في أعقاب أربعة شباب يتم القبض عليهم على المشاركة المشتبه فيها في الآونة الأخيرة ماركس وسبنسر ، هجمات رانسومواري، من السهل التسرع في اللوم المسؤولين عن الاضطراب.
لكن هل نحن متسرعون للغاية في إدانتنا؟ في عصر نقص المهارات المستمرةو أعداد كبيرة من انتهاكات الأمن وقوة عاملة في الأمن السيبراني المسنين ، هل يجب أن ننظر إلى تجمعات بديلة من المواهب الشابة ، والتي تشمل المتسللين ، لإنقاذ اليوم؟
مايك جيلبيس هو الرئيس التنفيذي للمعلومات والاستشارات الأمنية المادية ، ظهور IM. كما يشير: “إنها مهنة شيخوخة. أبلغ من العمر 56 عامًا وأنا متوسط هنا. نحن الجيل الذي بدأ كل هذا وخلق مهنة كممارسين للهواة ، لكننا ما زلنا أكبر جزء منه.”
ويقول إن التحدي الآخر هو أن الصناعة لا تزال تفتقر إلى التنوع ولا تزال “بيضاء ورجل” في الغالب. هذا يعني أن معظم أرباب العمل يتسوقون للموهبة “من نفس متجر الزاوية والسهم يصبح منخفضًا جدًا”.
يقول جيلبيس ، إن النتيجة النهائية هي: “المنظمات تستمر في التخلص من بعضها البعض ، وبالتالي تستمر الرواتب في الارتفاع. لكننا نصل إلى نقطة الأزمة ، إلى نقطة التحول ، حيث تتحرك أعداد كبيرة منا نحو التقاعد ولا يوجد ما يكفي من الشباب.”
أسيء فهم الأمن السيبراني
يمكن أن تعزى بعض المشكلات هنا إلى الصورة التي يحركها الأفلام لأخصائيي الأمن السيبراني كونهم “المهوسون الانفراديون” في هوديس النقر على لوحات المفاتيح في غرف مضاءة بشكل خافت.
لكن الافتقار إلى نماذج الأدوار البديلة “تمنع الكثير من الناس” ، كما يعتقد أماندا فينش ، الرئيس التنفيذي لشركة معهد أمن المعلومات القانوني (CIISEC). كما أنه يضيق تصور مجموعة متنوعة من الأدوار المتاحة داخل المهنة.
يقول Gillespie: “من أين يأتي بعض الالتباس هو أن كل شيء يتم تسميته الآن” الأمن السيبراني “عندما يكون أمن المعلومات حقًا ، والذي يلف الأشياء الإلكترونية”. “إن أمن المعلومات هو الحوكمة والمخاطر والامتثال والتدقيق ، لكن الناس يركزون على وظائف عالية التقنية ، مثل اختبار الاختراق والقرصنة الهجومية ، لأنها تبدو أكثر جنسية ، على الرغم من أنها جزء صغير فقط من الصناعة الشاملة.”
فينش يوافق. وتقول: “على الرغم من أننا ، كصناعة ، نقوم بعمل أفضل ، ما زلنا لا نفعل ما يكفي لشرح مدى تنوع المهنة من حيث الأدوار ومقدار الاعتماد على الخبرة التي تتجاوز مجرد مهارات الإنترنت الخالصة”. “يحب الأشخاص الفكرة التي يتم دفعها جيدًا وهناك عمل متاح ، لكن لا يزال يُنظر إليه على أنه فن مظلم.”
كريس ويسوبال هو المؤسس المشارك لشركة أمان التطبيق فيراكود و Hacker L0PHT السابق. إنه يعتقد أن المشكلة أكثر أساسية.
