Son Marks & Spencer, Co-op ve Harrods fidye yazılımı saldırılarına şüphelenilen dört gencin tutuklanmasının ardından, ortaya çıkan bozulmadan sorumlu olanları sansürlemek için acele etmek kolaydır.
Ama kınamamızda çok aceleci mi? Devam eden beceri sıkıntıları, çok sayıda güvenlik ihlali ve yaşlanan siber güvenlik işgücüne sahip bir çağda, gün kurtarmak için bilgisayar korsanlarını içeren genç yeteneklerin alternatif havuzlarına bakmalı mıyız?
Mike Gillespie, Bilgi ve Fiziksel Güvenlik Danışmanlığı Başkanı Advent IM. O belirttiği gibi: “Bu bir yaşlanan bir meslek. 56 yaşındayım ve buradayım. Tüm bunları başlatan ve hobi uygulayıcıları olarak bir meslek yaratan nesliz, ama hala en büyük parçayız.”
Başka bir zorluk, endüstrinin hala çeşitlilikten yoksun olması ve ağırlıklı olarak “beyaz ve erkek” kalmasıdır. Bu, çoğu işverenin “aynı köşe dükkanından ve hisse senedinin çok düştüğü” yetenekleri için alışveriş yaptığı anlamına geliyor.
Gillespie, şöyle diyor: “Örgütler sadece birbirlerini kaçakta tutmaya devam ediyorlar ve bu yüzden maaşlar yükselmeye devam ediyor. Ama kriz noktasına, önemli sayıda emekliliğe doğru ilerlediğimiz ve yeterince genç insan olmadığı bir devrilme noktasına gidiyoruz.”
Siber güvenlik yanlış anlaşılıyor
Buradaki problemin bir kısmı, siber güvenlik profesyonellerinin loş ışıklı odalardaki klavyelere dokunan Hoodies’teki “yalnız inekler” olmasının film güdümlü görüntüsüne atfedilebilir.
Ancak alternatif rol modellerinin eksikliği “birçok insanı erteliyor”, Yeminli Bilgi Güvenliği Enstitüsü’nün (CIISEC) genel müdürü Amanda Finch’e inanıyor. Ayrıca meslek içinde bulunan çeşitli rollerin algılanmasını daraltmaktadır.
Gillespie, “Karışıklıkların bir kısmının geldiği yer, siber şeyleri kapsayan gerçekten bilgi güvenliği olduğunda her şeyin artık ‘siber güvenlik’ olarak etiketlenmesi” diyor. “Bilgi güvenliği yönetişim, risk, uyum ve denetimdir, ancak insanlar genel endüstrinin sadece küçük bir parçası olmalarına rağmen, daha seksi göründükleri için penetrasyon testi ve saldırgan hack gibi yüksek teknoloji işlerine odaklanırlar.”
Finch kabul ediyor. “Bir endüstri olarak daha iyi bir iş yapıyor olsak da, mesleğin roller açısından ne kadar çeşitli olduğunu ve sadece saf siber becerilerin ötesinde uzmanlığa ne kadar güvendiğimizi açıklamak için yeterince yapmıyoruz” diyor. “İnsanlar iyi ödenen fikri sever ve mevcut iş var, ama yine de biraz karanlık bir sanat olarak görülür.”
Chris Wysopal, uygulama güvenlik şirketi Veracode ve eski bir L0PHT hacker’ın kurucu ortağıdır. Sorunun daha da temel olduğuna inanıyor.
“Zorluklardan biri, siber güvenlik yeteneğine sahip lise çocuklarının her zaman bir meslek olarak farkında olmamaları” diyor. “Farklı ağ ve AI araçları ile oynayan oyuncular veya insanlar olabilirler ve ilgilerini bir kariyere dönüştürebileceklerini bilmiyorlar, bu yüzden daha iyi endüstri tanıtımına ihtiyaç var.”
Alternatif yetenek havuzu potansiyeli
Girişin bir başka engeli de, üniversiteye gitmenin ötesinde mesleğe açık yolların eksikliğidir. Bu önemlidir, Wysopal’a inanıyor, çünkü “iyi uygulayıcılar olabilecek birçok yetenekli insan üniversitede dört yıl yapmak isteyen türden biri değil”.
Ancak görünüşe göre bazı işverenler en azından alternatif yetenek havuzlarına bir punt almaktan faydalanabileceklerini kabul ediyorlar.
Örneğin, siber eğitim ve sertifika organı ISC2 tarafından yapılan yeni bir çalışma 2025 Siber Güvenlik İşe Alım Trendleriişverenlerin, iş deneyimi olmayan mezunlar üzerinde daha önce BT deneyimi veya giriş seviyesi siber güvenlik sertifikaları varsa, giriş ve genç seviyeli işler için adayları düşüneceklerini belirtti.
