כמה מרוויחים עובדי הסייבר בארה"ב - וכמה בישראל?

עד 2020 ייווצר מחסור עולמי של 1.5 מיליון מומחים באבטחת סייבר ■ השוק כולו משווע לעובדים, אבל בעוד שבארה"ב הביקוש מתבטא גם בשכר גבוה יותר, בישראל עדיין אין הבדלים מהותיים בין נישת הסייבר למגזר ההיי-טק כולו

סייבר / צילום:  Shutterstock/ א.ס.א.פ קרייטיב
סייבר / צילום: Shutterstock/ א.ס.א.פ קרייטיב

"האתגר המשמעותי ביותר שעומד בפני מגזר ההיי-טק הוא היצע כוח אדם מיומן, נוכח גודלו היחסי של המגזר בישראל בהשוואה למשקים מפותחים אחרים. הקיפאון בנתוני התעסוקה בשנים האחרונות מעלה סימני שאלה לגבי עתידו של המגזר. הגידול המהיר בשכר בענפי ההיי-טק תומך בהערכה כי קיפאון זה משקף מגבלה בצד ההיצע, קרי מחסור בכוח אדם מיומן".

הציטוט הזה לקוח מתוך סקירה כלכלית שבועית של אגף הכלכלן הראשי במשרד האוצר שיצאה בפברואר האחרון. האוצר לא חידש הרבה בקביעתו, אך כן הציף מחדש את בעיית כוח האדם במגזר שעדיין נחשב הקטר של המשק. מגזר ההיי-טק משווע למומחי טכנולוגיה, לאנשי מחקר ופיתוח, והמצב בנישת אבטחת הסייבר אינו שונה במהותו. אבל לפני שנצלול לנתונים על התעשייה הישראלית, כדאי להסתכל על מה שקורה מעבר לים ועל המגמות העולמיות.

השוק העולמי: הביקוש אדיר והשכר בהתאם

ישראל אינה לבד בהתמודדות עם המחסור במומחים לאבטחת סייבר. לפי חברת Frost&Sullivan, עד שנת 2020 ייווצר מחסור עולמי של 1.5 מיליון מומחי אבטחת סייבר (!), ולפי הדוח של בנק אוף אמריקה-מריל לינץ', המחסור הכי גדול יבוא לידי ביטוי בחברות בריאות, חינוך וקמעונאות. במקביל, קובע הבנק, "הסקטור הממשלתי מתקשה לעמוד בקצב של הסקטור הפרטי".

ב-Frost&Sullivan הגיעו למספר 1.5 מיליון בעקבות סקר שביצעו אשתקד בקרב 14,000 חברות. 62% מהחברות ענו שיש להן מעט מדי מומחי אבטחת סייבר, לעומת 56% בסקר זהה שנעשה ב-2013. הצמיחה בשנים 2010-2014 במספר המשרות הפתוחות באבטחת סייבר עמדה על 91% לעומת 28% בלבד במקרה של עובדי IT (טכנולוגיית מידע).

ההתאמה של כל מועמד למשרה כזו, מבחינת השכלה אקדמית, הכשרה וניסיון מקצועי, היא נמוכה. לפי סקר של ISACA-RSA שנעשה אשתקד, יותר ממחצית מהחברות שהשתתפו בו השיבו כי פחות מרבע מהמועמדים לתפקידי אבטחת סייבר אינם מתאימים למשרה. אותו סקר מצא של-53% מהחברות נדרשו 3-6 חודשים לאתר מועמד מתאים בעוד 10% מהחברות כלל לא מצליחות לאייש משרות פתוחות. ולפי פירמת ראיית החשבון PwC, רק ל-51% מהחברות שנבדקו על ידיה יש תוכניות הדרכה. "זה מאוד מדאיג", נכתב בדוח החברה.

ייתכן שההסבר לכך טמון בטענה של ענקית אבטחת המידע האמריקאית Websense: "לוקח 11 שנה של ניסיון מחקרי באבטחת מידע כדי לרכוש את ההכשרה הנדרשת להגנה מפני התקפות בעת המודרנית". 11 שנה, לא לימודים של 3 שנים לתואר אקדמי ולא הכשרה של 8 חודשים. 11 שנה.