يقول: “أحد التحديات هو أن أطفال المدارس الثانوية الذين يعانون من كفاءة للأمن السيبراني لا يدركون دائمًا ذلك كمهنة”. “قد يكونون لاعبين أو أشخاص لعبوا مع أدوات مختلفة للشبكات وأدوات الذكاء الاصطناعي ولا يعرفون أنهم يمكن أن يحولوا اهتمامهم إلى مهنة ، لذلك هناك حاجة إلى ترقية أفضل في الصناعة.”
إمكانات تجمع المواهب البديلة
حاجز آخر أمام الدخول هو عدم وجود مسارات واضحة في المهنة بعد الذهاب إلى الجامعة. هذا أمر مهم ، كما يعتقد Wysopal ، لأن “العديد من الأشخاص الموهوبين الذين يمكن أن يكونوا ممارسين جيدين ليسوا من النوع الذي يريد القيام بأربع سنوات في الكلية”.
ولكن يبدو أن بعض أرباب العمل على الأقل يدركون أنهم يمكن أن يستفيدوا من أخذ بونت على تجمعات المواهب البديلة.
على سبيل المثال ، دراسة حديثة أجرتها هيئة التدريب الإلكترونية وإصدار الشهادات ISC2 ، بعنوان “بعنوان” 2025 اتجاهات توظيف الأمن السيبراني، أشار إلى أن أرباب العمل سوف يفكرون في المرشحين للوظائف على مستوى الدخول والناشئين إذا كان لديهم خبرة سابقة في تكنولوجيا المعلومات أو شهادات الأمن السيبراني المبتدئين على الخريجين دون خبرة في العمل.
على الرغم من ذلك ، فقد طلبت نسبة كبيرة من مديري التوظيف أيضًا الباحثين عن العمل على مستوى الدخول والناشئين مع شهادات مؤهلات مخصصة للمهنيين الأكثر خبرة- وهو الموقف الذي يجعل من الصعب عليهم الحصول على قدم في الباب.
كما يقول فينش: “الخطوة الأولى صعبة دائمًا لأن المنظمات مثقلة ومشغولة وهكذا تريد التجربة. لكننا نرى بشكل متزايد أشخاصًا يستثمرون في المواهب الخام ، و المنظمات – مثل IASME [formerly known as the UK Cyber Security Forum] – العمل مع الناس على [neurodiverse] نطاق.”
في محاولة للقيام بها ، تقدم CIIS نفسها أيضًا مؤهلاً للمشروع الممتد للمبتدئين (EPQ) في الأمن السيبراني. حتى الآن ، تم تشغيل EPQ بشكل أساسي من قبل المدارس الخاصة ، على الرغم من أن بعض التقدم تم إحرازه في مدارس المدينة الداخلية أمام قسم العلوم والابتكار والتكنولوجيا (DSIT).
ونتيجة لذلك ، فإن CIIs تعمل حاليًا على إنشاء ذراع خيرية لتزويد الصناعة بمسار قانوني للمساعدة في ملء النقص المالي.
مصادر المواهب الشابة
لكن مصادر التوظيف غير التقليدية لا تزال الاستثناء بدلاً من القاعدة. يشير تقرير ICS2 ، على سبيل المثال ، إلى أن شركات التوظيف والموظفين وكذلك منشورات الوظائف (57 ٪ على التوالي) لا تزال أكثر مسار التوظيف المفضل.
التالي في القائمة هي برامج التدريب الداخلية والكليات والجامعات (55 ٪ على التوالي). يزداد شعبية تقديم برامج التلمذة الصناعية للأمن السيبراني الداخلي (46 ٪).
في الجزء السفلي من الوبر ، توظف أشخاصًا من أقسام الشركة الداخلية الأخرى (22 ٪) ، مع المحاربين القدامى العسكريين (12 ٪) ، أو أفراد آخرين في الجيش (8 ٪). الاحتمال الآخر الذي لا يصل إلى القائمة هو أن اللاعبين الشباب يستهدفون حاليًا من قبل المتسللين من القبعة السود والجريمة المنظمة.