Yararsız olsa da, işe alım yöneticilerinin önemli bir kısmı, sertifikalı giriş ve genç seviyeli iş arayanların daha deneyimli profesyoneller için tasarlanan nitelikleri tutmasını talep etti- kaçınılmaz olarak kapıda bir ayak almalarını zorlaştıran bir durum.
Finch’in dediği gibi: “İlk adım her zaman gerçekten zor çünkü organizasyonlar aşırı yüklenmiş ve meşgul ve deneyim istiyor. Ama giderek artan bir şekilde ham yeteneklere yatırım yapıyoruz ve organizasyonlar – IASME gibi [formerly known as the UK Cyber Security Forum] – İnsanlarla çalışmak [neurodiverse] spektrum. “
Bitini yapmak için, CIIS’in kendisi de siber güvenlik alanında giriş seviyesi genişletilmiş bir proje yeterliliği (EPQ) sunmaktadır. Bugüne kadar, EPQ esas olarak özel okullar tarafından ele alınmıştır, ancak Şehir içi okullarda Bilim, İnovasyon ve Teknoloji Departmanı (DSIT) finansmanını kaldırmadan önce bazı ilerlemeler kaydedilmiştir.
Sonuç olarak, CII’ler şu anda endüstriye finansal eksikliğin doldurulmasına yardımcı olacak yasal bir yol sağlamak için hayırsever bir kol kurma sürecindedir.
Genç yetenek tedarik etmek
Ancak geleneksel olmayan istihdam kaynakları hala kuraldan ziyade istisna olmaya devam etmektedir. ICS2’nin raporu, örneğin, işe alım ve personel şirketlerinin yanı sıra iş ilanlarının (sırasıyla% 57) hala en çok tercih edilen işe alım rotası olduğunu göstermektedir.
Listede dahili staj programları, kolejler ve üniversiteler (sırasıyla% 55) bulunmaktadır. İç siber güvenlik çıraklık programları sunmak popülerlik kazanıyor (%46).
Kazanın dibinde, diğer iç şirket departmanlarından (%22) insanları işe alıyor, askeri gazileri (%12) veya ordunun diğer üyelerini (%8) alıyor. Listeye bile girmeyen bir başka olasılık, şu anda Black Hat hackerları ve organize suç tarafından hedeflenen genç oyuncular.
Wysopal, “Çevrimiçi suç çeteleri yeteneklerini bir yerden de almak zorundalar, bu yüzden oyun forumlarında ve anlaşmazlık sunucularında işe alıyorlar” diyor. “Yetenekleri olan insanları arıyorlar ve birisinin ayak parmaklarını sistem veya sosyal mühendis düşmanlarına nasıl düşüreceklerini gördüklerinde, ilgi görüyorlar ve konuşmanın bir parçası oluyorlar.”
Crowdsourced Güvenlik Platformu’nun kurucusu ve genel müdürü Casey Ellis, Bugcrowd kabul ediyor.
“Bilgisayar korsanları, 1980’lerde istihdam edilen aynı işe alım yöntemlerini kullanarak, 12-18 yaşındakiler belirli hedefler ile aynı işe alım yöntemlerini kullanarak çok oyunculu oyun platformlarından 13 yaşından küçük siber suçlara alınıyor” diyor. “Fikir, manipüle edilmesi daha kolay oldukları için gençken onları almaktır, bu yüzden soru, endüstrinin nasıl arttığı ve gençleri suçtan uzaklaştırmak için nasıl karşı çıktığıdır?”
Ellis’in 2012’de Bugcrowd kurmasının nedenlerinden biri olduğunu söylüyor. Şirket, özellikle müşteri yazılımlarında gizli güvenlik açıkları bulmak için Millennials’ın ve Z Nesilinin eski üyelerinin (etik) hack becerilerini kullanmaya odaklanmaktadır. Şimdiye kadar programından 600.000 ve 700.000 arasında geçti.
Oyunlarında siyah şapkalar oynamak
Hem Ellis ve Wysopal üyeleri olan başka bir kuruluş olan hack oyunları, kendisini “küresel siber güvenlik görevine takmak” için “alışılmadık yeteneklerin (oyuncular, inşaatçılar, isyancılar ve derin düşünürler)” kilidini açmaya niyet olarak tanımlıyor.
Bunu, genç bilgisayar korsanları ve farklı geçmişlerden gelen diğer kişilere katılma konusunda anlaşmazlık temelli topluluklar sağlayarak yapar. Bu, onlara endüstri figürlerine, mentorlara ve açık rolleri listeleyen bir iş tahtasına erişim sağlar. Hacking AI işe alım platformu olan Haptai, kariyer yollarını güçlü yönlerine göre keşfetmelerini kolaylaştırmak için bir profil oluşturuyor.