המלחמה על כל מומחה אבטחת סייבר והנכונות של חברות להגדיל את תקציב אבטחת הסייבר שלהן מבטיחים בעולם שכר גבוה יחסית למומחה כזה לעומת איש IT: לפי חברת המחקר burningglass, מומחה אבטחת סייבר יקבל בממוצע שכר גבוה ב-9% משכר של עובד IT. לפי משרד העבודה האמריקאי, השכר החציוני לשנה של איש אבטחת סייבר בארה"ב עמד בשנת 2014 על 88,890 דולר, 7,408 דולר בממוצע בחודש. נדגיש שמדובר בשכר חציוני ולא בממוצע (שכר חציוני תמיד נמוך יותר משכר ממוצע) וכי מדובר בנתוני 2014, ולפיכך ייתכן שב-2015 והשנה כבר חלה עלייה בשכר זה.

עוד עולה מנתוני משרד העבודה האמריקאי שהשכר בעשירון התחתון של עובדי אבטחת סייבר הוא 50,300 דולר בשנה (4,192 בחודש), ואילו השכר בעשירון העליון הוא 140,460 דולר (11,705 דולר בחודש).

"מספר מקומות העבודה באבטחת מידע עומד לזנק פי 10 בעשור הקרוב", אומרת וירג'יניה למקול-דאחווה, מנהלת המרכז החינוכי Jay Pinson STEM באוניברסיטת קליפורניה שבסן חוזה, המכשיר בני נוער להצטיין במבחני STEM (מבחני הקבלה למכללות) בתחומי המדע, הטכנולוגיה, ההנדסה והמתמטיקה. "עלינו לעשות הרבה יותר כדי לעמוד בביקוש, הן ברמת האוניברסיטה והן בחינוך היסודי והתיכוני", היא אומרת בראיון למגזין של אוניברסיטת סטנפורד היוקרתית.

עם זאת, מחנכים מתקשים להכשיר תלמידים במקצועות אבטחת סייבר במהירות מספקת כדי לעמוד בביקוש. הביקוש עלה בחמש השנים האחרונות בקצב מהיר פי 3.5 מהביקוש למומחי IT אחרים, ופי 12 ביחס לכל מקומות העבודה במשק האמריקאי, לפי דוח ממארס 2014 של חברת burningglass.

"בתי ספר מעטים מדי במערכת החינוך הציבורית מלמדים בפועל מדעי מחשב ונושאים נלווים", נכתב במגזין של סטנפורד. מרואיינת אחרת, נינה לוין, שעובדת עם למקול-דאחווה, אומרת: "אם אנשים לא נחשפים לדרך העבודה של מחשבים מגיל קטן, יש להם חששות ממחשבים, והם יגידו, 'זה לא בראש שלי'. אם זוהי המנטליות שבה אנחנו מגדלים את הילדים שלנו, לא יהיו לנו אף פעם די אנשי מקצוע בתחום זה".

רק 19% מתלמידי התיכונים בארה"ב לומדים בכיתות מדעי המחשב, וזהו אחוז שירד ב-20 השנים האחרונות, לפי מכון המדעים הלאומי. "ללא ספק נחוצים לימודים נוספים כדי לפתות צעירים לקריירות בתחום אבטחת סייבר", מסכמים במגזין, "זה חשוב מפני שקונסורציום ההסמכה הבינלאומי בתחום אבטחת מערכות מידע דיווח ב-2013 שמומחי אבטחה קיימים מוצפים עד מעל הראש בעבודה כתוצאה ממחסור בכוח אדם, מה שעלול להוביל לעוד פריצות למערכות נתונים".

השוק הישראלי: מחסור לא רק במומחי סייבר

אנשי אקדמיה, אנשי תעשיית הון סיכון ויזמי אבטחת סייבר שדיברנו איתם הסכימו שבעיית כוח האדם בנישת אבטחת הסייבר אינה בהכרח אקוטית יותר מהמחסור במגזר ההיי-טק כולו, וכי רמות השכר בתחום זה אינן בהכרח גבוהות באופן משמעותי ו/או עולות בקצב גבוה יותר מאשר בענף כולו. לדבריהם, בעוד שבסיליקון ואלי שבארה"ב מתמודדים עם המחסור בכוח אדם גם באמצעות הגירה, בישראל פתרון כזה אינו רלוונטי, למרות ניסיון משרד ראש הממשלה לקדם תוכנית לייבוא מהנדסי תוכנה לארץ.

