Chciałbym na samym początku zaznaczyć, że nie sugeruję, że należy traktować specjalistów od cyberbezpieczeństwa jako potencjalnych przestępców, których po „jasnej stronie mocy” trzyma tylko stabilność posady w legalnej firmie. Jest dokładnie odwrotnie – wielu „bezpieczników” realizuje swoje zadania z poczucia misji, zdecydowana większość jest po prostu uczciwymi ludźmi.
Tym bardziej warto mieć świadomość, przed kim specjaliści od cyberbezpieczeństwa bronią zasobów firmy, w której pracują.
Rynek pracy cyberprzestępców
Może to brzmieć jak historia ze średniej jakości filmów sensacyjnych To jednak nie fikcja, a rzeczywistość. Cyberprzestępczość jest na tyle zorganizowana i zglobalizowana, że rozwinął się wokół niej (prawie) normalnie działający rynek pracy.
Jego skalę opisuje raport firmy Kaspersky (tej od znanego programu antywirusowego) z 2023 roku. Autorzy przeanalizowali… ogłoszenia o poszukiwaniu pracowników i o poszukiwaniu pracy, zamieszczone na forach w dark webie (czyli tej mrocznej części internetu, do której zwykli użytkownicy nie powinni się zapuszczać). W latach 2020-2022 znaleźli ich około 200 tysięcy.
A w nich – cały przekrój stanowisk: deweloperzy, specjaliści ds. ataków, testerzy, analitycy, designerzy, administratorzy. Cyberprzestępczy pracodawcy selekcjonowali kandydatów na podstawie ich CV i portfolio, zlecali zadania rekrutacyjne i prowadzili rozmowy. Odnotowano także… okresy próbne.
Poszukujący pracy także mieli swoje oczekiwania – i to nie tylko te płacowe. Najczęstszym „benefitem”, którym grupy hakerskie zachęcają do współpracy była… praca zdalna (45% ogłoszeń). Kusiło także zatrudnienie na pełen etat (34%), elastyczny czas pracy (33%), stałe wynagrodzenie (10%), a nawet… płatne wakacje i zwolnienia chorobowe (10%)!
Ile zarabia haker?
Jak się zatem okazuje, członkowie cyberprzestępczego światka aż tak bardzo nie różnią się od uczciwie pracujących ludzi. Pieniądze to nie wszystko, liczy się także równowaga między życiem zawodowym i prywatnym czy komfort pracy.
Najłatwiej porównuje się jednak warunki pracy w zakresie wynagrodzenia. Łatwo ze sobą zestawić dwie liczy. A zatem, ile zarabia haker? Podobnie jak na normalnym rynku pracy, wszystko zależy od kompetencji. Jednak dane z raportu pokazują, że hakerzy-deweloperzy mogą liczyć nawet na kwoty rzędu 20 000 dolarów miesięcznie.
Jak to się ma do zarobków specjalistów od cyberbezpieczeństwa? Krzysztof Dyki, ekspert z firmy ComCERT z Grupy Asseco ocenia, że „jest to kwota, której specjaliście nie jest w stanie zagwarantować firma działająca legalnie”.
Potwierdzają to branżowe raporty z polskiego rynku pracy. Ile zarabia specjalista od cyberbezpieczeństwa? To oczywiście zależy i od firmy, i od zasobów, które ma chronić i od zakresu obowiązków.
Dane firmy Hays z Raportu Płacowego 2024 pokazują, że na stanowiskach typu „security consultant” czy „infrastructure/applications security specialist” miesięczne wynagrodzenie sięga 20 000 złotych, a na kierowniczych stanowiskach w tym sektorze – przekraczają 30 000 zł. W Polsce takie kwoty plasują pracownika w 1% najlepiej zarabiających.
W mniejszych firmach takie zarobki mogą przyprawiać o ból głowy. To jednak nadal mniej niż najlepiej wykwalifikowane osoby mogą dostać na czarnym rynku (i jeszcze do tego nie płacić podatków!). Czy rzeczywiście jest to koszt, który warto ponosić? I dlaczego za cyberbezpieczeństwo trzeba tyle płacić?
Jak cenne jest cyberbezpieczeństwo?
Pierwszym punktem odniesienia może być wartość tego, co jest chronione. Jeśli Twój biznes działa przede wszystkim w „realnym” świecie – masz na przykład firmę budowlaną, przychodnię weterynaryjną albo sklep spożywczy – prawdopodobnie cyberbezpieczeństwo nie kwestią o najwyższym priorytecie. Co nie znaczy, że nie jest ważne.
Nie ulega jednak wątpliwości, że są takie przedsiębiorstwa, gdzie utrata danych, wyciek listy klientów czy zablokowanie dostępu do serwera oznacza katastrofę. Sieć laboratoriów ALAB padła ofiarą ataku hakerów, przez co do internetu trafiły setki tysięcy badań medycznych z informacjami o pacjentach.
Jeśli strona www sklepu internetowego przestanie działać, to każdy dzień oznacza straty. A także odpływ klientów do konkurencji. Aplikacja przetwarzająca płatności, z której wyciekną dane o kartach użytkowników, może się po takim ataku nie pozbierać.
Dla każdego przedsiębiorstwa w Polsce – od jednoosobowej działalności gospodarczej po Orlen – cyberbezpieczeństwo jest czynnikiem ryzyka, który trzeba brać pod uwagę i którym trzeba zarządzić.