Wysopal, “Siber güvenlik endüstrisi, takıldıkları yerlerde yetenekli gençleri işe almadığı için suç çetelerine kıyasla dezavantajlı” diyor. “Ama hackleme oyunları, kötü adamlar tarafından işe alınmadan önce gençlere ulaşarak bunu çözmeye yardımcı olabilecek şeylerden biri. Bundan sonra çok zor.”
Ancak mesele sadece gençleri siber suçtan yönlendirmekle değil, Ellis’e inanıyor. Aynı zamanda suç çetelerini daha iyi geri almak ve endüstriyi “gelecekteki kanıt” olmak için ağa daha geniş atmakla ilgilidir.
“Genç kuşakta çok fazla altın var” diyor. “Bu sadece onlara bir iş bulmakla ilgili değil. Şu anda oluşturduğumuz teknoloji ortamına özgü oldukları için stratejik girdilerini elde etmekle ilgili ve bu yüzden yaptığımız varsayımlara sahip değiliz – birbirimizi dinlememiz ve öğrenmemiz önemlidir.”
Ellis, bugünkü önemli bir zorluk, bir bilgisayar korsanının gerçekte ne olduğunun yaygın yanlış anlaşılmasıdır. “Siyah şapka ve etik hackerlar arasındaki fark, hırsızlar ve çilingirler arasındaki ile aynıdır” diye belirtiyor. “Aynı becerilere ve meraklara sahipler, ancak farklı ahlaki pusulalara sahipler.”
Wysopal, “hacker yüklü bir terim” olduğunu kabul ediyor. Bir yandan, 1992’de L0PHT’ye katıldığında, bir siber güvenlik mesleği diye bir şey olmadığı için üyelerinin hepsi hobi olduklarını söylüyor. Öte yandan, değişen hack aktivitesi formları vardır.
Wysopal, “Bazı insanlar cezai beyni ve para için içinde, ancak bir araç yazan veya birisini suçluluğun saçaklarında olan bir şifreyi teslim etmeye kandıranlar da var” diyor. “Yasayı kırmış olabilirler, ancak insanların tüm kariyerini zikretmemeye dikkat etmelisiniz, çünkü bunların çoğu insanlar çocukken olur.”
Hükümlü bir hacker ile ne yapmalı?
Sonuç olarak, bir mahkumiyetle bile, değiştiğini düşünürse birini işe almaya hazır olacağını söylüyor.
“Burada siyah beyaz yok,” diyor Wysopal. “Bir davranış örüntüsü varsa ve birisi sertleştirilmiş bir suçlu ise farklıdır, ancak küçük hırsızlık için bir mahkumiyet varsa, sadece bir kez ve 10 yıl önceydi, onları gerçekten bir yazılım mühendisi olarak almak istemiyor muyum?”
Bununla birlikte, kaçınılmaz olarak yapabilecekleri iş türleri üzerinde sınırlamalar olacağını söylüyor.
Wysopal, “Mahkumiyetle insanları işe almanın en büyük zorluğu, özellikle penetrasyon testi yapmak için onlarla etkileşime giriyorsanız, müşteriler için nasıl görünmesidir” diye ekliyor Wysopal. “Bu bir optik sorunu ve bir ağa hüküm giymiş bir hacker koymak ve onlara kırmızı bir saldırı yapmak için kimlik bilgileri vermek çok riskli hissediyor.”
Bu, tercihinin, açıklamaların gerekli olmayacağı araştırmacı veya ters mühendislik ekibinin üyesi gibi, müstehcen bir hacker çalışması olması olacağı anlamına gelir.
Gillespie durumun zor olduğunu kabul ediyor. “Birinin denenmesini ve test edilmesini isteseydim, eski bir hacker iyi bir fikir olabilir” diyor. “Ancak zorluk şu ki, özellikle yüksek güvenlikli hükümet ve savunma projeleriyle uğraşıyorsanız, temizlik gerektiriyor ve birisinin mahkumiyeti varsa, bu işi almanızı engelleyebilir.”
Nihayetinde Wysopal, siber güvenlik sektörünün daha fazla kendi kendine öğretilen yetenek almasının zamanının geldiğine inanıyor.
“Bir dereceye kadar endüstrinin, endüstrinin büyümeye başladığı ve mezunların işe almanın toplu yolu haline geldiği 2000’lere kadar farklı bir yer olarak köklerine geri dönmesi gerekiyor” diyor. “Gençler artık modem ve PC ile oynamıyorlar – anlaşmazlık gruplarında çevrimiçi oyunlar oynuyorlar, bu yüzden bulundukları yere gitmelisiniz.”