ענף בקריסה? מחסור של 7,500 מגיני סייבר בישראל
גל מתקפות הסייבר ההרסניות אינו טוב לביטחון הלאומי של מדינות - אך עבור מספר גדל והולך של האקרים וחוקרי סייבר, הוא נהדר לביטחון התעסוקתי שלהם ● מה עושה המדינה לצמצום הפערים בין הרצוי והקיים בתחום - וכמה הם מרוויחים? ● תחקיר מיוחד
בתחום אבטחת המידע והגנת הסייבר בישראל, עובדים כ-10,000 איש, אולם בשוק המקומי חסרים אלפי עובדים – 2,500 מהם בארגונים ועוד אלפים למרכזי פיתוח – כך עולה מתחקיר אנשים ומחשבים.
הגידול בהיקף האיומים, לצד הגידול בפרסום הפריצות ובהתאמה – מודעות הנהלות ארגונים בנושא, העלו בשנתיים האחרונות את הצורך בעוד ועוד מקצועני אבטחה והגנת הסייבר. הנקודה האופטימית היא שהממשלה, באמצעות המטה הסייבר הלאומי והרשות הלאומית להגנת הסייבר – שניהם במשרד ראש הממשלה – פועלים בכיוון.
נושא המחסור בכוח אדם מקצועי בתחומי אבטחת המידע והגנת הסייבר היה אחד מהתחומים שנדונו בהרחבה בכנסי Black Hat ו-Def Con, שנערכו בשבוע שעבר בלאס וגאס. על פי הדוברים, "גל מתקפות הסייבר ההרסניות אינו טוב לביטחון הלאומי של מדינות – אך עבור מספר גדל והולך של האקרים וחוקרי סייבר, הוא נהדר לביטחון התעסוקתי שלהם".
אם בעבר, לפני שני עשורים או פחות, מקומות התעסוקה של מקצועני האבטחה היו מוגבלים – בעיקר חברות אבטחה, מעט מקומות עבודה בארגונים, וכן סוכנויות ממשלתיות – הרי היום היצע התעסוקה שלהם רחב בהרבה.
תעשיות שלמות, שבעבר היה להן קשר מועט ל-IT, זקוקות להגנה: תעשיית כלי הרכב, הרפואה, והגידול בעולם האינטרנט של הדברים, הן רק שלוש דוגמאות להתרחבות האמורה בדרישה לאנשי אבטחה. דוגמאות אחרות הן בנקים וחברות ביטוח המאחסנות את נתוניהן בענן.
כך, בחודש שעבר הודיע המרכז לבטיחות וחינוך באינטרנט האמריקני (The Center for Cyber Safety and Education) כי עד 2022 צפוי מחסור עולמי של 1.8 מיליון מקצועני אבטחה. המרכז אמר כי שליש ממנהלי הגיוס ומשאבי אנוש בארגונים מתכננים להגדיל את צוותי האבטחה שלהם, בלכל הפחות ב-15%.
חלוקה לתתי-מקצועות
מקצועות הסייבר נחלקים לכמה ענפים. האחד מגנים. ענף זה כולל הגנה ב-Web, הגנת רשתות ומערכי התקשורת, הגנת הסיסטם, הגנה בענן והגנת המובייל. השני הוא ארכיטקט הגנה. אלה הם מהנדסים האמונים על המחשבה מאחורי הפעילות בשטח, ועל שילוב של טכנולוגיות אבטחה.
השלישי הוא המתודולוג, האחראי על נהלי אבטחת מידע. הרביעי הוא (בדרך כלל) ההאקר לשעבר, שאמון על ביצוע מבדקי חדירה. החמישי הוא איש ה-forensic, הפלילי-משפטי, האחראי לאיתור המתקפות והנוזקות. והשישי הוא המנטר, הפועל ב-SOC, Security operations center, מרכז תפעול אבטחת המידע, ובוחן האם בוצעה חדירה לארגון.
השביעי הוא מומחה הגנת אפליקציות. לצד כל אלה, בנפרד, נמצא המקצוע השמיני, של חוקר סייבר. מדובר באקדמאים בעלי יכולות תכנות, העוסקים, לדוגמה בהנדסה לאחור של נוזקות או חקירת פריצות.
כמה כסף?
בדיקת אנשים ומחשבים את משכורותיהם של מקצועני אבטחת המידע והגנת הסייבר העלתה כי הסכומים משתנים בהתאם למגזרי התעשייה, וגודל הארגונים.
הממוצע (כל המספרים הם שכר ברוטו לחודש, י.ה.) לתפקיד מיישם עומד על 17 אלף שקלים; ארכיטקט אבטחה יקבל בממוצע 22 אלף שקלים. משכורתו של מתודולוג תהיה 22 אלף שקלים בחודש, ואילו מאבטח אפליקציות ישתכר 30-35 אלף שקלים. זו תהיה גם משכורתו של חוקר סייבר. משכורתו של מנהל אבטחת המידע בארגון תעמוד בממוצע על 30 אלף שקלים.
