Egy másik érdekes – a hazai médiában csak a szakmai oldalakon – megjelent hír volt, hogy a német kormányzat jóváhagyta különböző IT megfigyelő szoftverek alkalmazását a hatóságok számára[1]. A hatóságok – a telefonos lehallgatásokhoz hasonlóan – bírói engedély birtokában használhatnak speciális programokat. A nyomozás során úgynevezett trójai programmal fertőzhetik meg a megfigyelt állampolgárok számítógépeit és ennek segítségével hozzáférhetnek a célpontok adataihoz és internetes tevékenységéhez.
IT biztonsági lapszemle rovatunkban egy további érdekes hírt kell még megemlítenünk: egy amerikai jelentés szerint kibertámadás okozta tavaly decemberben Ukrajnában azt az áramkimaradást, amely mintegy 1 millió embert érintett[2]. Ez egyike azon kevés nyilvánosságra került eseteknek, amikor támadók informatikai módszerekkel, eredményesen hajtottak végre támadást kritikus infrastruktúra elemek ellen, megbénítva annak működését.
Amint látjuk, „a nemzetközi helyzet fokozódik”! Fenti példákból látszik, hogy a kiberbiztonság kihívásai nem veszítenek a fontosságukból, hanem napról napra egyre komolyabban kell(ene) foglalkozni velük. E kis színes felvezető után elemezzük azt, hogy milyen feladatokat ró ez hazánkra.
Előző cikkem[3] javaslatainak talán a legfontosabb közös vonása, hogy szinte valamennyi meghatározott feladat végrehajtása igényli, hogy megfelelő számú, jól képzett IT biztonsági szakember álljon rendelkezésre. A hazai helyzet ebben a kérdésben sajnos aggasztó, amelynek több oka van.
Becslésem szerint a hazai szakértői igény körülbelül 4000 fő lehet. Az IT biztonsági területen manapság teljesen különböző tudás-területek vannak. Egész más típusú tudás szükséges a szervezeti biztonsági szabályozás kialakításához, mint a hálózati határvédelem megtervezéséhez. Ugyanígy különböző kompetenciák szükségesek egy etikus hacking vizsgálat végrehajtásához vagy akár egy informatikai incidens kinyomozásához. Ezek mellett még számos további IT biztonsági részterület van. Ennek a szakértői bázisnak a felsorolt területek mindegyikét le kellene fedni. Természeten nem 4000 professzionális „bitvadász-hacker”-re van szükség. Ez a szám tartalmazza azokat a kollégákat is, akik egy kisebb állami szervezet IT biztonsági felelősi tisztjét el tudják látni.
Becslésünket a következő feltételezésekből vezetjük le. Napjainkban már szinte minden szervezetnél, cégnél kellene lennie legalább egy olyan munkatársnak, aki legalább alapszinten ért a biztonsági kérdésekhez. Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013 évi L törvény hatálya alá körülbelül 4 ezer intézmény tartozik. Mivel a törvény által szervezetenként ki kell nevezni egy elektronikus információs rendszer biztonságáért felelős (IBF) személyt, így már ez ad egy alsó becslést. Kisebb szervezetek esetében lehetséges az, hogy egy személy akár több szervezet IBF feladatait is ellássa, nagyobb szervezetek esetén azonban egy szakember biztosan nem képes felügyelni akár 10-20 informatikai rendszert, amelyek között akár több magas biztonsági szintű is lehet. Az ipari szereplőknél, a pénzügyi vagy az energetikai szektorban egy nagyobb szervezetnek jellemzően több fős biztonsági csoportja van. Igaz, hogy IT biztonsági területre specializált cégek képesek ellátni számos szervezet igényeit egyszerre, de ez a fent meghatározott ~4000-es értéket érdemben nem csökkenti. Fentiekből látható, hogy becslésünk egy alsó közelítés, amely talán az állami szféra igényét képes lenne lefedni, de a teljes kritikus infrastruktúra és további széleskörű hazai szükségletet vélhetően nem.
Ezzel szemben hogy állunk szakemberekkel? Hazánkban elsősorban 4 nemzetközi szakmai szervezet IT biztonsági minősítéseit lehet megszerezni. Ezek közül talán a legismertebbek a „minősített informatikai biztonsági auditor” (CISA) és a „minősített etikus hacker” (CEH) képzettségek. Ismereteink szerint e két minősítéssel összesen mintegy 1000 ember rendelkezhet. Az összes többi releváns minősítés birtokosai vélhetően együtt sincsenek ennyien. Csökkenti a teljes összeg számát, hogy számos szakértőnek általában több ilyen minősítése van. Ezen kívül természetesen vannak olyan szakértők, akiknek nincsen végzettsége, de ők mindössze legfeljebb néhány százan lehetnek. Ezek alapján ~2000-2500 szakértő lehet hazánkban. Ez azt jelenti, hogy akár 2000 IT biztonsági szakember is hiányozhat a hazai szükségletből.
