211service.com
Cybersäkerhetens smygande nya hot: stress från arbetsstyrkan
Nico Ortega
De tusentals cybersäkerhetsproffs som samlas på Black Hat, en massiv konferens som hålls i den blåsande hettan i Las Vegas varje sommar, möter en annan typ av session i år. Ett nytt community-spår erbjuder föredrag om en rad arbetsplatsfrågor som försvarare står inför som kämpar för att skydda världen från ett hackangrepp.
Med titlar som Mental Health Hacks: Fighting Burnout, Depression and Suicide in the Hacker Community och Holding on for Tonight: Addiction in Infosec kommer flera av sessionerna att hantera trycket på säkerhetsteam och den negativa inverkan dessa kan ha på arbetstagarnas välbefinnande.
Många människor i det här utrymmet känner starkt för att vilja skydda sina användare, säger Jamie Tomasello på Duo Security, som är en av talarna. Där detta blir utmanande är när människor är under långvarig hög stress. Det ökar risken för depression och psykisk ohälsa.
Inverkan på cyberförsvarares liv är djupt oroande, liksom de bredare konsekvenserna för säkerheten. Trots en strävan efter större automatisering är många uppgifter inom cyberförsvar fortfarande arbetsintensiva. Arbetare som har problem med psykisk ohälsa är mer benägna att göra misstag och att ha prestationsproblem som kräver att kollegor tar tag i det, vilket ökar sannolikheten för att de också kommer att göra fel.
Högt tryck, höga insatser
Detta är viktigare än någonsin eftersom insatserna har ökat dramatiskt i cybersäkerhetsvärlden. Hackare sveper inte bara kreditkortsuppgifter och digitala hälsojournaler; de angriper system som styr elnät, tillverkningsanläggningar och annan känslig infrastruktur.
Visst är stress på arbetsplatsen inte unik för cybersäkerhet. Det finns massor av andra arbetare, inklusive första responders, soldater och kirurger, som möter intensiv press i sina jobb. Andra IT-roller, som de som är involverade i att hålla viktiga nätverk och databaser igång, kan också vara stressande.
Men branschinsiders säger att flera faktorer har kombinerats för att skapa ett särskilt problem inom cybersäkerhet. En är det faktum att IT-system av alla slag nu är i stort sett konstant under attack, vilket innebär att det inte finns någon uppenbar målgång för arbetet. Det finns aldrig ett stillestånd. Det är non-stop och varje dag är en kamp, säger Andrea Little Limbago, en chef på cybersäkerhetsföretaget Endgame som har skrivit om ämnet stress på cyberarbetsplatsen.
Den hastighet med vilken skurkarna förnyar skapar också unika tryck. Utmaningarna att hänga med är galna, säger Jack Daniel, en av grundarna av BSides, en annan säkerhetskonferens som har lyft fram psykiska problem.
Arbetskraftsbrist
För att göra saken värre står branschen inför en brist på kvalificerad arbetskraft. Enligt en uppskattning , cirka 300 000 cybersäkerhetstjänster bara i USA förblir vakanta. Det innebär ytterligare arbete – och press – för dem som täcker obesatta roller.
En global undersökning av 343 cybersäkerhetschefer publicerad i november 2017 av Enterprise Strategy Group och Information Systems Security Association fann att nästan 40 procent av dem sa att kompetensbristen orsakade hög utbrändhet och personalomsättning. Det finns verkligen ett akut behov av mer seriös forskning kring detta, säger Daniel.
Bara att få en baslinje för att mäta stressnivåer i cyberarbetsstyrkan skulle vara till hjälp. Två forskare vid Amerikas nationella säkerhetsbyrå, Celeste Lyn Paul och Josiah Dykstra, har genomfört interna studier på organisationen, vars personal ofta befinner sig i stressiga situationer. De har tagit fram en stressundersökning som kan användas för en engångsstudie eller som ett pågående riktmärke. Forskarna kommer att diskutera detta på Black Hat och säger att de planerar att lägga ut det online den 13 augusti så att alla kan komma åt det.
AI till undsättning?
Även om mer empiriska bevis skulle vara välkomna, kan företag redan vidta åtgärder för att ta itu med stressrelaterade problem genom att se till att cyberförsvarare har regelbunden ledighet, uppmuntras att dela eventuella farhågor de har över arbetstrycket med chefer och ges tillgång till källor till råd. och råd i psykisk ohälsa.
Teknik kan i slutändan också hjälpa till att förbättra saker. Horder av mjukvaruleverantörer för cybersäkerhet anammar verktyg för maskininlärning som ett sätt att automatisera fler och fler uppgifter. Det kan så småningom ta en del av påfrestningarna från överarbetade anställda, men innan det händer i stor skala kommer många fler människor att behövas på cyberfronten.