Nedostatek bezpečnostních specialistů. Proč nelze vyřešit bezpečnost jen dalším náborem?

Podle studie ISC2 z roku 2024 dosahuje globální deficit pracovníků v kybernetické bezpečnosti 4,8 milionu lidí. Zároveň 90 % respondentů uvádí, že jejich organizace pociťuje nedostatek bezpečnostních dovedností, a pro 64 % je právě nedostatek odborných schopností větším problémem než samotný počet zaměstnanců. 

Organizace po celém světě dnes hledají bezpečnostní specialisty rychleji, než je trh dokáže nabídnout. Podobná situace je i v Česku, kde podle dat organizace Czechitas dlouhodobě chybí desítky tisíc IT specialistů, přičemž největší deficit je právě v oblasti kybernetické bezpečnosti.

Současně ale roste objem provozu a množství útoků, které musí bezpečnostní týmy monitorovat a vyhodnocovat v reálném čase. Podle společnosti Cloudflare bylo v roce 2025 potřeba na její globální síti nějakým způsobem zmírnit rizika u přibližně 6 % veškerého internetového provozu.

Pro vedení firem z toho plyne nepříjemný závěr. Bezpečnost se dnes nedá stabilně posílit jen tím, že se přidají další směny, další pohotovosti a další lidé do SOC. Pokud je samotná architektura obrany závislá na ruční obsluze, počet lidí zvyšuje náklady rychleji než odolnost. 

To znamená:

⇢ že organizace reaguje na růst hrozeb lineárně, zatímco útočníci škálují automatizovaně a téměř okamžitě,

⇢ že onboarding nových specialistů naráží na to, že firmy hledají hlavně zkušené profily a méně budují vlastní juniorskou základnu,

⇢ že větší tým často znamená i více handoffů (předávání incidentu nebo úkolu mezi jednotlivými členy týmu či směnami), více schvalování a více čekání na rozhodnutí, ne automaticky rychlejší reakci,

⇢ a že při dnešní ceně specializovaných rolí se z bezpečnosti velmi rychle stává problém z hlediska nákladů i pro vedení společnosti, nejen pro IT. 

Když naberete víc lidí, bezpečnost se zvedne jen částečně

Představa, že bezpečnostní deficit vyřeší nábor, zní rozumně hlavně proto, že je snadno měřitelná. Otevře se pozice, přijde člověk, tým se rozšíří. Jenže bezpečnost není výrobní linka, kde lze výkon zvyšovat prostým přidáním kapacity. Nový specialista se musí orientovat v historicky vrstvených pravidlech, logice výjimek, schvalovacích procesech a vazbách mezi nástroji. A právě to bývá ve velkých organizacích často nejtěžší.

Problém je ale i v samotné architektuře bezpečnosti. Jakmile se obrana skládá z mnoha nástrojů, zařízení a dodavatelů, každý další člověk nepřidává jen odbornou kapacitu, ale i další vrstvu koordinace. Přibývají předávání mezi týmy, eskalace i manuální rozhodování, která zpomalují reakci na incidenty.

Do toho vstupuje ještě jedna zásadní asymetrie mezi útočníky a obránci. Útočníci si dnes mohou během minut pronajmout velké množství výpočetní kapacity ve veřejném cloudu a využít ji k automatizovaným aktivitám, jako je generování bot trafficu, scraping, DDoS útoky nebo credential stuffing. Podle dat společnosti Cloudflare pocházelo v roce 2025 přibližně 14,4 % pozorovaného bot trafficu z AWS, 9,7 % z Google Cloud a 5,5 % z Microsoft Azure. Téměř třetina automatizovaného provozu tak přicházela jen ze tří velkých cloudových platforem, kde lze infrastrukturu nasadit během několika minut. 

Nedostatek lidí je často důsledek manuální bezpečnostní architektury

Manuálně spravované zabezpečení v hybridní organizaci znamená, že se pravidla udržují po jednotlivých vrstvách a na různých místech infrastruktury, reakce na incident se skládá z prvotního vyhodnocení, eskalace a ruční změny konfigurace, seznamy škodlivých adres nebo geografických omezení se průběžně aktualizují a data o dění v síti se skládají z více zdrojů dohromady. Tradiční hardwarové firewally narážejí na kapacitní limity, organizace pořizují další zařízení, řeší jejich pravidelnou obměnu a přitom stále bojují s tím, aby bezpečnostní politiky zůstaly konzistentní.