עם זאת, אומרים אנשי התעשייה, לתחום אבטחת הסייבר בישראל יש יתרון אחד בולט על שאר מגזר ההיי-טק והוא צה"ל, וליתר דיוק יחידה 8200. כפי שבנק אוף אמריקה-מריל לינץ' כותב: "לישראל יש אג'נדה מאוד ממוקדת לייצר פתרונות טכנולוגיים מובילים לשוק הצבאי ולקהיליית המודיעין. ישראל נחשבת אחת המובילות העולמיות בתעשיית אבטחת סייבר בגלל יחידה 8200 - היחידה הצבאית הגדולה ביותר בצה"ל".

"מה שיפה בישראל הוא שרוב האנשים שמוכשרים לאבטחת סייבר במהלך השירות הצבאי משתחררים ממנו ואז יוצאים לאזרחות, מקימים חברות או הולכים לעבוד בחברות אבטחת סייבר", אומר אחד השותפים-מנהלים באחת משתי קרנות ההון סיכון הישראליות הגדולות בארץ, שמשקיעה לא מעט באבטחת סייבר. "השוק הישראלי אולי קטן מבחינת מספר האנשים - בסין לדוגמה מכשירים פי 20-30 מומחי אבטחת סייבר מדי שנה - אך רובם עובדים כל חייהם במגזר הממשלתי ולא יוצאים למגזר הפרטי. אפילו ב-NSA, הסוכנות לביטחון לאומי בארה"ב, יש הרבה יותר מומחי אבטחת סייבר מאשר בכל מדינת ישראל, והם לא פחות מוכשרים מהישראלים אבל הם עובדים רוב חייהם ב-NSA ולא יוצאים לשוק הפרטי.

"בישראל אין כליאת כישרונות כזו, ולכן המגזר הפרטי כאן מגדיל את האפקט של ההשקעה הממשלתית לפי מכפיל הרבה יותר גבוה מאשר בסין, לדוגמה". לדבריו, "כליאת כישרונות במגזר הממשלתי פוגעת באקו-סיסטמם של התעשייה הזאת. אני רוצה שמומחי אבטחת סייבר יזוזו בין הצבא, האקדמיה והתעשייה והפוך. זה נהדר בעיניי שאנשים כאלו מתגייסים לשירות מילואים ובמהלכו הם תורמים לצבא מהידע ומהניסיון שצברו באקדמיה ובתעשייה".

לפי נתונים שהוכנו במיוחד ל"גלובס" על ידי חברת אתוסיה, מחברות ההשמה המובילות בתעשיית ההיי-טק המקומית, בנישת אבטחת הסייבר המקומית מועסקים 19 אלף איש - 7% מכלל המועסקים בתעשיית ההיי-טק. אייל סולומון, מנכ"ל אתוסיה, מסביר שמדובר בכל עובדי נישת אבטחת סייבר, ולא רק באנשי מחקר ופיתוח. "לדוגמה, בחברת סייברארק (CyberArk) הועסקו אשתקד 644 איש, 272 מתוכם בישראל, ורק 176 מהעובדים בישראל הם אנשי מחקר ופיתוח. אנחנו סופרים את כל ה-272".

אתוסיה (ראו טבלאות) מחלקת את תפקידי המו"פ בנישת אבטחת סייבר לשלוש קטגוריות: מפתחי תוכנה, חוקרי אבטחת מידע ואלגוריתמאים. הגידול בביקוש לחוקרי אבטחת מידע היה הגבוה ביותר בין השלוש בין 2014-2015, 28%, לעומת 22% במקרה של מפתחי תוכנה. "בגדול, אלגוריתמאי הוא זה שמפתח רעיון תיאורטי, מפתח התוכנה הוא זה שהופך אותו למוצר וחוקר אבטחת מידע הוא זה שבודק איזו בעיה קיימת יכול לפתור אותו מוצר ו/או לאיזו תעשייה הוא יכול להתאים", אומר סולומון.