A szakemberek felkészültsége szempontjából meg kell különböztetni a menedzser szintű szakmai képzettségeket (pl. CISA, CISM, CRISC, NKE-n történő képesítések), valamint a technológiai szintű ismereteket (pl. CISSP, CEH, BMGE-n, ELTE-n és egyéb egyetemeken, továbbá a szakmai szervezetek kertében történő szakma képzéseket). Komolyabb IT biztonsági tudás megszerzése nem egyszerű és nem olcsó dolog. A vizsgákkal nem rendelkező, de magasan jegyzett szakértők sok éven keresztül tanulnak, gyűjtik a tudást adott biztonsági szakterületeken. Többnyire tehetséges fejlesztők és üzemeltetők – az adott területen eltöltött évek után – specializálódnak biztonságra. Közülük sokan olyan cégeknél dolgoznak, akik számára nem relevánsak az oklevelek, végzettségek, hanem elsősorban a tudást nézik. A minősített szakértők útja kicsit más. A nemzetközi vizsgák angolul zajlanak. Az elismertebb képzések esetén egy 5 napos felkészítő tanfolyam és a hozzá tartozó vizsga ára akár az egymillió forintot is elérheti. Ráadásul a minősítések idővel „elévülnek”. A képesítés fenntartásához a szakértőnek szakmai munkát kell végeznie, konferenciákon, előadásokon kell részt vennie. Ezek alapján éves szinten pontokat kell szereznie az adott nemzetközi szervezet szabályai szerint. Így a minősítés folyamatos fenntartása további, adott esetben jelentős anyagi és időbeli ráfordítást igényel. De itt is igaz, hogy egy ilyen minősítés megszerzéséhez általában több éves szakmai gyakorlat szükséges.
A képzett munkaerő hiánya a teljes IT ágazatra is igaz. Felmérések szerint[4] a hazai munkaerőpiacról körülbelül 20 ezer szakember is hiányozhat, európai szinten pedig még további több százezer informatikusra volna szükség. Pedig jelenleg hazánkban ágazati összehasonlításban ebben a szektorban a legmagasabbak az átlagfizetések[5][6]. Egy senior IT biztonsági szakértő bére a versenyszférában könnyen meghaladhatja egy államtitkár juttatását. A külföldön megkapható bérek pedig még magasabbak. Németországban egy hálózati biztonsággal foglalkozó szakember 5-6 év tapasztalattal évi 50.000 eurót, míg egy IT auditor 70.000 eurót is kereshet[7]. Írországban egy biztonsági szakértő 42-70 ezer eurót, egy IT biztonsági tervezéssel foglalkozó szakértő akár 50-100 ezer eurót vihet haza[8]. Hasonló a helyzet az USA-ban is, ahol biztonsági szakértőként átlagosan 90-100 ezer dollár éves fizetést lehet elérni[9]. Látható, hogy az IT szakértők ideális célpontjai az agyelszívásnak, hiszen általában rendelkeznek mind szakmai-, mind nyelvtudással. Manapság a közösségi médián keresztül az ilyen típusú szakemberek heti rendszerességgel kapnak külföldi megkereséseket. További újdonsága az elmúlt néhány évnek, hogy a hazai informatikusok körében terjed a külföldre végzett távmunka típusú munkavégzés is. Ezek a szakértők ugyan nem hagyják el az országot, de saját irodájukból külföldre dolgoznak. Így a dollárban vagy euróban kapott, a hazai átlagnál magasabb fizetésért még el sem kell költözniük, de a hazai ipar számára mégis elvesznek.
A fentiek fényében talán nem kell sokat bizonygatni azt, hogy a kormányzati informatika és különösen az IT biztonsági terület miért van aggasztó helyzetben. Sajnos létező tendencia az, hogy a kezdő informatikusok némi piacképes tudás elsajátítása után elhagyják az államigazgatást. A szervezeti átalakítások, illetve a közszolgáltatásban dolgozók leépítése során szintén nagy veszély, hogy azok az emberek hagyják el majd nagy számban az állami szférát, akik a piacon is gyorsan találnak munkalehetőséget. Ez az informatikusokra és a csekély számú államigazgatásban dolgozó informatikai biztonsági szakemberre kiemelten igaz. Ez azt jelenti, hogy a kormányzat elvesztheti az egyébként sem elégséges informatikai kompetenciáját.
