26 procent. Det är den alarmerande siffran över hur kompetensgapet inom cybersäkerhet växte under 2022. Det innebär att det hade behövts 3,4 miljoner fler cybersäkerhetsproffs i världen för att säkra digitala tillgångar.

Detta enligt en stor global undersökning, Cybersecurity Workforce Study, som gjorts bland 11 779 cybersäkerhetsansvariga runt om i världen.

I undersökningen konstateras visserligen att den samlade personalstyrkan har vuxit (11 procent fler arbetar med cybersäkerhet nu jämfört med 2021) – men behovet har vuxit ännu snabbare som en följd av att digitaliseringen går så fort.

I en intervju med säkerhetssajten Infosecurity säger Clar Rosso vd på ISC, som genomfört undersökningen, att siffrorna är en stor anledning till oro, men att de också visar på vilket allvar organisationer nu tar cybersäkerheten.

Det oroväckande är att mer än två tredjedelar (70 procent) av de tillfrågade uppger att deras organisation inte har tillräckligt med anställda inom cybersäkerhet och mer än hälften menar att det här underskottet innebär att verksamheten utsätts för ”måttlig” eller ”extrem” risk för cyberangrepp.

CIO Sweden har talat med säkerhetsansvariga i svenska stora organisationer för att få en bild av hur de ser på kompetensläget och hur de arbetar för att hitta cybersäkerhetspersonal.

”En utmaning”

Erik Blomberg, koncernsäkerhetschef på Handelsbanken, säger att kompetensfrågan inom cybersäkerhetsområdet har lyfts i säkerhetskretsar under flera år.

– Digitaliseringen i samhället har rent allmänt gått snabbare än säkerhetsutvecklingen. Bristen på kompetens inom området i relation till vad som förväntas är en utmaning, det är tydligt, säger han.

Innebär kompetensbristen då risker för samhället i stort? Erik Blomberg säger att finanssektorn länge haft ett stort fokus på säkerhet, men att det finns andra sektorer där digitaliseringen gått väldigt fort de senaste åren och som har utmaningar just nu.

– De attacker som varit de senaste åren har gått väldigt brett och de kriminella går efter de som har svagast skydd. Därtill har de geopolitiska spänningarna tillkommit med aktörer som testar samhällskritisk verksamhet.

– Om man verkar i en sektor som inte upplevt den hotbilden mot den digitala leveransen som finns nu, så kan det nog finnas utmaningar.

handelsbanken
Erik Blomberg, koncernsäkerhetschef på Handelsbanken.

Erik Blomberg säger att kompetensbristen inom cybersäkerhet behöver mötas genom ett samspel mellan lärosäten och arbetsmarknaden. Utbildningsinstitutioner måste fortsätta och helst accelerera sina erbjudanden av kvalitativa kurser och program, och på så sätt locka till sig motiverade studenter.

– Sedan måste vi på arbetsmarknaden ta till vara på talangerna som kommer fram och ge dem långsiktiga utvecklingsmöjligheter.

Ökat intresse

Handelsbanken har flera engagemang för detta: interna talangprogram, tech-nätverk och samarbete med andra storbanker. Men de arbetar också för att rekrytera internt från andra delar av organisationen.

– Vi vill fånga upp de som har ett intresse för information och teknik, och som vill specialisera sig på säkerhet.

– Det är ett spännande område, och har man ett intresse och vill fördjupa sig finns det stora möjligheter att komma in i väldigt spännande roller.

Erik Blomberg säger också att det allmänna intresset för cybersäkerhet har ökat under de senaste åren, något som leder till att fler söker sig till att arbeta inom området. Det började med de allvarliga ransomware-attacker som drabbade stora och välkända företag för ett par år sedan. Då kom frågan upp i det allmänna medvetandet.

– Det är A och O för alla företag och myndigheter att synliggöra hur viktig den här kompetensen är, säger. Cybersäkerhet är en nyckelkompetens, inte bara för en bank utan för alla organisationer, särskilt de som arbetar med samhällskritiska tjänster.

Radikal ökning

Även i it-branschen är kompetensgapet ett prioriterat område. Oskar Ehrnström, försäljningschef för säkerhet på Tietoevry, säger att det under en längre period varit ett underskott av cybersäkerhetskompetens.

– De senaste åren har vi sedan sett en snabb och radikal ökning av resursbehov, där omvärldsfaktorer spelat in. Lägg därtill att Sverige mognat lite senare än många andra länder när det gäller säkerheten, så har det blivit en perfekt storm.

– Det blir en exceptionell situation när det är stökigt i omvärlden samtidigt som vi har en säkerhetsskuld som vi behöver ta igen.

Flera andra faktorer spelar in, fortsätter Oskar Ehrnström. Till exempel har säkerhetsfrågan hamnat högre upp i företagshierarkierna och får större utrymme i många organisationer. Det innebär också att efterfrågan på kompetens ökar.

Tieto
Oskar Ehrnström försäljningschef säkerhet på Tietoevry.

Samtidigt tillägger Oskar Ehrnström att det allt större intresset för säkerhet har inneburit att fler vill arbeta inom området.

– Det kan jag se i vår egen organisation. Det är många som har varit i kontakt med säkerhet eller arbetat en del med det inom till exempel utveckling, men som nu vill specialisera sig fullt ut på det. Det försöker vi uppmuntra och inkluderar dem, så att de kan ta rygg på någon som är mer senior.

– Men även om tillgången har blivit lite bättre, så växer efterfrågan ännu mer.

Vad är det då för kompetenser inom säkerhetsgebitet som är särskilt eftertraktade just nu?

– Det är väldigt brett, alltifrån tekniska specialister till de som är experter på hot och på att analysera attacker. Vi kan se en viss förskjutning mot att fler och fler kunder blir mer proaktiva i stället för händelsestyrda vilket gör att sårbarhetshantering är särskilt eftertraktat. Det är många som vill känna att de har en bra förmåga och som vill kunna testa den genom till exempel penetrationstester.

Tänka i nya banor

För att överbrygga kompetensgapet tror Oskar Ehrnström att organisationer måste tänka i nya banor, ställa sig frågan om man gör saker på rätt sätt eller om man behöver förändra sig.

– Om man tar ransomware som exempel så är det något de allra flesta är bekanta med nu och som många känner stress inför. Men i stället för att bara lägga mer folk på det här problemet och bygga hårdare kontrollsystem och starkare skydd, så kanske man behöver ställa sig frågan vad ett angrepp skulle innebära.

– Ett angrepp innebär att information blir otillgänglig. Då kanske man måste fundera över om man kan vara tillgänglig ändå även om man drabbas, till exempel genom att flytta upp verksamheten i molnet, så att man får en redundans och blir mindre sårbar.

På samma sätt kan organisationer arbeta mer med automatisering och AI för att minska kompetensbehovet, säger han.

För att återgå till undersökningen så innehåller den också resultat som andas optimism. Uppmuntrande nog förväntar sig till exempel 72 procent av de tillfrågade att deras cybersäkerhetspersonal kommer att öka något eller betydligt under de kommande 12 månaderna - vilket är betydligt högre än 2020 och 2021.

Detta kommer också efter att den samlade personalstyrkan faktiskt ökade med 11 procent.

– Att arbetskraften ökade med 11 procent, vilket innebär 464 000 anställda, är en anledning att fira. Att addera nästan en halv miljon människor till den aktiva arbetskraften är en betydande investering i cybersäkerhet och försvar, säger Clar Rosso i intervjun med Infosecurity.