"לכן, מפתחי תוכנה בתעשייה הזאת אינם בהכרח עבדו בעברם בחברות אבטחת סייבר, ואלו לא מתעקשות שיבואו עם ניסיון בתחום. לעומתם, חוקרי אבטחת מידע הרבה יותר מוטים לתעשיית אבטחת סייבר, מספרם נמוך יותר ולכן הביקוש להם גדל אשתקד בקצב גבוה יותר". לדבריו, "הביקוש לאנשי אבטחת סייבר נמצא כעת בשיאו".

שיא נוסף נרשם גם ברמות השכר של תעשיית אבטחת הסייבר בישראל, אך כאמור זו מגמה דומה לתעשיית ההיי-טק בכלל. לפי אתוסיה, מפתח תוכנה בעל ותק של 3-5 שנים מקבל שכר של 28-30 אלף שקל בחודש ברוטו; חוקר אבטחת מידע בעל אותו ותק יקבל 17-25 אלף שקל ואילו אלגוריתמאי יקבל 23-26 אלף שקל. במילים אחרות, למרות שהביקוש לחוקרי אבטחת מידע גדל אשתקד בקצב גבוה יותר משל מפתחי תוכנה, השכר של האחרונים גבוה יותר כי כנראה שהתפקיד שלהם בשרשרת הייצור של התעשייה חשוב יותר. פערי שכר אלו, מטבע הדברים, באים לידי ביטוי בדרג הניהולי כמו בדרג המקצועי: מפתח תוכנה בדרג ניהולי בעל ותק של 4-6 שנים יקבל שכר של 40-42 אלף שקל לעומת 35-40 אלף שקל במקרה של חוקר אבטחת מידע ו-33-36 אלף שקל במקרה של אלגוריתמאי.

לדברי סולומון, ההבדל בין רמות השכר בחברות גדולות לבין הרמות המקובלות בסטארט-אפים אינו מהותי. "אלו פחות או יותר אותן עלויות שכר, אך בסטארט-אפים למרכיב ההוני יהיה משקל גבוה יותר, ולכן השכר ברוטו יהיה נמוך יותר מהמקובל בחברות גדולות".

והנה ההוכחה, לפחות לפי אתוסיה, שהשכר במגזר אבטחת סייבר אינו בהכרח גבוה יותר מבשאר תעשיית ההיי-טק המקומית: עובד אבטחת סייבר בדרגת מתמחה יקבל 13 אלף שקל בחודש לעומת 14 אלף שקל בכלל מגזר ההיי-טק; עובד בדרגת מנוסה יקבל 22 אלף שקל לעומת 21 אלף שקל, ואילו עובד בדרגת בכיר יקבל 26 אלף שקל לעומת 25 אלף שקל בכלל ההיי-טק.

הכשרה (1): "לא רק סוגיה טכנולוגית"

לפי אתוסיה, 8% מאנשי המו"פ בתעשיית אבטחת הסייבר הם חסרי השכלה אקדמית, כלומר הם אוטודידקטים או יוצאי יחידות מודיעין - שיעור די דומה לממוצע של תעשיית ההיי-טק בכללותה, אך רוב המומחים שדיברנו איתם מודים שלהבדיל ממגזרים אחרים בהיי-טק, אבטחת סייבר היא תחום שקשה ללמד וקשה להכשיר אליו כיוון שהוא מגוון מאוד מבחינה טכנולוגית והוא רלוונטי לכל תעשייה באשר היא ונוגע למגוון תחומים כמו ניהול, משפט, חברה ועוד.

"צריך להבחין בין השכלה אקדמית לבין הכשרה מקצועית, במיוחד כשמדובר באבטחת סייבר", אומר יצחק בן ישראל, פרופסור מן המניין וראש סדנת יובל נאמן למדע, טכנולוגיה וביטחון וראש מטה מרכז הסייבר באוניברסיטת תל אביב. בן ישראל, אלוף במיל', משמש במקביל כיו"ר סוכנות החלל הישראלית וכיו"ר המועצה הלאומית למו"פ במשרד המדע והטכנולוגיה. "לא רק בישראל, תפקידה של האקדמיה בתעשיית אבטחת הסייבר הוא לעשות מחקר, וזה אומר תואר שני ושלישי.