Sok állami szervezetben jelenleg sem áll rendelkezésre megfelelő informatika szaktudás. Általában a szervezeteknek kis számú IT üzemeltetője van, esetleg további csekély számú fejlesztője. Rosszabb esetben ugyanazok a munkatársak üzemeltetnek is és belső fejlesztéseket is végeznek, ami kifejezetten káros, mivel nyilvánvalóan nem lehet a két feladatot egyszerre megfelelő szinten ellátni. Sokszor az informatikai fejlesztések, projektek sikertelenségének hátterében is a szervezetek informatikai és IT biztonsági kompetenciájának hiánya áll. Megfelelő tudás nélkül az intézmények még azt sem képesek jól megfogalmazni, hogy mit szeretnének. Mivel az informatikai polihisztorok kora lejárt, tévedés azt gondolni, hogy egy üzemeltetéssel foglalkozó, rendszergazdákból álló kis csoport képes specifikálni összetett informatika rendszereket. Egy komolyabb projektben az IT feladatok rendkívül szerteágazóak. Külön szakértelem a nagyvállalati alkalmazások fejlesztése, az infrastruktúra tervezése (pl. virtualizáció, hálózat, adatbázisok,…) és a biztonsági megoldások (pl. tűzfalak, log gyűjtés és elemzés,…). A valódi integrátor cégeknél külön szakértői vannak ezen tervezési területeknek is.
Sok projekt esetében az történik, hogy az informatikai szállító – aki gyakran a biztonsági szakterülethez és a közigazgatáshoz sem ért – próbálja kitalálni, hogy milyen legyen a rendszer. Ennek rendszerint a projekt sikertelensége az eredménye, és a megvalósult rendszerek nem megfelelőek. Ilyenkor mind a két fél veszít. A megrendelő nem elégedett és nem tud jól dolgozni az elkészült fejlesztéssel – rosszabb esetben a rendszer el sem készül és/vagy nem működik. A szállítónak pedig a csúszó fejlesztések, és a rossz felhasználói visszajelzések nem jelentenek jó referenciát. Ezekben az esetekben valójában már a projekt elején látható volt a hiba: a felek nem tudták meghatározni pontosan, hogy mi is volt a feladat.
IT biztonsági szempontból még rosszabb a helyzet. Ezen a területen az elmúlt évtizedben általában ötletszerűen, illetve divatirányzatoknak megfelelően zajlottak a fejlesztések. A szervezetek attól függően fejlesztettek, hogy éppen a naplógyűjtés, a tűzfalak vagy a vírusvédelem volt-e az aktuálisabb téma. Ez azért történt, mivel a szervezeteknél nem IT biztonsági szakemberek döntöttek, hanem többnyire üzemeltetési szakemberek, akik – mivel nem ez az alapvető feladatuk – nem mélyedtek el a biztonsági kérdésekben. Ellenben a projektekben jó esetben van valamilyen méretű IT biztonsági keret, amit el kell költeni. Így gyors tájékozódást követően megtörténtek a döntések valamilyen biztonsági szolgáltatások, illetve eszközök beszerzésére. Az IT biztonsági szakmában sztenderd eljárások – helyzetfelmérés, kockázat elemzés, sérülékenység vizsgálatok, biztonsági stratégia, cselekvési tervek stb. – többnyire nem is léteztek a szervezeteknél. Így történhetnek meg olyan esetek, hogy adott intézménynek van vírusvédelme, tűzfala és titkosított hálózati kapcsolata is, de fontos rendszereknél nincs üzembiztos mentése és folyamat sincs rá, és a rendszergazdák jelszavai pedig fontos szervereken is olyan bonyolultak, mint „admin” vagy „123456”. További jellemző probléma, hogy a szervezet csillagháborús IT biztonságon gondolkodik, miközben a saját rendszereikről műszaki rendszerleírások, fejlesztői dokumentációk és egyéb szabályozási dokumentumok gyakorlatilag nem léteznek. Gyakorlatilag számos intézménynél az alapok hiányoznak az IT biztonság fejlesztésének rendszerében.
