Rząd planuje znacząco zwiększyć wynagrodzenia dla ekspertów ds. cyberbezpieczeństwa pracujących w administracji publicznej. Ma to być metoda służąca zapobieganiu ich odchodzeniu do sektora prywatnego. Czy jednak motywacja finansowa okaże się wystarczająca, aby ich zatrzymać?
Eksperci ds. cyberbezpieczeństwa mają to szczęście, że dyktują warunki pracy. Wynika to z prostej prawidłowości. Tutaj popyt na nich znacznie przekracza podaż. Dzisiaj praktycznie każda firma, czy instytucja powinna mieć co najmniej jednego takiego specjalistę, jak nie więcej. Międzynarodowe Konsorcjum Bezpieczeństwa Informacyjnego szacuje, że brakuje około 4 milionów ekspertów w tym obszarze. Oczywiście, szacunki te mogą różnić się zależnie od organizacji i przyjętej metodologii, ale faktem jest, że wszyscy na całym świecie cierpią na ogromny niedobór ekspertów ds. cyberbezpieczeństwa. Nie inaczej jest w Polsce. Tutaj też bardzo trudno o znalezienie ludzi o odpowiednich kwalifikacjach. Z problemem tym muszą sobie radzić bogate firmy sektora prywatnego, ale także firmy państwowe muszą z nimi rywalizować. Co takiego można im zaoferować, aby zechcieli oni podjąć pracę w administracji państwowej?
Fundusz Cyberbezpieczeństwa – czyli zasypiemy różnice w wynagrodzeniach?
Jednym z największych problemów przy zatrudnieniu ekspertów ds. cyberbezpieczeństwa w administracji publicznej są wynagrodzenia. Oczywistym jest, że firmy komercyjne są w stanie zaoferować o wiele większe pieniądze niż administracja publiczna.
Wczoraj prezydent Andrzej Duda podpisał ustawę, na podstawie której 150 mln złotych ma trafić na wynagrodzenia dla ekspertów ds. cyberbezpieczeństwa w roku 2022. Na każdy następny rok do rozdysponowania jest po 100 mln złotych. Środki mają trafić z budżetu państwa, NASK-u oraz środków Funduszu Szerokopasmowego. Fundusz Cyberbezpieczeństwa ma być również finansowany z kar nałożonych na podmioty zgodnie z przepisami ustawy o Krajowym Systemie Cyberbezpieczeństwa. Będzie on miał formę państwowego funduszu celowego, którego dysponentem będzie minister ds. informatyzacji.
Kto i ile dostanie?
Według oceny skutków regulacji do projektu ustawy, świadczenie będzie obejmowało mniej więcej 1000 osób. Oczywiście nie każdy z nich dostanie maksymalne wynagrodzenie. Ekspertów podzielono na trzy grupy. Pierwsza z nich ma dostać od 6 do 30 tys. brutto. To głównie osoby zajmujące stanowiska techniczne. Wśród nich znaleźli się analitycy złośliwego oprogramowania, eksperci od informatyki śledczej, wyszukiwania podatności, obsługi incydentów, testów penetracyjnych, tworzenia i rozwijania narzędzi, analitycy zagrożeń, audytorzy bezpieczeństwa czy kierownicy SOCo-ów czy CSIRT-ów.
Druga grupa ma otrzymać dodatek w wysokości od 4 do 20 tys. brutto i obejmować osoby odpowiadające za analizy i rekomendacje, nadzór nad podmiotami krajowego systemu cyberbezpieczeństwa, cyberbezpieczeństwo w organizacji, współpracę krajową i zagraniczną w obszarze cyber oraz prowadzenie szkoleń z cyberbezpieczeństwa.
Trzecia grupa, która może liczyć na świadczenie w wysokości od 2 do 10 tys. brutto to otwarty katalog, który obejmuje ludzi związanych z zapewnieniem cyberbezpieczeństwa. Zgodnie z ustawą wysokość całkowitego wynagrodzenia nie może przekroczyć 42 670 brutto.
Wysokość świadczenia ma być również oparta o pewne kryteria związane z doświadczeniem. Pierwsze dwie grupy muszą mieć dwuletnie doświadczenie w realizacji zadań, a grupa trzecia trzyletnie. Niestety nie zawsze staż pracy odpowiada faktycznej wiedzy i kompetencjom.
Pierwsze wypłaty już w 2022 roku?