בישראל, מעריכים גורמים שונים בשוק בפני אנשים ומחשבים, חסרים כ-2,500 עד 3,000 מקצועני אבטחת מידע והגנה בסייבר. אלפים נוספים, יש האומדים את מספרם בכ-5,000 – חסרים בתחום המחקר. כמה גופים בינלאומיים, כך נודע לאנשים ומחשבים, שקלו הקמה של מרכזי מו"פ לסייבר בישראל, אולם נסוגו מהרעיון, או ניסו וכשלו – בשל מחסור בחוקרי אבטחה וסייבר.
על פי חברת ההשמה להיי-טק Jobinfo, במחצית הראשונה של 2017, חלה עלייה מרשימה בדרישה לעובדים בעל תחומי היי-טק, ובתוכו – למקצועות הסייבר.
לדברי שרית מלכה-ליברמן, דירקטורית השמות בחברה, "תחום הסייבר ממשיך לככב בדרישות לעובדים ובכלל זה הביקוש למפתחים והאקרים מנוסים".
"בנוסף לסטארט-אפים הנפתחים בתחום, אנו עדים לארגונים גדולים שמרחיבים את פעילותם, ופותחים חברות בנות לתחום הסייבר".
כך, מנתוני Jobinfo עולה כי שכרו של בודק חדירות בעל שלוש שנות ניסיון, יעמוד על 18-22 אלף שקלים, ובעל תפקיד ניהולי עם יותר מחמש שנות ניסיון יקבל 28-30 אלף שקלים. חוקר אבטחה בכיר בעל חמש ויותר שנות ניסיון ישתכר 30-32 אלף שקלים ובעל יותר משמונה שנות ניסיון ירוויח 35-40 אלף שקלים. מומחה לנתוני אבטחה בעל שש שנות ניסיון ישתכר בחודש 25-28 אלף שקלים.
מחסור במקצוענים – אך שיפור כללי ברמת האבטחה
לדברי אבי ויסמן, מנכ"ל שיא סקיוריטי, "המחסור הענק במקצועני אבטחה נובע משילוב נסיבות: הקמת מטה הסייבר, הקמת רשות הסייבר וה-CERT הלאומי, ש-'גזלו' מהשוק כ-300 עובדים. זאת, לצד התרחבות מואצת בעולם הגנת הסייבר, בעולם וגם בארץ".
מצד שני, ציין, "עובדים אלה, שגויסו לרשות ולמטה הסייבר, הצליחו להעלות את רמת ההגנה בישראל – שבעבר הייתה נמוכה וכעת היא לא רעה כלל". הוא ציין כי חברות הסטארט-אפ ומרכזי המו"פ של חברות ה-IT הבינלאומיות גוזלים אף הם את חוקרי הסייבר.
לדבריו, "נדרש להכשיר עוד אלפי אנשים, והרשות הלאומית להגנת הסייבר, יחד עם האגף להכשרה מקצועית במשרד העבודה והרווחה, מקימים מסלולי הכשרה לטובת הון אנושי מעולה ונסתר – החרדים. כך, מצבינו בתחום פחות גרוע משהיה יכול להיות, בשל מיזם הרשות, לטובת פיתוח המשאב האנושי של שני מגזרים בלתי צפויים – חרדים וילדים ובני נוער".
"ההוכחה להצלחת המיזם היא שהוא מועתק על ידי מדינות אחרות בעולם, הלומדות מישראל בתחום. כך, מטה הסייבר ורשות הסייבר מהווים אור לגויים בתחום ההכשרה".
דגש על החלק הפרקטי
רפי פרנקו, ראש אגף בכיר לאסדרה והכשרה, הרשות הלאומית להגנת הסייבר, אמר באחרונה בישיבת ועדת המדע והטכנולוגיה של הכנסת, שעסקה בהגנת הסייבר על משרדי הממשלה, כי רשות הסייבר תכשיר חרדים לעבודה במוקד התגובה הלאומי למתקפות סייבר, ה-CERT. זאת, כחלק מהמענה על המחסור בכוח אדם איכותי בתחום הגנת הסייבר.
"אנחנו עוסקים בהשבחת כוח האדם שעוסק בסייבר", אמר פרנקו. "בחנו את איכות השירות ואיכות כוח האדם בסייבר במדינת ישראל וגילינו פערים בין האוכלוסיות השונות. כדי להתגבר על כך פיתחנו תהליך הסמכה, וכבר במכרז ל-2018 נבקש הסמכה על רמת הידע של כל האנשים שנותנים שירות לממשלה. כך אנחנו מפקחים על האיכות וכפועל יוצא מזה מחזקים את החוסן".
לפני כמה שבועות פתחה הממשלה במסגרת זו שתי כיתות לחרדים – בבני ברק ובירושלים, שבכל אחת מהן לומדים כ-20 איש בשעות אחר הצהרים, במטרה שלא לפגוע בלימודי הדת שלהם. הרשות התחייבה שכאשר הם יסיימו את ההכשרה שלהם, הם יעבדו ברשות הסייבר – באמצעות קבלנים.