يقول ويسوبال: “يتعين على العصابات الإجرامية عبر الإنترنت الحصول على مواهبهم من مكان ما أيضًا ، لذلك فهي تستأجر في منتديات الألعاب وخوادم الخلاف”. “إنهم يبحثون عن الأشخاص الذين يعانون من الكفاءة ، وعندما يرون شخصًا يغمس أصابع قدميه في كيفية كسر الأنظمة أو خصوم المهندسين الاجتماعيين ، فإنهم يهتمون ويصبحون جزءًا من المحادثة.”
كيسي إليس ، مؤسس ورئيس تنفيذي لمنصة الأمن المصممة الجماعية ، bugcrowdيوافق.
“يتم تجنيد المتسللين في جرائم الإنترنت التي تصل إلى 13 عامًا من منصات الألعاب متعددة اللاعبين ، باستخدام نفس أساليب التوظيف التي يعمل تجار الأدوية في الثمانينيات ، حيث كان من تتراوح أعمارهم بين 12 إلى 18 عامًا أهدافًا معينة” ، كما يشير. “الفكرة هي الحصول عليها عندما يكونون صغارًا لأنهم أسهل في التلاعب به ، وبالتالي فإن السؤال هو كيف تتصاعد الصناعة وتواجه ذلك لتحويل الشباب بعيدًا عن الجريمة؟”
إنه أحد الأسباب التي أدت إليس إلى إعداد Bugcrowd في عام 2012 ، كما يقول. تركز الشركة بشكل خاص على تسخير مهارات القرصنة (الأخلاقية) في جيل الألفية والأعضاء الأكبر سناً في الجيل Z للعثور على نقاط الضعف الخفية في برامج العملاء. ما بين 600000 و 700،000 قد مر ببرنامجها حتى الآن.
لعب القبعات السوداء في لعبتهم
ألعاب القرصنة، منظمة أخرى يصفها كل من Ellis و Wysopal من الأعضاء ، بأنها عازمة على فتح “المواهب غير التقليدية (اللاعبين ، البناة ، المتمردين ، والمفكرين العميقين)” “لتوصيلهم في مهمة الأمن السيبراني العالمي”.
يقوم بذلك من خلال توفير مجتمعات قائمة على الخلاف للمتسللين الشباب وغيرهم من خلفيات متنوعة للانضمام. يوفر لهم هذا الوصول إلى أرقام الصناعة والموجهين ولوحة الوظائف التي تسرد أدوارًا مفتوحة. تقوم Haptai ، وهي منصة توظيف من الذكاء الاصطناعي ، بإنشاء ملف تعريف لتسهيلها لاستكشاف المسارات الوظيفية بناءً على نقاط قوتهم.
“إن صناعة الأمن السيبراني في وضع غير مؤات مقارنة بالعصابات الإجرامية لأنها لا توظف شبابًا موهوبين في الأماكن التي يتسكعون فيها” ، كما يشير Wysopal. “لكن ألعاب القرصنة هي واحدة من الأشياء التي يمكن أن تساعد في حل ذلك من خلال الوصول إلى الشباب قبل تجنيدهم من قبل الأشرار. بعد ذلك ، من الصعب للغاية.”
لكن القضية لا تتعلق فقط بتحويل الشباب من الجريمة الإلكترونية اليوم ، كما يعتقد إليس. إنه يتعلق أيضًا بإلقاء الشبكة الأوسع على التغلب على العصابات الإجرامية بشكل أفضل و “دليل مستقبلي” على الصناعة.
يقول: “هناك الكثير من الذهب في الجيل الأصغر سناً”. “لا يتعلق الأمر فقط بإيجاد وظيفة لهم. إنه يتعلق بالحصول على مدخلاتهم الاستراتيجية لأنهم أصليون في بيئة التكنولوجيا التي ننشئها الآن ، وبالتالي لا تملك الافتراضات التي نقوم بها – من المهم أن نستمع إلى بعضنا البعض ونتعلم”.