A 2013 évi L. törvény egyik erénye véleményem szerint az, hogy a szervezeteknek fel kell mérniük a biztonsági helyzetüket, majd ennek eredményétől függően cselekvési tervet kell készíteniük. A terv célja annak meghatározása, hogy hogyan kell fejlődniük az elvárt magasabb szintre. A 41/2015 BM rendeletben meghatározott követelmény-szintek iránymutatásul szolgálnak az intézkedések priorizálására is. Így az alapkövetelmények végrehajtása jobban előtérbe kerül. Persze ennek az eljárásnak csak akkor van értelme, ha a helyzetfelmérés nem csak a segédtáblázatok gyors kitöltése, és a „megfelelt” mezők gyors kipipálása. Az elvárt folyamat végrehajtásához képzett szakemberek támogatására van szükség.
Az állami szféra szükségleteinek kielégítésére szolgáló IT biztonsági képzést elsősorban a Nemzeti Közszolgálati Egyetem végzi. Az egyetemen a 26/2013. (X. 21.) KIM rendelet szerint háromféle képzést nyújtanak, amik a következők :
- az elektronikus információs rendszerek védelméért felelős vezetők képzése
- az elektronikus információs rendszer biztonságáért felelős személyek képzése
- és az elektronikus információs rendszer biztonságával összefüggő feladatok ellátásában részt vevő személyek képzése
Az első két képzés felépítésében nagyon hasonlít a nemzetközi CISM (minősített informatikai biztonsági vezető) képesítés tematikájához, talán bővebb is annál. Ezzel együtt meg kell jegyeznünk, hogy ez a képzés mindössze jó alapot és rendszerezést ad ahhoz, hogy valaki professzionális biztonsági szakember legyen. A tematikában érintett mintegy 20(!) témakör általános tudást ad, de nem alkalmas arra, hogy a hallgatók egy-egy adott területen igazán alaposan elmélyedjenek. Ezek tehát pontosan arra alkalmasak, ami a képzések neveiből kiolvasható, azaz a törvény feladatait megértő, és más szakértők segítségével végrehajtani tudó biztonsági felelősök és vezetők képzésére. Tekintettel arra, hogy több ezer embert kellene kiképezni viszonylag rövid idő alatt, így az NKE számos egyetemmel együttműködik (vagy együtt fog működni?). Sajnos az NKE honlapján erről nincsenek elérhető információk[10].
E témával kapcsolatban két problémát látok. Egyrészt a legtöbb állami szervezet sajnos nem engedheti meg magának, hogy külön IT biztonsági feladatkört betöltő személyt alkalmazzon. Ezen képzésekre többnyire IT üzemeltetési vezetők, illetve IT üzemeltetők mennek el. Ez abból a szempontból jó, hogy ezek az emberek valóban hasznos tudással gazdagodnak, amelyet majd fel tudnak használni a munkájukban. Abból a szempontból viszont ez nem szerencsés, hogy valójában így számszerűen nem csökken a szakemberhiány, hiszen gyakorlatilag az üzemeltető kollégák – a meglévő munkájuk mellé – kapnak egy újabb feladatot. Ez amellett, hogy számos szabvány szerint összeférhetetlen, azt is eredményezi, hogy egy embernek akár 1,5-2 embernyi feladata van. Ezt nyilvánvalóan senki nem fogja tudni a megfelelő színvonalon ellátni.
A másik – talán még nagyobb probléma – a törvény egyik előírásából adódik. Nem kell ugyanis megszereznie ezt a képzettséget annak az személynek, aki „e szakterületen szerzett 5 év szakmai gyakorlattal” {2013. évi L. törvény 13.§ (10)bekezdés}rendelkezik. Tekintettel arra, hogy ez a megfogalmazás nem túl pontos, így sajnos sok helyen tapasztalható, hogy szervezetek vezetői az IT üzemeltető kollégáknak leigazolják a szükséges 5 éves gyakorlatot. Ez amellett, hogy szintén nem csökkenti a szakemberhiányt, azt eredményezi, hogy olyan üzemeltető kollégák is ellátják ezt a feladatot – persze újfent a saját munkájuk mellett – akiknek valójában nincs releváns IT biztonsági tapasztalata.
Mindkét esetben az érintett kollégák gyakran furcsa helyzetbe kerülhetnek. Például amikor az üzemeltetés elindít egy kérelmet, akkor az üzemeltető-biztonsági felelősnek a saját javaslatát kellene biztonsági szempontból, függetlenül megvizsgálnia és jóváhagynia. Ez nyilván nem szerencsés, ráadásul számos szabvány szerint összeférhetetlen is.
