In cybersecurity automatiseert ai steeds meer van het instapwerk, juist de taken waarmee junioren ooit het vak leerden. Dat zet de toevoer van nieuw talent onder druk, terwijl organisaties hun teams van bovenaf opnieuw opbouwen met schaarse senioren. Niet het aantal mensen, maar hun vaardigheden bepalen voortaan de arbeidsmarkt.
Tekst: Kim Loohuis Beeld: ENVATO
Jarenlang luidde de cybersecuritysector dezelfde noodklok: er zijn te weinig mensen. Dat verhaal is ingehaald door de praktijk. Bedrijven die jarenlang vergeefs naar mensen zochten, ontdekken nu dat het echte gat ergens anders zit. Het simpele werk verdwijnt naar de machine: het uitpluizen van meldingen, het wegstrepen van loze alarmen, de eerste blik op een incident. Precies dat neemt ai nu over. De taken die overblijven, vragen om mensen met meer kennis, ervaring en oordeel.
‘Als er onvoldoende professionals zijn die de basisvaardigheden leren, hebben we straks geen senioren en experts meer’, zei James Lyne, ceo van SANS Institute, tijdens de presentatie van hun jaarlijkse Cybersecurity Workforce Report op RSAC in San Francisco eerder dit jaar. Het instapwerk in cybersecurity was de plek waar junioren het vak onder de knie kregen. Door duizenden meldingen te beoordelen, leerden ze patronen herkennen en een aanval doorzien. Verdwijnt dat werk, dan verdwijnen ook de eerste treden van de carrièreladder. ‘Het echte risico is niet de ai zelf. Het is dat we ai inzetten om die groeipaden weg te automatiseren in plaats van ze te versnellen’, zegt Jay Bhalodia, security customer success leader bij Microsoft Federal, in het SANS-rapport.
Organisaties lossen het gat voorlopig op door ervaren mensen van buiten aan te trekken in plaats van ze zelf op te leiden. Maar die schaarse senioren zijn nauwelijks te vinden: meer dan de helft van de seniorfuncties kost organisaties langer dan een halfjaar om in te vullen, blijkt uit het SANS-onderzoek.
Toch is voorzichtigheid op zijn plaats met de conclusie dat ai de banen inpikt. Volgens Rob T. Lee, chief ai officer bij SANS Institute groeien teams vooral nauwelijks doordat budgetten al jaren stagneren, niet door ai. Bedrijven die ontslagen aan ai toeschrijven, verbergen daarmee vaak een gewone bezuiniging. En het oude verhaal over een gigantisch tekort aan beveiligers klopt volgens hem niet. Hij zocht jarenlang naar de openstaande vacatures die het veelbesproken tekort aan cybersecuritymensen zouden moeten verklaren, maar kon ze niet vinden. ‘Vraag een ciso met tien mensen hoeveel hij er echt nodig heeft om zijn werk goed te doen, en hij zegt dertig. Zo is dat getal ontstaan’, zegt Lee.
Wat ai wél doet, is werk verschuiven in plaats van mensen vervangen. ‘Ik zie ai als een netto positief voor de capaciteiten van het personeel’, aldus Lee. Onderzoek van securitybedrijf Exabeam bevestigt dat beeld: negen op de tien securityleiders zegt dat ai hun operaties al verbetert of dat dit jaar nog gaat doen. De voornaamste gebieden zijn dreigingsdetectie, productiviteitswinst voor het team en geautomatiseerde incidentrespons. Het gaat er niet om mensen te schrappen, maar het werk te verbeteren en efficiënter te doen. De security-analist gaat zo van zelf elke taak uitvoeren naar het aansturen en controleren van de techniek.
Dat telt extra voor organisaties die een groot securityteam simpelweg niet kunnen betalen. ‘Neem waterleiding- en nutsbedrijven’ zegt Lee. ‘Die kunnen zich geen uitgebreid securityteam veroorloven. Maar als je ai-agents kunt inzetten om aanvallen te detecteren met het budget van één medewerker, dan lost ai dat probleem op.’ Daar is het geen bedreiging, maar de enige manier om mee te komen.