בראיון לאנשים ומחשבים אמר פרנקו כי "עשינו כמה מהלכים תשתיתיים להכשרת כוח אדם לתחום. אנו מתחילים בהכשרה לתפקיד מיישם סייבר, תפקיד הדומה למגן סייבר בצבא. אנו פועלים עם משרד החינוך כדי שבמגמות הסייבר בבתי הספר, ייעשו גם הסמכות מקצועיות".
לדבריו, "יחד עם משרד הכלכלה אנו פועלים לכך שהקורסים יוכרו כפיקדון לחיילים משוחררים. עם משרד הכלכלה אנו פועלים להסבה מקצועית לחסרי תעסוקה, מבוגרים ושאינם כאלה. אנו פועלים להכנסת חרדים למעגל התעסוקה בתחום. נכשיר מאות מגיני סייבר, ונשים דגש על החלק הפרקטי".
תכניסו טוב לראש: מכשירים עוד אנשים בכדי לשלם פחות, נקודה!
אם חסרות כ"כ הרבה מישרות אז למה כאשר מגיעים לחיפוש עבודה בתחום הסייבר, סף הדרישות בכל המקומות הוא למעלה משנתיים ניסיון, באיזה שהו מקום יצטרכו לעשות את הניסיון הזה, אני חושבת שזה שוק מדי סגור, שלא נותן דריסת רגל לאלו שאפילו קיבלו הסמכה ממערך הסייבר.... אני מקווה שישכילו בקרוב לקבל גם כאלו ללא ניסיון, כמו בהייטק, אולי לפחות יפתחו מישרות סטודנטים וככה יקבלו ניסיון. (זה גם יכול לעודד למידה של המקצוע, כאשר אנשים רואים שיש איך להיכנס לתחום, וכך יפתור את החוסר הגדול במהירות רבה יותר)
מאז סיום שנות ה-90 מכינות עצמן המדינות לאירוע בסגנון ״פארל הארבור אלקטרוני״, מתקפת סייבר בעוצמה כזו שתשתק את פעילותה של המדינה. וכעת, לראשונה בהיסטוריה, אנו צופים באירוע סייבר משתק. כך שהשקעה בכח אדם איכותי היא לא הוצא, היא חיסכון
לצערי למרות הוותק הניסיון העיניין והניסיון, אחרי גיל 40 אתה כבר לא קיים בשוק ההי-טק. שלחתי מאות קורות חיים, תחינות והסכמה לעבוד בשכר הממוצע במשק , שום דבר לא עזר, העולם שייך לצעירים, תעשו תואר ראשון ושני (חובה) האמת היא שלא תדעו לעשות כלום בתעשייה אבל יקבלו אתכם לכל מקום.
ל-"מישהו": לדעתך, האם זה יהיה מקובל בעיני הבוס שלך שתכבה את הטלפון של העבודה בין השעות 17 בערב ל-8 בבוקר? היות ואני בטוח לחלוטין שהוא לא יסכים - זה אומר שאתה בכוננות 24/7... ובשביל "בודק חדירות" שנמצא בכוננות 24/7 - מגיעה משכורת הרבה יותר גבוהה מ-35 ש"ח לשעה...
איתמר למה שבודק חדירות יהיה בכוננות 24/7? אולי בצבא
בושה וחרפה שמלמדים חרדים כמעט בחינם, נותנים להם עדיפות בעבודה ולכל מי ששירת בצבא, שילם ביטוח לאומי כל חיו מפוטר מעבודה בגיל 50 ללא כל סיכוי למצוא עבודה נורמלית. המעסיקים רוצים להעסיק חרדים ברבע מחיר, וכל אנשי המקצוע מצאו עצמם בחוץ. 3000 איש במחסור? לכו ספרו סיפורים לאחרים.
סתם שתדעו: "בודק חדירות" שנמצא בכוננות 24/7 (כי הרי לא יהססו לפני שיקפיצו אותו ב-3 בלילה, או בשבת, בשביל חשש לחדירה), ומרוויח 22,000 ש"ח בחודש, בעצם מרוויח כ-30-35 ש"ח בשעה... ...לא עדיף למלצר? (להרוויח 35-40 לשעה - ולראות את הילדים שלך בין משמרת למשמרת...) והנה - מצאתי לכם את הסיבה למחסור... עכשיו - למי להוציא חשבונית על ייעוץ? ...והאם אתם מעוניינים בשירות המשך: פתרון הבעיה? כי יש לי גם פתרון... פשוט - אתם צריכים להיות מוכנים לשלם... (וזו הבעיה שלכם מלכתחילה...)
אז למה נפלטתי מהשוק בגיל 50 לאחר 18 שנות ותק בתחום רשתות תקשורת ואבטחת מידע ועם הסמכות של סיסקו CCNP, והסמכות CISM ו- CISSP באבטחת מידע ותפקיד אחרון כמנהל אבטחת מידע ? כי המעסיקים רוצים צעירים רעבים ולא רוצים לשלם. למזלי יש לי תואר במתמטיקה והיום אני מורה למתמטיקה , תקשוב וסייבר בתיכון ומרויח כ 24K ולא חושב לרגע לחזור להייטק.