Az alapszintű képzés mellett úgy tűnik, hogy a tömeges professzionális IT biztonsági képzés megvalósítására a hazai felsőoktatásnak egyelőre nincs lehetősége. Piaci szereplők természetesen nyújtanak ilyen képzéseket, azonban ezek – elsősorban az áruk miatt – az állami szervezetek számára szinte elérhetetlenek.
A szakemberhiány sajnos a törvény végrehajtása során is erősen látszik. A szervezetek sok esetben felkészületlenek, de sajnos a Nemzeti Kibervédelmi Intézet (NKI) keretén belül működő Nemzeti Elektronikus Információbiztonsági Hatóság (NEIH) [12]-tól és a Kormányzati eseménykezelő központtól[13] [14] sem kapják meg a várt módszertani segítséget. Információink szerint a NEIH fennállása óta folyamatosan erőforrás problémákkal küszködik. Úgy tudjuk, hogy jelenleg az NKI nem képes elvégezni annyi sérülékenységvizsgálatot sem, mint a korábbi időszakban. A hatósági weboldalon új információ ritkán, módszertani anyagok, illetve a rendelet követelményeinek értelmezésére vonatkozó ajánlások pedig egyáltalán nem jelennek meg. Nem volna haszontalan szabályzat és eljárásrend sablonokat, iránymutatásokat is közzétenni. Sajnálatos módon a kormányzati CERT oldalán megjelenő biztonsági riasztások sem kereshető formában vannak fent, ami sokat levon e szolgáltatás értékéből. Nem beszélve arról, hogy ezt a szolgáltatást akár intézményre szabottan is lehetne működtetni.
A kormányzati CERT karrier oldalán jelenleg is 5 témakörben vannak nyitott állások[15]. Irigylésre méltó a NKI vezetőjének optimizmusa, hogy az Intézet a jelenlegi 30-35 főről 80 főre fog bővülni az év közepéig[16]. A jelölteknek egyébként nem csak a megfelelő magas szakmai tudással kell rendelkezniük, hanem egy személyi biztonsági átvilágításon is át kell esniük. Az itt megfelelteknek vállalniuk kell egy nemzetbiztonsági szolgálat kötöttségeit is, mivel az NKI a Nemzetbiztonsági Szakszolgálat keretein belül működik. Látható, hogy fenti feltételek összességére nem mindenki alkalmas. Ezt még összevetve a fent leírt fizetési adatokkal valószínűleg nincs könnyű helyzetben az Intézet.
Véleményem szerint az állami szféra IT és IT biztonsági erőforrás problémáinak kezelésére mindenképpen stratégiát kell(ene) kidolgozni. E munkába ajánlott volna bevonni olyan IT biztonsági szakmai szervezeteket, amelyek egyébként időnként hallatják is a hangjukat a témában (pl.: KIBEV, ISACA, Infotér Egyesület, stb.).
Jelenleg léteznek olyan szervezetek, amelyek képesek megtartani jól képzett IT szakembereket. Ezek elsősorban az állami tulajdonú IT feladatokat ellátó gazdasági társaságok. Ebből látható, hogy ez a modell talán működőképes is lehet. A gazdasági társaságoknak nagy előnye ráadásul, hogy kutatás-fejlesztési területekkel is tudnak foglalkozni, ami ebben az iparágban kiemelten fontos tevékenység, illetve az Európai Unió fejlesztési terveinek is célterülete. A biztonságos szolgáltatások léte vagy nem léte jelenleg a teljes gazdasági és államigazgatási terület fejlődését meghatározza. Az informatikai biztonsági képességek növelése ráadásul általában nem olyan költséges, mint az egyéb ipari és tudományos területek többségénél. Kis túlzással itt csak néhány számítógépre és nagy tudású szakértőkre van szükség, szemben az orvostudományok, a kémia, fizika, illetve további tudományok komoly eszköz igényével. Ez tipikusan olyan terület lehetne, amit a hazai lehetőségekkel is ki lehet aknázni.