Pierwsze wypłaty, nazywane tzw. świadczeniem teleinformatycznym, rząd zacząłby realizować od marca 2022. Co warto podkreślić dodatek nie jest stały, tylko cykliczny i ma być przyznawany na dany rok kalendarzowy. W tym celu osoba kierująca daną instytucją musi złożyć odpowiedni wniosek. Niestety takie rozwiązanie powoduje, że dodatek raz może być, a za rok go nie będzie, skoro np. trzeba będzie łatać budżet. Zabranie pieniędzy ekspertom ds. cyberbezpieczeństwa wiąże się z niskim ryzykiem politycznym, więc niestety nie można takiej opcji wykluczyć. Z drugiej jednak strony, tradycyjne podniesienie pensji osobom odpowiedzialnym za cyberbezpieczeństwo w tak wielu instytucjach wydaje się bardzo trudnym wyzwaniem.
Czy dla ekspertów ds. cyberbezpieczeństwa wystarczy pieniędzy?
Odpowiednie wynagrodzenie jest oczywiście niezwykle ważne, ale równie istotne są odpowiednie warunki do pracy. Szczególnie w kontekście ludzi, którzy mogą w ofertach zatrudnienia przebierać. Pracodawca nie tylko musi zapewnić im godziwe wynagrodzenie, ale również odpowiedni komfort pracy oraz atrakcyjne wyzwania. Sztywna hierarchia i biurokracja – tak charakterystyczna dla administracji państwowej mogą takich specjalistów skutecznie odstraszyć.
Z pewnością takie konsekwencje może mieć również upolitycznienie pozycji, czy też wyciąganie konsekwencji za posiadanie własnych poglądów politycznych, które są np. nie po linii z partą rządzącą. Ostatnio miała miejsce bardzo głośna sprawa dotycząca Przemysława Jaroszewskiego długoletniego szefa CERT Polska zlokalizowanego w NASK. Dla przypomnienia warto podkreślić, że CERT Polska jest jednym z trzech głównych fundamentów krajowego systemu cyberbezpieczeństwa.
Według doniesień medialnych Jaroszewski miał zostać zwolniony za krytyczne uwagi wobec poczynań rządu, zamieszczone na prywatnym koncie na Facebooku. Zwolnienia miał dokonać bezpośrednio minister Janusz Cieszyński, a nie jak to powinno się odbyć drogą służbową dyrektor NASK. Za Jaroszewskim wstawił się jego zespół, który wystosował list poparcia dla swojego byłego szefa. Sytuacja ta bardzo negatywnie odbiła się na środowisku ekspertów cyberbezpieczeństwa w Polsce i może skutecznie odstraszać ekspertów od podjęcia pracy w administracji, nawet, jeżeli wynagrodzenie będzie satysfakcjonujące. Osoby takie nie mają przecież gwarancji, że jakiemuś politykowi nie spodobają się kolejne wpisy, lub inne niewiadome czynniki będą decydowały o zwolnieniu z pracy. Takie ryzyko nie występuje raczej w sektorze prywatnym, dlatego też sprawa Jaroszewskiego może mieć bardzo negatywne konsekwencje dla całego sektora IT w Polsce.
Fundusz Cyberbezpieczeństwa zabezpieczy nas przed kolejną Dworczyk-Gate?
Fundusz Cyberbezpieczenstwa i wiążący się z nimi wzrost wynagrodzeń stanowi odpowiedź państwa na tzw. Dworczyk-Gate, czyli wyciek maili ministra Dworczyka, za którym według raportu amerykańskiej firmy Madiant mają stać Białorusini. Jest oczywiste, że wzrost wynagrodzeń przełoży się na poprawę cyberbezpieczeństwa w Polsce, zdecydowanie jednak nie uchroni lekkomyślnych polityków, czy też urzędników lekceważących podstawowe zasady bezpieczeństwa przed atakami.
Ważne jest również to, aby cały czas zwiększać podaż ekspertów cyberbezpieczeństwa, a nie będzie to możliwe bez odpowiednich zmian w edukacji oraz dodatkowych inwestycji w nią. Należy zwiększać liczbę klas o profilu informatycznym oraz tworzyć na uczelniach kierunki przygotowujące studentów do pracy przy cyberbezpieczeństwie. Tu też potrzebna są konkretne inwestycje.
Wszystkie decyzje podnoszące poziom wynagrodzenia ekspertów ds. cyberbezpieczenstwa są oczywiście słuszne i prowadzą do poprawy bezpieczeństwa w środowisku wirtualnym. Należy im też jednak zapewnić komfort pracy z dala od politycznych nacisków. Trzeba też pamiętać, że jest to tylko jeden z elementów skutecznej ochrony. Równie ważna jest edukacja oraz świadomość zagrożeń zarówno wśród polityków jak i urzędników pracujących codziennie dla państwa.
czytaj także:
Czas cyberpandemii? Tysiące urzędów i firm na całym świecie ofiarą ataku na firmę… od bezpieczeństwa
Nawet najlepszy cyberspecjalista, za największe (puste notabene) pieniądze, nie poradzi sobie bez… prądu 😉 pozdrowienia dla partaczy-polityków 🙂
Chyba, że ma powerbank -)