"סטודנטים לתואר שני ושלישי הם למעשה חוקרים. הם ממציאים כל מיני פתרונות לכל מיני בעיות, ובשלב מאוחר יותר, כל עוד זה מנוהל נכון, התעשייה - וזה לא כל כך פשוט - עשויה להפוך פתרון למוצר מסחרי. כשמדובר בתואר ראשון, למיטב ידיעתי, אוניברסיטת תל אביב היא היחידה בעולם שמאפשרת לעשות התמחות באבטחת סייבר בכל פקולטה, אולי למעט אומנויות, שלא מצאנו איך לחבר את הפקולטה הזאת לתחום. לדוגמה, סטודנט שלמד משפטים, בתעודה שלו ייכתב 'תואר ראשון במשפטים במסלול סייבר'. עד כה יצאו לדרך 2 מחזורים של התוכנית הזאת".

לדברי בן ישראל קשה לבנות תוכנית לימודים לתואר ראשון שכל כולה אבטחת סייבר. "אבטחת סייבר זו לא רק סוגיה טכנולוגית. כשבודקים למה האקר פורץ למחשבים של בנק ואיך צריך להגן עליהם, או למה פורצים למחשבים של צה"ל ואיך צריך להגן עליהם - טכנולוגיה היא רק מרכיב אחד מתוך מכלול של מרכיבים. טכנולוגיה אפשר ללמוד במסגרת תואר ראשון במדעי המחשב, אך תואר כזה לא הופך אותך למאבטח סייבר. אם אתה לא תבין את מגבלות החוק, את הבעיות העסקיות, את הפסיכולוגיה האנושית ואת ההשלכות החברתיות וכדומה, אז בחיים לא תוכל לעסוק באבטחת סייבר. במקרה הטוב, תוכל להיות טכנאי ואני לא ממעיט בערכו של מקצוע כזה.

"אבטחת סייבר היא מקצוע אינטרדיסציפלינרי במהותו. אי אפשר ללמד אותו בפקולטה אחת ויחידה. אפשר ליצור תואר כזה רק אם מבינים שהוא צריך להיות אינטרדיסציפלינרי, ולכן זה דורש מאמץ כלל אוניברסיטאי. קחי לדוגמה את הדלפת המידע מ-NSA על תוכניות המעקב של הסוכנות על ידי אדוארד סנודן. הבעיה במקרה הזה לא הייתה במדעי המחשב או בהנדסה אלא בעיה שנוצרה מההתנגשות בין העבודה של אנשי מדעי המחשב לבין הערך של פרטיות וזכויות הפרט. מי שלא יבין את זה, בחיים לא יוכל לעשות אבטחת סייבר יעילה".

- מטה הסייבר הלאומי הכפוף למשרד ראש הממשלה מפעיל תוכניות ללימודי אבטחת סייבר מכיתה י', גיל 16. עד כמה זה אפקטיבי בעינייך?

"גיל 16 יכול להיות מאוחר מדי! בני הנוער של היום חיים בעולם שבו הם משתפים מידע אונליין כל הזמן, ולראיה תופעות שליליות כמו שיימינג. זה עולם שבו אם לא נלמד ילדים איך לשמור על הפרטיות שלהם ולמה אפשר לפרוץ ולמה לא - ממש כמו שאנחנו מלמדים אותם איך לחצות את הכביש - אז הם ייפגעו. זו אבטחת סייבר במלוא מובן המילה, כי כל מידע שמועלה לרשת צריך להיות מאובטח".

- אז להבין אבטחת סייבר זה קודם כול להבין אנשים ולא בהכרח טכנולוגיה?

"נכון. המרכיב האנושי בהבנת אבטחת סייבר הוא לא פחות מהותי מהמרכיב הטכנולוגי".

הכשרה (2): "הפתרון לא יבוא מהאקדמיה"

ככל שעובר הזמן, וכפועל יוצא מהביקוש הגדל למומחי אבטחת סייבר, גדל בישראל מספר המכללות שמציעות הכשרה מקצועית בתחום. מכללת ג'ון ברייס היא אחת משתי המכללות המובילות (השנייה היא מכללת See Security). גיל רוזנברג, חוקר ויועץ אבטחת מידע וסייבר, והמנהל האקדמי של קורסי הכשרת מומחי אבטחת מידע וסייבר בג'ון ברייס, מספר כי המחלקה שבראשה הוא עומד יצאה לדרכה בתחילת 2012 לאחר שהחברה זיהתה את הביקוש הגדל לעובדים בתחום.

