Prisbyks for sikkerhetskonsulentene

Markedet for sikkerhetseksperter er brennhett, og de beste tar nå godt over 2.500 kroner timen. Selskaper uten finansielle muskler eller proffe IT-miljøer kan bare glemme å få tak i dem.

ALLE KAN RAMMES: Cybersikkerhet er blitt et hett tema etter en rekke høyprofilerte og mindre profilerte angrep. Det har sendt timeprisene på sikkerhetskonsulentene til værs. Foto: NTB
Teknologi

Cyberkriminalitet er i vill vekst, og rammer ikke lenger bare de store, tradisjonelle aktørene. «Alle» risikerer å bli hacket, og ifølge PwCs lederundersøkelse er frykten for å bli hacket nå større enn for konsekvensene av coronapandemien.

Men sikkerhetskompetanse er dyrekjøpt. Markedet er «støvsugd» for spesialister, og med dagens ressursknapphet og timepriser over 2.000 kroner, sliter små og mellomstore selskaper med å få tak i kritisk kompetanse.

– Er du et lite selskap som oppdager andre juledag at du er blitt hacket, og vi må sende ut de beste folkene for å redde bedriften, er det klart det blir dyrt, sier Lars Erik Fjørtoft, sikkerhetsdirektør i PwC.

KOMPLISERT BILDE: Lars Erik Fjørtoft, partner innen Cyber & Privacy i PwC. Foto: PwC

Øker mest

Sikkerhet er et prioriteringsspørsmål som for mange bedrifter er blitt en evigvarende utgiftspost. For Østre Toten kommune, som ble utsatt for et stort hackerangrep i februar, sto det ifølge kommunens ledelse før angrepet mellom «to sykepleierstillinger eller økt datasikkerhet».

I en Accenture-rapport fra rundt årsskiftet, svarer 69 prosent av selskapene at investeringene for å holde tritt med angriperne ikke er bærekraftig i lengden.

Og selv med riktig kompetanse og tiltak på plass, finnes det ingen garantier.

Den økte interessen for sikkerhetskompetanse har ifølge teknologidirektør Trygve Halvorsen i Accenture ført til at timeprisene blant sikkerhetskonsulentene øker mest i bransjen.

SIKKERHET ØKER MEST: Trygve Halvorsen, teknologidirektør i Accenture. Foto: Accenture

Ranveig Marseis, områdesjef i konsulentformidlergiganten Ework, bekrefter den sterke etterspørselen. Det samme gjør Eldri Coll Mossige i konkurrenten Folq, som nå ser timepriser på over 2.000 kroner.

Og ifølge Lars Erik Fjørtoft i PwC er det sikkerhetsarkitektene som er mest etterspurt, der de beste leies ut for 2.500 kroner timen – i noen tilfeller mer.

Varierende kvalitet

Knappheten er åpenbar. Bare på Finn.no var det fredag 550 stillingsannonser som etterlyser sikkerhetskonsulenter, -ingeniører og -utviklere.

Som flere påpeker, er det heller ikke dermed sagt at man finner rett person. Kvaliteten på sikkerhetsekspertene i markedet varierer, og konkurransen om kompetansen er nå så stor at valgmulighetene er få.

En av utfordringene, som Halvorsen i Accenture og Mossige i Folq påpeker, er at en «sikkerhetskonsulent» kan være alt fra strateg, utvikler, arkitekt og rådgiver. Vedkommende kan ha ekspertise på sikkerhet i nettverk og infrastruktur, være penetrasjonstester (hacker) eller en utvikler med spesialkompetanse på applikasjonssikkerhet og ledere. Med alt fra juridisk til teknisk bakgrunn.

I konkurranse om de få og svært ettertraktede hodene stiller de store selskapene sterkest. De seneste årene har spesielt bank, finans og oljeindustrien endret strategi fra å outsource til å ansette spesialister internt. Det gjør blant annet at små og mellomstore bedrifter står uten mulighet til å matche hverken gode kompetansemiljøer eller konkurransedyktige lønnsbetingelser.

En sikkerhetsansettelse kan koste fra en halv til halvannen million kroner før arbeidsgiveravgift og ytterligere kostnader, avhengig av erfaring, bakgrunn og rolle.

Og som sikkerhetsleder Nils Ove Gamlem i Microsoft påpeker, vil selv rett ansatt uten et miljø rundt seg miste faglig brodd over tid.

TRENGER MILJØ: Nils-Ove Gamlem, sikkerhetssjef i Microsoft. Foto: Morten Brun

Når ikke gjennom i styrene

Også for de store selskaper med mulighet til å konkurrere om de beste på pris og fagmiljø er sikkerhet blitt en verkebyll.

– Sikkerhet er et gigantisk fagfelt, og en av de vanskeligste faktorene for de store selskapene er å forstå hva man må forsikre og evne å forklare til styre og ledelsen hva man trenger å gjøre, sier Fjørtoft i PwC.

– Du kan bruke så mye penger du vil på sikkerhet, og kanskje du sitter igjen og blir tatt uansett.

Samtidig som daglig ledere og adm. direktører vekter cybersikkerhet som den største trusselen i dag, er sikkerhetsforståelsen i styrerommene en helt annen.

Ifølge en samtidig spørreundersøkelse gjennomført av PwC, svarer kun 53 prosent av styremedlemmer at de anser «cyberangrep som en trussel mot virksomhetenes fremtidige vekst».

Eli-Moe Helgesen, partner og leder for revisjon i PwC, legger til at sikkerhetsforståelsen varierer og at avstanden er stor fra de beste til de dårligste styrene.

Misforholdet mellom styret og toppledelsen kan, ifølge Gamlem i Microsoft, gå på bekostning av fremtidig sikkerhet etter hvert som digitaliseringsprosjektene utvikles og baller på seg med årene. Det kan også gå ut over sikkerhetskulturen internt i bedriften, som mange selskaper har tatt grep for å bygge opp det seneste året.

Men som Fjørtoft påpeker, er ikke god sikkerhetskultur nok når huset brenner. Da trengs det også god sikkerhetsarkitektur.