Maar ai lost alleen het capaciteitsprobleem op, niet het opleidingsprobleem. Hoe een sector nieuwe professionals kweekt als het instapwerk is verdwenen, is een vraag die andere vakgebieden al lang geleden hebben beantwoord. Zo doorlopen artsen coassistentschappen voordat ze zelfstandig patiënten zien. Advocaten beginnen als stagiair en leren het vak van binnenuit. Lee vindt dat cybersecurity dat ook gewoon moet doen. ‘We zijn niet de unieke uitzondering die we soms denken te zijn’, zegt hij. Gestructureerde begeleiding en interne leertrajecten zijn veruit de effectiefste manier om mensen te ontwikkelen, blijkt uit het SANS-onderzoek.
In een markt waar vaardigheden het schaarse goed zijn, is behoud net zo urgent als doorstroom. Bijscholen pakt allebei aan. Burn-out is een van de voornaamste redenen waarom securitymensen vertrekken, blijkt uit hetzelfde onderzoek. Niet verrassend: wie vastloopt in hetzelfde routinewerk zonder perspectief, brandt op. Doorlopend leren doorbreekt dat. Mensen die merken dat ze ergens naartoe werken, haken minder snel af. Toch heeft maar een kwart van de organisaties een helder loopbaanpad voor het securityteam. Wie dat verwaarloost, verliest mensen niet alleen aan burn-out, maar ook gewoon aan een beter aanbod van de concurrent.
Nederlandse organisaties zijn beduidend voorzichtiger met ai in security dan organisaties elders. Slechts dertig procent zegt dat ai hun beveiliging nu al verbetert, tegen 46 procent wereldwijd, blijkt uit het Exabeam-onderzoek. Nederlands geld gaat eerder naar het moderniseren van verouderde systemen dan naar ai voor de securityafdeling zelf.
Toch is dat geen teken van achterstand. In Europa is het tekort aan mensen juist relatief beperkt: slechts eenderde van de organisaties mist de juiste mensen en vaardigheden, meldt het World Economic Forum in zijn Global Cybersecurity Outlook. Het probleem is hier niet te weinig handen, maar te weinig actuele kennis. De Europese regelgeving jaagt die verschuiving aan: NIS2 en DORA verplichten organisaties tot nieuwe specialismen, en wie die inhaalslag niet maakt, loopt al snel achter de feiten aan.
Daarmee verandert ook de waarde van de herkomst van een professional. Een diploma of een lange staat van dienst zegt steeds minder; aantoonbare en actuele kennis steeds meer. Lyne: ‘Cybersecurityprofessionals die ai gebruiken, vervangen waarschijnlijk degenen die dat niet doen.’ Werkgevers kijken dan ook steeds vaker naar wat iemand echt kan dan naar papieren.
Tegelijk ontstaan er rollen die drie jaar geleden nog niet bestonden. Specialisten in het veilig inzetten van ai, red teamers die ai-systemen aanvallen om zwakke plekken te vinden, experts die deepfakes herkennen en bestrijden. Ingenieurs die organisaties begeleiden bij de overstap naar encryptie die bestand is tegen quantumcomputers. Dat is geen toekomstmuziek; bedrijven werven daar nu al actief op. Het WEF rekent netwerk- en securitykennis tot de snelst groeiende vaardigheden richting 2030.
Organisaties die nu alleen ervaren mensen binnenhalen en het instapwerk wegautomatiseren, planten de kiem voor het tekort van morgen. Het talent dat over vijf jaar die nieuwe rollen moet invullen, krijgt nergens de kans om het vak te leren. Lee: ‘Voor de mensen die je nu in dienst hebt, moet je voortdurend manieren vinden om hun vaardigheden te vergroten, hen bij te scholen en nieuwe rollen te geven naarmate het vakgebied verandert.’ Wie dat niet doet, levert straks zijn beste mensen in bij een concurrent die hen die kans wél biedt.