedzinach IT, zagraniczne korporacje również - dostrzegły w polskich specjalistach dobry stosunek jakości do ceny i coraz częściej przenoszą tutaj swoje procesy ITsec/ITrisk, co skutecznie drenuje rynek pracy.
Nie bez znaczenia pozostaje też rosnące zapotrzebowanie rynku. Firmy coraz więcej przeznaczają na zapewnienie cyberbezpieczeństwa ich zasobów, w wielu przypadkach jest to niemal jedna trzecia wydatków związanych z IT. Zarządy mają coraz większą świadomość, że głośne ataki zza oceanu wcale nie są odległymi przypadkami, które nie dotyczą polskich firm. Zagrożenia w sieci przestały być bagatelizowane.
- W ostatnich latach w Polsce drastycznie wzrosła liczba ofert o pracę, które powiązane są z tematyką bezpieczeństwa IT. Coraz więcej firm dostrzega potrzebę zatrudniania ekspertów dbających o zabezpieczanie wrażliwych zasobów - mówi Łącki.
Rozwiązanie? Praca u podstaw
Wyjście z patowej sytuacji większość specjalistów widzi w kształceniu przyszłych pracowników. Długofalowym celem, do którego dążą członkowie świata IT security, jest zapewnienie wystarczającej liczby specjalistów na różnym poziomie. Za powodzenie odpowiedzialni są oni sami oraz uczelnie techniczne - słaby punkt w całej strukturze.
Podstawowym problemem jest brak odpowiednich kierunków, a nawet przedmiotów związanych z bezpieczeństwem IT na studiach programistycznych. Obecnie cyberprzestępczość na uczelniach to jednostkowe przypadki, a powinny być tam potężne kierunki - podkreśla Mirosław Maj. Uczelnie nie prowadzą też kursów, brakuje odpowiedniej kadry, która mogłaby przekazywać wiedzę studentom.
Według Wojciecha Dworakowskiego to właśnie eksperci powinni o to zadbać:
- Środowisko IT security w Polsce powinno wychodzić do uczelni z zapotrzebowaniem. Próbować współpracować dostarczając wykładów, materiałów lub np. organizując zajęcia dodatkowe.
Dla Borysa Łąckiego źródłem sukcesu powinni być sami młodzi pasjonaci i ich zaangażowanie:
- Jednym ze sposobów na poradzenie sobie z tą kwestią w nadchodzącej przyszłości może być zachęcanie młodych ludzi do inwestowania swojego czasu i przybliżanie im tej niezwykle interesującej tematyki.
Specjalista IT security potrzebny od zaraz
Doraźnym rozwiązaniem jest zapewnienie już działającym w Polsce profesjonalistom odpowiednich warunków i zatrzymanie ich w kraju. Nie chodzi tylko o pieniądze - dla niektórych jest to znaczący czynnik, ale bardzo dużo specjalistów jest w stanie zrezygnować z wyższych zarobków na rzecz kreatywnej pracy przynoszącej satysfakcję. Wielu z nich jest w stanie poświęcić wyższe zarobki na rzecz fajnych wyzwań, pracy w świetnych zespołach, ciekawych zadań i prowadzenia researchu zamiast odtwórczej pracy - twierdzi Maj.
Innym sprawdzonym sposobem na uzupełnienie braków jest konwersja pracowników z innych dziedzin IT - dodaje Dworakowski. Wszystko to jednak wymaga inwestycji pracodawcy w pracownika. Czasy łatwego pozyskiwania specjalistów gotowych do wykonywania zadań chyba skończyły się - podsumowuje.
Przyszłość cybersecurity w Polsce
Eksperci wróżą tej dziedzinie świetlaną przyszłość. Jeśli uda się zrealizować wszystkie te założenia i wspierać działające już inicjatywy, już za kilka lat powinniśmy spodziewać się rozbudowanej infrastruktury i kompletnej bazy osób zajmujących się IT security.