Do toho vstupuje i přechod na cloud a hybridní provoz. Jakmile organizace provozuje aplikace v cloudu, na pobočkách i mimo tradiční datové centrum, roste počet míst, kde je potřeba uplatňovat bezpečnostní pravidla. 

Pokud každá změna nebo reakce na incident vyžaduje člověka, bezpečnost roste lineárně s počtem zaměstnanců. Útočníci a automatizovaný provoz ale rostou mnohem rychleji. Cloudflare například v roce 2025 zaznamenal i extrémně objemné DDoS útoky přesahující 1 Tbps, s vrcholy až 31,4 Tbps. To je realita, kterou nelze dlouhodobě zvládat ručně.

Co to znamená v praxi, i když máte CISO a SOC

Ve firemním prostředí se tyto potíže projeví jako pomalejší reakce, vyšší chybovost a rostoucí závislost na několika lidech, kteří rozumějí konkrétní konfiguraci. NIST ve své metodice incident response popisuje kontinuální cyklus detekce, analýzy a reakce; v reálném SOC to znamená triáž alertu, potvrzení incidentu, eskalaci a teprve pak zásah. Pokud je ochrana založená na ručně řízených změnách, je tento proces nevyhnutelně pomalejší než scénář, kdy se známé typy útoků mitigují automaticky. 

Rozpor mezi rychlostí útoku a rychlostí reakce dnes není teoretický. Splunk ve State of Security 2023 uvádí průměrnou dobu reakce na incident kolem 15,5 hodiny. CrowdStrike ve zprávě za rok 2024 naopak uvádí průměrný breakout time (neboli doba, během níž se útočník může po prolomení zabezpečení horizontálně pohybovat v síti) trvá 62 minut. 

Podle výzkumu Splunk 59 % bezpečnostních operačních týmů čelí příliš velkému množství bezpečnostních upozornění, 55 % příliš vysokému podílu falešných poplachů a 57 % ztrácí čas kvůli problémům s daty a nástroji. Výsledkem je, že i dobře obsazený tým může reagovat pomalu.

#4: Automatizace nesnižuje kvalitu. Snižuje závislost na lidech

Automatizace není náhrada expertizy, ale způsob, jak ji neplýtvat na rutinní provoz. Opakovatelné a časově citlivé scénáře má řešit systém, zatímco výjimky a složitější rozhodnutí zůstávají lidem. Pokud lze pravidla spravovat centrálně a změny se v cloudovém prostředí rozšíří napříč infrastrukturou během sekund, může se bezpečnostní tým soustředit na architekturu, dopad změn a analýzu nestandardních incidentů místo ruční správy jednotlivých zařízení.

Škálovatelný bezpečnostní provoz stojí na čtyřech principech:

• Průběžně aktualizovaná pravidla a znalost o hrozbách.
• Automatickou reakci na běžné scénáře.
• Centrální bezpečnostní politiku napříč prostředími.
• Dohledatelnou auditní stopu.

Na těchto principech dnes stojí moderní architektury SASE a Zero Trust: jednotná řídicí vrstva, přehled o provozu, záznamy o událostech a možnost automatizace, nikoli další vrstva ruční správy.

Jak to řeší Cloudflare

Cloudflare poskytuje model, ve kterém bezpečnostní pravidla vznikají centrálně v síti. Známé hrozby se promítají do spravovaných pravidel a průběžně aktualizovaných informací o hrozbách a opakovatelné reakce na incidenty probíhají automaticky. Pokud pravidla, záznamy o provozu a přehled o dění v síti fungují v jednom řídicím rámci, interní tým nemusí vykonávat tolik rutinní údržby a může se soustředit na výjimky, změny bezpečnostních politik a složitější rozhodnutí.

V prostředí, kde podle vlastních dat Cloudflare zpracovává přibližně 28 milionů požadavků HTTP za sekundu a denně blokuje 76 miliard kybernetických hrozeb, je ostatně zřejmé, že bez automatizace by takový objem provozu nebylo možné zvládat lidskou prací.

Automatická ochrana

Nedostatek bezpečnostních specialistů je reálný – sám o sobě ale nevysvětluje, proč některé organizace narážejí na limity rychleji než jiné. Rozhodující je, kolik práce v bezpečnosti vzniká jen proto, že architektura stále spoléhá na ruční zásahy, lokální konfigurace a nepřetržitý dohled. Udržitelnější model nespočívá v přidávání lidí, ale v tom, že rutinní ochrana běží automaticky a specialisté řeší to, co automatizovat nejde.

‍