Chartered Bilgi Güvenliği Enstitüsü (CIISec) son raporunda, maaşlardaki durgunluk ve kötü çalışma koşullarından bıkan siber profesyonellerin maaşlarını artırmak, masraflarını karşılamak ve kurumuş işleri değiştirmek için giderek daha fazla yeraltı siber suçlularına yöneldiği konusunda uyardı. Mesleğin durumu raporu.
Araştırma, güvenlik profesyonellerinin stres ve tükenmişlik öncesinde işlerine devam etmelerinin temel nedeninin artık uygun ücretlendirme eksikliği olduğunu vurguladı. İşverenlerin sorunları acilen çözmeleri gerektiği, aksi takdirde siber iş gücünün %10'a kadarını kaybetme riskiyle karşı karşıya kalacakları konusunda uyardı.
CIISec CEO'su Amanda Finch, “Gartner araştırması, güvenlik liderlerinin %25'inin işle ilgili stres nedeniyle 2025 yılına kadar güvenlik sektöründen ayrılacağını gösteriyor – ve bu sadece liderler için geçerli” diyor. “Maaşlar ve uzun çalışma saatleri buna katkıda bulunuyor ve etkisini görmeye başlıyoruz. Analizimiz yüksek vasıflı bireylerin siber suçlara yöneldiğini gösteriyor.
“Ve sektörden ayrılması beklenen insan sayısı göz önüne alındığında, bunların çoğu, halihazırda var olan beceri ve bilgileri karşılığında büyük ödüller vaat eden bir alanda iş arayacak kadar çaresiz kalacak. Bunu önlemek, yetenekleri çekmek ve elde tutmak için sektör olarak elimizden geleni yaptığımızdan emin olmak anlamına geliyor.”
CIISec, 2023'te altı aylık bir süre boyunca karanlık ağda gezinmesi için eski bir polis ve gizli uzmanı görevlendirdi. Birçoğu siber alanda uzun yıllara dayanan deneyime sahip olan yetenekli güvenlik ve BT çalışanlarının bu alanda reklam yaptığına dair bulduğu kanıtlar şok edici.
Araştırmacı, küresel BT şirketleri ve yazılım firmaları için çalıştığını iddia eden kişilerin, kötü amaçlı yazılım gibi siber suç ürünlerini test etmeyi teklif eden profesyonel penetrasyon test uzmanlarının, yapay zeka istem mühendislerinin ve web geliştiricilerinin gönderilerini buldu. Bazıları becerilerinin kanıtı olarak çalışmalarının portfolyolarını sundu. Kimisi “ikinci işe” ihtiyacı olduğunu söylerken, kimisi “Noel yaklaşıyor ve çocuklarımın yeni oyuncaklara ihtiyacı var” dedi.
Diğerleri daha çevreciydi ve iş, hatta eğitim arayan genç veya deneyimsiz BT çalışanları gibi görünüyordu. Biri, “programcı olarak bilgisayar korsanlığına nasıl başlayabileceklerini” veya web tasarımı için düşük maliyetli seçenekler sunabileceklerini sordu. Birçoğu, öğrencileri avlamak isteyen ve onları açık kaynak istihbaratı (OSINT) veya sosyal mühendislik gibi ihtiyaç duyulan alanlarda eğitmeyi teklif eden bilinen tehdit aktörlerinin ve siber suç çetelerinin reklamlarına yanıt veriyor gibi görünüyordu.
Ayrıca teknolojinin dışında veya yakınında bulunan alanlardan siber suçlara yönelmek isteyenler de vardı. Sayıları daha az olsa da bunlar arasında, sesli kimlik avı (vishing) kampanyalarında kullanılmak üzere becerilerinin reklamını yapan işsiz bir seslendirme sanatçısı, grafik tasarımcıları, bir halkla ilişkiler (PR) uzmanı ve hatta içerik yazarları da vardı.
CIISec tarafından görevlendirilen Mark takma adını kullanan araştırmacı, siber ve kolluk kuvvetleri alanlarında yıllarca çalıştıktan sonra, ek iş yapan bir BT uzmanından saf bir siber suçluyu tespit etmenin aslında nispeten kolay olduğunu söyledi.
“Bu reklamlar mevcut meşru profesyonel rollere atıfta bulunabilir veya LinkedIn gibi platformlarda hizmetlerinin reklamını yapan biriyle aynı şekilde yazılmış olabilir” diye açıkladı.
“Halihazırda düşmanları durdurmakta zorlanan bir sektörde, zeki ve yetenekli insanların suç tarafına çekildiğini görmek endişe verici.”
Finch şunları söyledi: “Karanlık ağda, çoğu aktarılabilir olan çok çeşitli becerilerin reklamı yapılıyor. Siber güvenlik alanındaki bir işin, ister yaratıcı, ister geliştirici, hatta seslendirme sanatçısı olun, tüm sektörlerden insanlara sunabileceği çok şey vardır.
“Fakat bir sektör olarak güvenlik dar bir alan gibi görünebilir. Güvenlikte herkese yer olduğunu göstermek için daha fazlasını yapmalıyız, yoksa siber suçlar nedeniyle giderek daha fazla yeteneği kaybedeceğiz.”