美国数百万网络安全职位求才孔急，但有钱也找不到人

hawk

cnn







网络安全人才不足，要补足需求恐需很长时间。（路透）


https://www.cnn.com/2021/05/28/tech/cybersecurity-labor-shortage/index.html

过去这一年发生一系列重大数字安全攻击，为美国企业敲响了警钟，提醒它们投资网络安全的必要性。

微软5月28日再次提醒人们注意网络攻击的风险，表示在2020年主导Solar Winds攻击的黑客再度对全球150多个政府机构、智库和其他组织发起新一波攻击。

但最近最引人注目的例子可能是殖民地油管(Colonial Pipeline)勒索软件攻击，该事件迫使该公司暂时关闭油管，导致多州汽油短缺、油价在几天内飙升。这场人为灾害让Colonial损失至少440万元，这是其CEO承认向黑客支付的赎金。

在攻击发生前几周，该公司就已发布一个网络安全经理的职位征才启事。

AttackIQ网络安全和政策高级主管、欧巴马政府国防部网络策略长赖伯(Jonathan Reiber)表示：「就我所知，这是第一起对美国民众造成可计量的经济冲击的网络安全事件。」政府的国防部长。

他说，「它应该是件会触发人们感受的事件。」

多位专家表示，经由此类安全漏洞所得出的结论是，企业该开始投资创建强大的控制力，尤其应在其团队中增加网络安全专业人员。

唯一的问题是：网络安全这一行长期存在大规模的劳力短缺。

GuidePoint Security负责人欧姆(Bryan Orme)说，「这是一场抢人大战。」「供应太少、需求太高。」

职位空缺上百万

专家们至少10年来一直在追踪网络安全职位短缺情况。而在最近的攻击事件后企业大肆征才，可能会加剧这项问题。

随着科技进步和恶意者更加精进，这种风险只会越来越大。

根据提供网络安全培训和认证计划的国际非营利组织(ISC)2于2020年的一项调查，美国大约有87.9万名现职网络安全专业人员，但另外还有 35.9万个工作缺人。

该组织表示，若以全球视野来看，这项差距甚至更大，空缺职位接近312万个。(ISC)2 CEO罗索(Clar Rosso) 表示，若再考量有些公司在新冠疫情期间延后招聘，她认为需求事实上可能更高。

对相关职位的需求，从监控网络流量以辨别系统中是否有不良行为者的入门级安全分析师，到能够向CEO和董事会报告网络攻击的潜在财务和声誉风险的运行级领导者。

美国劳工统计局估计，「资讯安全分析师」将成为未来10年成长速度第10快的职业，其就业成长率为31%；而整体职业的平均成长率为4%。

如果私营企业对网络安全专业人员的需求急剧增加，部分专家表示，水准以上的相关工作者可能会向钱看而离开政府。这对于管理当地关键基础建设但预算有限的小型地方政府机构来说，这种风险尤其严重。

Critical Insight资讯安全长汉密尔顿(Mike Hamilton)说，「想想你所在的地方政府日常工作重要性：水质净化、废物处理、交通管理、执法通信、公共安全、应急管理，」「但亚马逊却靠雄厚的财力吸引网安专家来保护它的零售业务。」

汉密尔顿曾于2006年至2013年担任华盛顿州西雅图市的资讯安全局长，他补充说，地方政府「在竞争如此激烈的环境下无法吸引和留住人才，这就是为什么它们必须更加努力大举征才。」




「难见短期解决方案」

各种教育、培训和技能提升方案已经在努力解决人才短缺问题。

GuidePoint协助培训退伍军人从事网络安全业。汉密尔顿则经营着一个名为「公共基础建设安全网络教育系统」的非营利组织，借由该组织让5所大学学生依据地方政府网站上的即时数据进行安全监控来获得实习经验，同时也为无力负担网安支出的小型城市和郡县提供关键服务。

专家表示，提高人才多元化也有助将新血带入该行业。罗索说，只有25%的网络安全专业人员是女性，因此(ISC)2今年启动了多元化、公平化和包容性计划，以招募和留下更多女性以从事该行业。

汉密尔顿说：「我们需要了解，有能力完成这项工作的人其实非常多元化。」他指的是能够监控网络流量以寻找可能出现恶意行为者侵入系统的安全分析师，「就美国而言，我们并未善加利用手上拥有的资源。」

与此同时，随着这一行努力填补职位，对于服务和软件提供商企业而言可能是一个巨大的商机：它们可以协助公司在不必雇用自有团队情况下强化其企业内部网络安全。

(ISC)2的罗索表示，即使以现有培训计划推估，未来几年全球网络安全人才缺口预计每年仍会增加20%至30%。专家表示，公共部门和私营部门都必须扩大投资以增加该行业的就业人数。

拜登总统的2兆元就业计划可能会有所帮助。基础建设方案中有200亿元用于州、地方和部落政府，以更新和改善其能源系统的网络安全控管。

但即使如此，专家们表示还有更多任务作要做，建议对教育系统由小学到高等教育进行广泛的重新思考，以纳入更多的网络安全课程。

GuidePoint的欧姆说，「遗憾的是，这个问题短期难解。」「我们需要长线规画，像许多竞争对手那样去思考：如何有系统地培养下一代和下下一代创造一个合格网安人才供应链，以在未来50到100年内源源不绝进入职场？」