يقول إليس إن التحدي الرئيسي اليوم هو سوء فهم واسع النطاق لما هو عليه أحد المتسللين بالفعل. “الفرق بين القبعة السوداء والمتسللين الأخلاقيين هو نفسه بين اللصوص والأقفال” ، كما يشير. “لديهم نفس المهارات والفضول ولكن بوصلة أخلاقية مختلفة.”
يوافق Wysopal على أن “Hacker هو مصطلح محمّل”. من ناحية ، يقول ، عندما انضم إلى L0PHT في عام 1992 ، كان أعضاؤه جميعهم هواة حيث لم يكن هناك شيء مثل مهنة الأمن السيبراني. من ناحية أخرى ، هناك أشكال مختلفة من نشاط القرصنة.
“بعض الناس هم العقل المدبر الجنائي وهم في ذلك من أجل المال ، ولكن هناك أيضًا أولئك الذين كتبوا أداة أو قاموا بخداع شخص ما في تسليم كلمة مرور ، على هامش الإجرام” ، كما يشير ويسوبال. “ربما يكونون قد كسروا القانون ، لكن عليك أن تكون حريصًا على عدم تشويه مهنة شخص ما بأكمله لأن الكثير من هذا يحدث عندما يكون الناس الأحداث”.
ماذا تفعل مع المتسلل المدان؟
ونتيجة لذلك ، كما يقول ، حتى مع الإدانة ، سيكون مستعدًا لتوظيف شخص ما إذا كان يعتقد أنه قد تغير.
يقول ويسوبال: “لا يوجد أبيض وأسود هنا”. “الأمر مختلف إذا كان هناك نمط من السلوك ، وكان شخص ما مجرمًا متصلبًا ، ولكن إذا كان لديهم قناعة بالسرقة البسيطة ، فقد كان ذلك مرة واحدة فقط وكان قبل 10 سنوات ، هل لا أريد حقًا أن أحمله كمهندس برمجيات؟”
ومع ذلك ، سيكون هناك حتما قيود على أنواع العمل الذي يمكنهم القيام به ، كما يقول.
ويضيف ويسوبال: “إن التحدي الأكبر في توظيف الأشخاص ذوي الإدانات هو ما يبدو عليه العملاء ، خاصةً إذا كنت تشارك معهم لإجراء اختبار الاختراق”. “إنها مشكلة بصريات ووضع متسلل مدان على شبكة ومنحهم بيانات الاعتماد للقيام الهجوم الأحمر يشعر بالمخاطر للغاية. “
هذا يعني أن تفضيله هو أن يكون هناك عمل متسلل مدان في الأدوار الخلفية ، أو أدوار غير مواجهة ، مثل الباحث أو عضو فريق الهندسة العكسية ، حيث لن تكون هناك حاجة إلى تفسيرات.
يوافق Gillespie على أن الوضع أمر صعب. يقول: “إذا أردت تجربة شخص ما واختباره ، فقد يكون المتسلل السابق فكرة جيدة”. “لكن التحدي هو أن الكثير من الوظائف ، خاصة إذا كنت تتعامل مع مشاريع حكومة الأمن والدفاع العالي ، تتطلب تصريحًا ، وإذا كان لدى شخص ما إدانة ، فقد يمنعك من الحصول على الوظيفة”.
في نهاية المطاف ، يعتقد Wysopal أن الوقت قد حان لتوظيف قطاع الأمن السيبراني أكثر المواهب ذاتية العلوم.
يقول: “إلى حد ما ، تحتاج الصناعة إلى العودة إلى جذورها كمكان مختلف في العالم الآن إلى عام 2000 عندما بدأت الصناعة في النمو وأصبحت الخريجين وسيلة للتوظيف بشكل كبير”. “لم يعد الشباب يلعبون مع مودم وأجهزة كمبيوتر بعد الآن – إنهم يلعبون ألعابًا عبر الإنترنت في مجموعات Discord ، لذلك عليك أن تذهب إلى حيث هم.”