"הבנו שיש פער מאוד גדול בין מה שאנשים יודעים לעשות לבין הצורך של ארגונים להגן על מערכות המידע שלהם. במקרה שלנו, חווינו בעיקר דרישה שבאה מלמטה, כלומר מסטודנטים שראו מודעות דרושים לעבודה בתחום או מאנשים שכבר עבדו בחברה מסוימת והרגישו כי חסר להם ידע בתחום".

ג'ון ברייס מריצה בימים אלו את המחזור העשירי שלה במסלול הכשרה זה, ורוזנברג מבהיר כי "לא מדובר בתחליף להשכלה אקדמית. יש הבדל בין השכלה אקדמית לבין מה שג'ון ברייס עושה, ואני רואה בזה משהו משלים להשכלה אקדמית ולא מתחרה. בעיניי, האוניברסיטאות יודעות לתת הרבה כלים כלליים וידע תיאורטי אך הרבה יותר קשה להן - ולא רק בישראל - לספק ידע מעשי. זה דורש מהסגל האקדמי להיות יותר מחובר לעשייה בשוק, ובדרך כלל זה לא כך. לכן, כשאני מציג את מסלול ההכשרה שלנו לאנשים, אני אומר שמדובר ב-95% פרקטיקה ורק 5% תיאוריה, ואני מקבל למסלול אנשים שהם יחסית מבושלים, כלומר עברו איזשהו מהלך מקצועי בתחום הטכנולוגי".

- מאמצי האקדמיה בישראל להכשרה בתחום לא יניבו פירות?

"לדעתי, הפתרון לבעיה לא יגיע מהאקדמיה. אני מצטער להיות קטגורי והלוואי שיתברר שאני טועה. לגופים גדולים כמו אוניברסיטאות לוקח הרבה זמן לזוז, יותר מאשר לגופים קטנים ופרטיים. הבשורה תגיע מהשוק הפרטי ולא מהחינוך הציבורי".

- ומה לגבי הכשרה כבר מכיתה י'?

"אני מודע לניסיונות האלו אך בעיניי בתחום אבטחת סייבר, עקומת הלמידה היא מאוד קשה, ולקחת ילדים שעוד אין להם רקע טכנולוגי אמיתי, והם עדיין לא עשו משהו בתחום המקצועי, זה מאוד קשה. זה לדחוף אותם מוקדם מדי לתעשייה שהם לא ממש מכירים. אני כן חושב שעבודה תשתיתית טובה זה להכניס לתיכונים כמה שיותר לימודי תקשורת מחשבים, לינוקס, תכנות וכדומה כהכנה לקראת לימודי אבטחת סייבר. למזלנו, נקודת האור בתעשייה הזאת היא מרוץ החימוש של מדינות, ובמקרה שלנו - צה"ל".

לדברי רוזנברג, פרופיל האנשים שנרשמים למסלול הכשרה כמו זה של ג'ון ברייס הוא אחד מתוך שלושה: אנשים שכבר עוסקים באבטחת מידע/סייבר אך לא מכירים טכניקות תקיפה והגנה מודרניות; יוצאי צבא שיש להם משיכה טבעית לאבטחה/פריצה והם מגיעים כדי לרכוש מקצוע בפעם הראשונה; ואנשים שרוצים לעשות הסבה מקצועית מניהול רשתות תקשורת למשל ומרגיש שהוא מיצה את התחום. "לפעמים אני מקבל אנשים בני 40-45 שיש להם הרבה ידע ורקע מקצועי אבל הם לא באמת מבינים מהי אבטחת סייבר", אומר רוזנברג. בהקשר זה נציין שלפי הבדיקה של אתוסיה, הגיל הממוצע של עובד בתעשיית אבטחת הסייבר הישראלית הוא 38.