Freelancerowi wystarczy dbać o podstawowe zagadnienia: zmieniać hasła, nie klikać w linki, pamiętać o dwustopniowej weryfikacji przy logowaniu. O tym, jak we własnym zakresie dbać o bezpieczeństwo w sieci, przeczytasz w tym poradniku.
Wielka korporacja ma osobny departament czy dział, który zajmuje się tylko tym, by identyfikować zagrożenia, chronić zasoby firmy i zatrudniać najlepszych ludzi z rynku do realizowania tych zadań.
Co z firmami pomiędzy? Małego czy nawet średniego biznesu nie stać na to, by zatrudnić kilkuosobowy zespół specjalistów i płacić każdemu po kilkanaście tysięcy złotych. Co zatem z tym zrobić? Czy da się cyberbezpieczeństwo outsourcować? I ile to może kosztować?
Ile kosztuje cyberbezpieczeństwo w firmie?
Moje przypuszczenia potwierdził Krzysztof Dyki, prezes ComCERT.
– W sektorze MŚP rzadko spotykana jest sytuacja zatrudniania cyberspecjalisty na potrzeby własnego bezpieczeństwa, częściej są to po prostu informatycy (mniej niż połowa MŚP posiada dedykowany etat cyberspecjalisty) – napisał w odpowiedzi na moje pytania.
Od czego zależą koszty cyberochrony? Ekspert wymienia wiele czynników, wśród których najważniejsze są: rodzaj działalności i branża, wielkość i charakter zasobów teleinformatycznych oraz przetwarzanych danych, liczba pracowników czy poziom ryzyka.
Wydatki na cyberbezpieczeństwo to jednak nie tylko wynagrodzenia dla specjalistów od tej dziedziny. Równie istotne są zakupy i wdrożenia systemów bezpieczeństwa, audyty, usługi doradcze czy szkolenia dla pracowników. To właśnie oni są często niestety najsłabszym ogniwem w organizacji. Jeśli pracodawca oszczędza na regularnym podnoszeniu wiedzy, uświadamianiu o procedurach, niebezpieczeństwach i zasadach cyberhigieny, niech potem nie będzie zaskoczony, gdy okaże się, że czyjeś niezmieniane przez dwa lata hasło stanie się furtką dla hakerów.
– Z naszych obserwacji wynika, że mała firma (do 50 pracowników) dysponuje przeważnie rocznym budżetem na cyberbezpieczeństwo rzędu kilkudziesięciu tysięcy złotych. Natomiast średnia firma (do 250 pracowników) wydaje przeważnie kilkaset tysięcy złotych rocznie na cyberbezpieczeństwo. W tych kwotach nie mieszczą się koszty wynagrodzeń dla cyberspecjalistów – napisał Krzysztof Dyki.
I dodaj, że jednym ze sposobów na zabezpieczenie ryzyka związanego z cyberprzestępczością jest ubezpieczenie. Nie zapobiegnie ono co prawda włamaniom czy kradzieży danych, ale może skompensować ewentualne straty.
Chytry dwa razy traci
Wrócę jeszcze na chwilę do raportu firmy Kaspersky. Jego autorzy zwrócili uwagę na jeszcze jedno zjawisko. Wyraźne ożywienie hakerskiego rynku pracy pojawiło się po marcu 2020 r. Dlaczego? Ponieważ wybuch pandemii doprowadził do cięć w budżetach wielu firm, a informatycy, którzy bardzo często zatrudniani są nie na umowach o pracę, ale w relacji B2B – nagle stracili źródło dochodów.
Nie chciwość, czy chęć siania zniszczenia pchnęła wiele wykwalifikowanych pracowników do poszukiwania zarobku w dark webie, ale konieczność. Jaka z tego nauczka dla przedsiębiorców?
Wiadomo, że gdy gospodarka zwalnia, zamówień jest mniej, przychody spadają, a marże zaczynają się kurczyć, myśli zarządów biegną ku cięciu kosztów. Może wstrzymać inwestycje, może opóźnić aktualizację systemów, może zredukować zatrudnienie, a przynajmniej zawiesić podwyżki pensji…?
Czasami to konieczne, żeby przetrwać trudniejsze chwile. Ale na dłuższą metę i w szerszej perspektywie oszczędzanie na krytycznych dla firmy wydatkach i żałowanie pieniędzy na pracowników o najwyższych kwalifikacjach może zemścić się podwójnie.
Po pierwsze ryzykujesz, że stracisz budowane – często latami – kompetencje w Twojej firmie. Znający specyfikę działalności, ryzyka i potrzeby biznesu specjalista od cyberbezpieczeństwa jest bardzo wartościowym aktywem. Nie chodzi o to, ile zarabia haker. Chodzi o to, że jeśli dzisiaj wypuścisz z rąk cennego pracownika, znalezienie i wdrożenie kogoś innego na jego miejsce może być kosztowniejsze niż utrzymanie go przez chudsze lata.
Po drugie otwierasz lukę w bezpieczeństwie swojej firmy. To nie znaczy, że zwolniony (lub niezadowolony z braku podwyżki) „bezpiecznik” od razu sprzeda firmowe tajemnice i kody źródłowe na czarnym rynku. Ale jeśli zakres odpowiedzialności, który dotychczas pokrywał, zostanie nagle bez opieki, to jest to proszenie się o jakiś kryzys.
Źródło zdjęcia: Sigmund/Unsplash