Den globale mangel på it-sikkerhedseksperter og de betydelige udfordringer med at rekruttere medarbejdere indenfor it-sikkerhed i danske virksomheder udgør et sikkerhedsproblem.
Situationen fører bl.a. til, at sikkerhedsalarmer ikke bliver undersøgt, og sikkerhedsløsninger ikke vedligeholdes.
Sådan lyder det fra Christian Heinel, der er Manager, Cyber Security, for den nordeuropæiske afdeling af sikkerhedsvirksomheden Cisco, forud for Version2's it-sikkerhedsmesse, Infosecurity, der afvikles i 1. og 2. maj i Øksnehallen, København.
Christian Heinel påpeger, at der på verdensplan mangler omkring 2 millioner it-sikkerhedseksperter i 2019, og at tallet forventes at stige til 3,5 i løbet af de næste to år frem mod 2021.
De mange ubesatte job – både i Danmark og på verdensplan – går ud over sikkerhedsniveauet i den enkelte virksomhed, advarer Christian Heinel.
»Manglen på ressourcer betyder, at der er mange it-sikkerhedsprocesser, der skal operationaliseres, men som ikke bliver det. Ofte er der sikkerhedshændelser, der ikke undersøges,« siger han og tilføjer:
»Mange virksomheder investerer i sikkerhedsløsninger, men de tilpasser dem ikke i takt med, at deres eksisterende it-netværk ændres. Samtidig ignorerer mange virksomheder den daglige vedligeholdelse og brug af systemerne. De kigger eksempelvis ikke i logs med hændelser, hvilket ender i en situation med såkaldt ‘check box security’, hvor det fungerer på papiret, men ikke i praksis.«
Ikke behov for flere trusler
Advarslen om sikkerhedsproblemer på grund af manglende it-eksperter kommer i kølvandet på en analyse fra Erhvervsstyrelsen, som tidligere i år konkluderede, at mangel på it-eksperter svækker danske virksomheders mulighed for produktudvikling og vækst.
Derudover viser tal fra brancheorganisationen for it-virksomheder, IT-Branchen, at lidt over hver tredje virksomhed efterspørger kompetencer indenfor it-sikkerhed og at omkring 60 procent af virksomhederne vil arbejde med it-sikkerhed i 2019.
Christian Heinel har dog også oplevet det modsatte, hvor virksomheder har fortalt, at man ikke har behov for at se flere trusler, fordi der ikke er tilstrækkeligt med ressourcer til at håndtere dem.
»Et eksempel på omfanget af problemerne var en nylig rapport, der viste, at 44 procent af alle hændelser ikke bliver undersøgt. Samtidig bliver næsten hver anden legitime it-sikkerhedshændelse simpelthen ikke løst,« siger han.
Manglen på it-folk i danske virksomheder kan ifølge Christian Heinel også betyde, at det går for langsomt med at rette op på sårbarheder i virksomheders it-systemer.
»Mens hackere allerede inden for 24-48 timer er i stand til at skrive ny kode til at udnytte sårbarheder, så tager det i gennemsnit virksomheder 4-8 uger at patche. Det er et åbent vindue, der bl.a. skyldes, at dem med ansvar for it-sikkerhed har alt for mange opgaver,« siger han og tilføjer, at det kan være særligt problematisk i eksempelvis den offentlige sektor.
»De har ofte en række ældre legacy-systemer med kritiske processer, de vælger ikke at opdatere, fordi det kræver særlige certificeringer og ligeledes kræver mange ressourcer at vedligeholde efterfølgende.«
Ingen enkel løsning
Der er ikke nogen enkel løsning på udfordringen med manglende it-sikkerhedseksperter, men der er behov for handling, hvis man skal det stærkt opadgående lønpres til livs, som ifølge Christian Heinel kun blive større i de kommende år.
Han påpeger, at lønpresset særligt vil kunne mærkes for de brancher, der ikke kan tilbyde samme lønvilkår som resten af markedet såsom det offentlige eller mindre virksomheder med begrænsede it-sikkerhedsbudgetter.
»Det ligger naturligvis ligefor at uddanne flere mennesker indenfor it-sikkerhed, men udover at det tager tid og koster penge, så skal vi motivere både unge og ældre, så de fatter interesse for området og søger uddannelserne og efteruddannelserne. Her har it-branchen også et ansvar,« siger han.