"לא קל לקחת אדם שעסק באבטחת מידע בשנות ה-90 ולהגיד לו לעשות אבטחת סייבר. זה בן אדם שברוב המקרים אין לו כישורים ללמוד את זה לבד. בעשור האחרון התרחש כאן שבר מקצועי מאוד גדול כי לאנשים כאלו אין מענה לאיומי סייבר. הם בכלל לא מכירים את הטריטוריה הזאת".

- לא הלכת רחוק מדי? אבטחת סייבר היא עדיין נישה באבטחת מידע.

"אולי הלכתי רחוק מדי, אך תפיסת העולם שלי היא די רדיקלית ואני עומד מאחוריה: אנשים שעסקו באבטחת מידע בשנות ה-90 וה-2000 למדו טכניקות והתרגלו לכלים שהיום אינם רלוונטיים. המקצוע של אבטחת מידע עבר אבולוציה משמעותית ואבטחת סייבר זה מקצוע די חדש. הפרופיל של מי שעוסק בו עכשיו שונה מהפרופיל של מי שעסק באבטחת מידע לפני עשור ויותר".

- אז זו בעיה או הזדמנות?

"בעיה היא הזדמנות. המקומות שבהם נחשפות בעיות גדולות הם המקומות שבהם חלים שינויים משמעותיים ומתפתחות תעשיות גדולות".

לדברי רוזנברג, הביקוש למסלול ההכשרה שהוא מציע גבוה מכפי שג'ון ברייס מסוגלת לספק. "אנחנו מקבלים בממוצע שליש מהנרשמים", הוא אומר. "יש מעט מאוד אנשים בתעשייה שיכולים ללמד, שהם ממש 'חגורה שחורה' בתחום הזה, וזה בד"כ אנשים שיש להם פרנסה טובה והם לא צריכים ללמד כדי להתפרנס. לא פשוט לשכנע אנשים כאלו ללמד במשרה מלאה".

עוד אומר רוזנברג כי "נדיר שמישהו הוא גם מורה טוב וגם האקר או מאבטח סייבר טוב. אלו שתי יכולות שונות. אני פגשתי האקרים/מאבטחי סייבר טובים שהם מורים גרועים ומורים מצוינים שהם האקרים/מאבטחי סייבר גרועים".

לבסוף אומר רוזנברג שאין אדם שיכול להעיד על עצמו שהוא גורו באבטחת סייבר. "יש כל כך הרבה טכנולוגיות, מוצרים ואפליקציות שכדי להכיר אותם ממש טוב צריך ללמוד במשך חיים שלמים", הוא אומר, "ואני אומר לתלמידים שלי: 'שאף אחד מכם לא יחשוב שהוא ייצא מכאן ויהיה האקר או מאבטח סייבר הכי טוב שיש'".

"יש תחרות מאוד גדולה על אנשי מחקר ופיתוח, והביקוש עולה על ההיצע"

כדי להמחיש קצת יותר כיצד נראה שוק התעסוקה של מאבטחי סייבר בישראל, פנינו לרותי שקד, סמנכ"ל משאבי אנוש בחברת סייברארק (CyberArk), שאחרי צ'ק פוינט היא חברת אבטחת הסייבר השנייה בגודלה בישראל. 11 שנה לאחר שהציגה לראשונה את פתרון אבטחת המידע שלה, שווייה עומד על 1.3 מיליארד דולר. צ'ק פוינט חיה ובועטת 23 שנה, ולכן בחרנו להתמקד בסייברארק שגדלה בקצב מהיר יותר.

החברה, נזכיר, מתמחה בהגנה על מידע ארגוני מתוך הארגון עצמו על ידי ניהול וניטור חשבונות מועדפים (Privileged Accounts), חשבונות בעלי הרשאות גבוהות שמאפשרות גישה למידע רגיש. המטרה היא למנוע הדלפת מידע אל מחוץ לארגון.

לפי הדוח השנתי האחרון שלה, סייברארק מעסיקה 644 איש, וכל פעילות המחקר והפיתוח שלה, זו שדורשת מומחי אבטחת סייבר, בעיקר מפתחי תוכנה וכותבי קוד, נמצאת בארץ וכוללת 176 איש, עלייה של 85% לעומת 2013. שיעור העלייה במחלקה זו נמוך מביתר המחלקות (למשל מכירות ושיווק), וייתכן שהסיבה לכך היא ההיצע הנמוך של מפתחי תוכנות לאבטחת סייבר בארץ. "כן, יש תחרות מאוד גדולה על אנשי מחקר ופיתוח, והביקוש אכן עולה על ההיצע", מעידה שקד.

