在數碼時代,市場需求大量資訊安全專業人才,根據(ISC)²發布的《Cybersecurity Workforce Study 2022》,全球有470萬名資訊安全從業員,但仍有340萬個職位空缺。新加坡和韓國雖積極填補人才缺口,但亞太區人手短缺問題仍令人擔憂。而了解全球資訊安全專業人才現狀,對構建更安全的數碼未來至關重要,筆者將分析各地填補人才缺口因素,並探討香港可採取甚麼步驟來解決問題。
首先,資訊安全有不同角色「分隊」:紅隊、藍隊及黃隊,並帶來紫隊、綠隊和橙隊。簡言之,在資訊保安領域,我們會用InfoSec色彩圈把具不同角色和責任的團隊分類,主要角色包括紅隊(攻擊性安全)、藍隊(防禦性安全、修復與協調)及黃隊(結合安全與開發專業知識)。
而團隊之間的合作會產生次要角色,包括紫隊(最大化紅隊效果並增強藍隊能力)、綠隊(透過DevSecOps改善基於代碼的防禦)及橙隊(增加軟件開發的安全意識)。讀者可參考NICE和ECSF等框架,詳細了解各隊的任務、能力、技能及知識,接受不同角色的多樣性,並促進協作,可建立強大資訊安全體系、抵禦網絡威脅,並實現全面安全策略。
紅藍隊角色 嚴重缺才
近年香港在資訊安全領域取得一定進展,例如推出C-RAF和PDP等專業發展計劃,以及應用公共雲技術。這些措施增強紅隊、藍隊和黃隊的能力,但香港在紅隊和藍隊角色人才庫方面,仍面臨嚴重缺口。
根據最近統計數據,新加坡擁有逾2,000名持有CREST和OSCP等資格的專業人才,但香港只有不到300名,顯示香港在紅隊和藍隊角色人才儲備方面明顯落後。相比之下,新加坡在人才發展方面已採取一系列積極措施,以應對資訊安全領域的挑戰,例如新加坡引入許可證制度,要求提供資訊安全服務的公司必須尋求認可。此外,新加坡金融管理局已投資4億新加坡元於金融業發展基金,以提高數碼工作人員能力,包括資訊安全專業知識。
香港不乏投資 卻缺人才
應對香港資訊安全人才短缺的問題,關鍵在於確保投資是「有的放矢」,並得到有效利用。儘管香港對資訊安全的投資並不低於其他地區,甚至更高,但重點應放在培養更多人才,尤其是培養紅隊和藍隊角色,而不是傳統的「白隊」角色。香港紅隊人才的缺口已經很大,與新加坡相比有10倍之多,因此必須從初中或高中便開始培養人才。
此外,一些本地的bug(漏洞回報)獎勵計劃等,講求創新和努力的價值,但計劃只在有穩定和合格的專業人才供應下,才能發揮最大效果。然而令人擔憂的是,2023至24年度的預算卻沒有提到資訊安全。
香港現時缺乏的紅隊和藍隊人才,需透過培訓和政策來建立強大的人才庫,以保持競爭力,雖然舉辦本地bug獎勵計劃和Cyber Academies等有所幫助,但長遠需有更多政策支持。
因此,政府應將資訊安全納入政策優先考慮,並為培育資訊安全人才分配資源。通過認識資訊安全技能的重要性,以及將其納入教育倡議,香港才可建立更強大的人才庫,以促進和支持資訊安全行業增長的生態系統發展;這也有助香港跟上市場需求,保持其作為領先資訊安全中心的地位。
文:李家明
香港電腦學會網絡安全專家小組執行委員會成員