Hogyan lehetne az állami szférában IT biztonsági kompetenciát növelni? A 2013. évi L. törvény 19.§-a szűk körű ágazati CERT-eket nevesít. Javaslatom szerint egy szélesebb körű ágazati CERT struktúra felállítása sok problémát meg tudna oldani. Ez a lehetőség egyébként a törvény korábbi verziójában benne volt, azonban a módosítás során sajnálatos módon kikerült belőle. Ez indokolt volna, mivel nem hihető, hogy a jelenlegi NKI képes lesz bármikor is ellátni a hozzá tartozó körülbelül 4000 intézmény minden igényét. A hatóságnak az összes intézmény(!) esetében ellenőrizni kell a törvényi megfelelőséget, sérülékenységvizsgálatokat kell végeznie és szükség esetén az incidenseket is kezelnie kell. Logikus volna a hatalmas feladatot úgy elosztani, hogy az első szinten a szervezetek munkáját ágazati CERT-ek segítenék. Természetesen ezek a szervezetek hierarchikus felépítésben a kormányzati CERT alatt lennének. Az ágazati CERT-ekben ki lehetne építeni olyan tudásközpontokat, amelyek az adott ágazat specifikumait is ismerik. Az alközpontokban dolgozó munkatársak elláthatnák a hozzájuk tartozó szervezetek biztonsági felelősi feladatait és ágazati szabályozást dolgozhatnának ki. Emellett egyéb felmerülő biztonsági feladatokat is el tudnának látni.
Ki kell emelni, hogy a jelenlegi szervezeti átalakításokkal az állami szférában nem lesz kevesebb nyilvántartás, adatbázis és elektronikus információs rendszer, akkor sem, ha kevesebb intézmény lesz. Sőt az elektronikus közszolgáltatások fejlesztése miatt ezek a közeljövőben még hangsúlyosabbak lesznek. Emiatt ezek védelme is egyre fontosabb és nehezebb feladat lesz!
ÖSSZEFOGLALÁS ÉS JAVASLATOK:
Milyen javaslatokat tudunk a fentiek alapján megfogalmazni? Véleményem szerint a következőket:
1. Az IT biztonsági szakember képzés jelentős bővítésével mindenképpen foglalkozni kell, ha hazánk meg akar felelni a kibervédelmi kihívásoknak. Erre elsősorban a felsőoktatásnak, benne a Nemzeti Közszolgálati Egyetemnek kell felkészülni. Az NKE-nek a felsőoktatás szereplőivel jelentősen növelnie kellene az alapszintű biztonsági képzések volumenét. Emellett az általános informatikai képzésekben is javasolt lenne IT biztonsági tárgyakat is oktatni. Bővíteni kellene az elérhető szakokat, szakirányokat IT biztonsági típusú képzésekkel, a későbbi specializációt is lehetővé téve. Tekintettel arra, hogy ehhez szükséges volna a felsőoktatásban meglévő oktatói létszám és kompetencia jelentős növelése is. Ebben a felsőoktatás és az IT szakmai szervezetek szorosabb együttműködésére is szükség volna. Ez egyébként a szakmai szervezetek és piaci szereplők számára is kívánatos lenne, hiszen napjainkra már a szakember utánpótlás is veszélyben van. Néhány éven belül már nem az lesz a kérdés, hogy mennyire fejlődhet az IT iparág, hanem az, hogy a szakértőhiány mennyire fogja vissza akár más területek fejlődését is.
2. Az állami szféra számára az IT és IT biztonsági szakember gárda megszerzése és megtartása fontos tényező lesz a közeljövőben. Erre mindenképpen stratégiát kell kidolgozni. Szükséges lenne a jelenlegi helyzet pontos felmérése, a hiányosságok feltárása. Ki kell dolgozni azokat a foglakoztatási módokat, amelyek biztosítják azt, hogy az IT biztonsági szakemberek tudása belső kompetenciaként legyen elérhető a közigazgatási intézmények számára. Vizsgálni kell azt is, hogy hogyan lehet megoldani az államigazgatásban foglalkoztatott szakemberek – speciális szakterületeken történő - professzionális szintű képzését.
3. Véleményem szerint logikus lépés lenne szélesebb körű ágazati CERT struktúra felállítása a hazai kibervédelmi képességek bővítése szempontjából. Az ágazati CERT központok, mind a dinamikus erőforrás-gazdálkodással, mind a szükséges magas szintű kompetenciák összegyűjtésével jelentősen segítenék a szervezetek biztonsági feladatainak ellátását. Ezzel olyan szervezeti struktúra jöhetne létre, amely hatékonyabb módon tudná ellátni a hazai kibervédelem feladatát. Ezek a szervezetek sokkal közelebb lehetnének az intézményekhez, speciális ágazati ismeretekkel rendelkezhetnének, és akár intézményre / rendszerre szabott szolgáltatásokat is tudnának nyújtani.