"מאחר שאנחנו חברה שצומחת, יש אצלנו כל הזמן משרות פתוחות ולמרות התחרות, אנחנו כן מצליחים לגייס לשורותינו עובדים איכותיים", אומרת שקד. לדבריה, למרות ההיצע הנמוך של עובדי מחקר ופיתוח, החברה אינה ממהרת להעסיק כל מועמד שמגיע אליה. "חשובה ההתאמה האישית. המועמד קודם כל עובר ראיון במחלקת משאבי אנוש, וזה נדיר. ברוב החברות, הריאיון הראשוני הוא אצל מנהל הפיתוח ורק אחר כך הוא מבקש ממחלקת משאבי אנוש להנפיק לו הצעת עבודה. אנחנו מחפשים אנשים שמתאימים לתרבות הארגונית הייחודית שלנו", היא אומרת.

- קורה שמגיע מועמד שאין לו הכשרה מתאימה, אך הוא נמצא מתאים מהבחינה האישית, ואז הוא עובר הכשרה פנימית?

"כן, בוודאי. ברגע שנחליט שיש בינו לבין החברה התאמה אישית, ויש לו פוטנציאל ללמוד, סביר להניח שנגייס אותו ונכשיר אותו אצלנו. למעשה, כל אחד שמתחיל לעבוד אצלנו צריך לעבור הכשרה על הפתרונות שלנו".

- מהי שיטת הגיוס הכי דומיננטית בחברה?

"'חבר מביא חבר'. 30%-40% מעובדי החברה בארץ הגיעו בדרך זו, והרבה הגיעו היישר מהשירות הצבאי. בדרך כלל, בשיטה הזו משרות פתוחות נסגרות די מהר כי כל עובד שמתגייס למאמץ מביא מישהו שנוח לו באופן אישי לעבוד איתו, וכך גם הוא מרוויח מהמאמץ הזה. כמו כן, וכפי שמקובל בתעשיית ההיי-טק כולה, עובד שמסייע לגייס עובד חדש בשיטה זו, מקבל פרס כלשהו - שניתן לו אחרי 90 ימי עבודה של העובד החדש - כמו חופשה פרטית בחו"ל, בונוס כספי וכדומה. שיטות גיוס אחרות הן באמצעות הרשת החברתית לינקדאין וחברות השמה".

שקד מסרבת להסגיר את רמות השכר המקובלות בחברה ורק אומרת שהן עולות בדומה לעליית השכר בהיי-טק כולו. "אבל אני רואה יותר ויותר מועמדים שהשכר ברוטו אינו הפרמטר החשוב ביותר בעיניהם. מלבדו, חשוב להם אתגרים מקצועיים, חדשנות טכנולוגית, איזון בין חיי משפחה לעבודה, אפשרויות קידום, תרבות ארגונית מיוחדת ועוד. כבר קרה לנו בעבר שגייסנו מישהו שקיבל הצעת שכר גבוהה יותר בחברה אחרת, והוא בחר בנו".

- באחרונה, משרד ראש הממשלה הודיע שינסה לקדם תוכנית לייבוא מהנדסי תוכנה לארץ. מה דעתך?

"אני לא בעד פתרון כזה. יש כאן בארץ מספיק אוכלוסיות - כמו החרדים והערבים - שאפשר להכשיר אותן לתחומי ההיי-טק. כל עוד יהיו בארץ מספיק מסלולי הכשרה, אין לי ספק שכל הכיסאות בכל מוסדות ההוראה למיניהם יתמלאו עד אפס מקום. יש בארץ מספיק אנשים מוכשרים, לא צריך לרוץ לחו"ל".

 

נתוני שכר
 נתוני שכר

שוק התעסוקה של עובדי אבטחת סייבר בארהב
 שוק התעסוקה של עובדי אבטחת סייבר בארהב

 

שוק אבטחת הסייבר הישראלי: ההון האנושי
 שוק אבטחת הסייבר הישראלי: ההון האנושי