Кибербез в России: есть ли дефицит ИБ-специалистов и как с ним борются российские компании
Кибербез в России: есть ли дефицит ИБ-специалистов и как с ним борются российские компании

Кибербез в России: есть ли дефицит ИБ-специалистов и как с ним борются российские компании

17 июня, 20225 минут на чтение
Подписывайтесь на [Код // Дурова] в Telegram[Код // Дурова] в Telegram

В 2022 году российские компании и госучреждения столкнулись со значительным ростом кибератак. Сложившаяся ситуация существенно усилила спрос на и без того дефицитные кадры — специалистов по информационной безопасности.

Узнать о вакансиях в билайн

Кроме того, 1 мая президент России Владимир Путин подписал указ «О дополнительных мерах по обеспечению информационной безопасности РФ», который подразумевает как запрет на использование средств защиты из недружественных стран, так и создание целых подразделений по обеспечению информационной безопасности:

  • в госведомствах и госучреждениях федерального и регионального уровней;
  • в госкорпорациях и госкомпаниях;
  • на стратегических и системообразующих предприятиях и объектах критической инфраструктуры.

На внесение этих изменений отведено полтора года — ИБ-подразделения на всех перечисленных объектах должны появиться уже к 1 января 2025 года.

Это значит, что в активную конкуренцию за «безопасников» включается ещё и государство, поэтому дефицит квалифицированных специалистов будет только расти.

Мы пообщались с двумя российскими компаниями: билайном — одним из крупнейших российских телеком-операторов, а также «Лабораторией Касперского», которая профильно заниматься вопросами кибербеза. И в итоге выяснили, в какой точке сейчас находится отечественный кибербез и что делают крупные игроки для утоления кадрового голода в этой сфере.

Действительно ли в России мало ИБ-специалистов?

На самом деле ИБ-специалистов немало, однако есть проблема с тем, что достаточно большое количество специалистов имеют начальный уровень подготовки, отмечает вице-президент по безопасности билайна Андрей Евдокимов.

При этом не все компании, по словам эксперта, готовы вкладываться в наращивание экспертизы сотрудников, так как, с одной стороны, это дорого, с другой стороны, всегда есть риск, что потом они могут уйти в другую компанию.

Особо остро ощущается нехватка не менеджеров, а технических инженеров, архитекторов, то есть людей, которые могут самостоятельно внедрять и настраивать системы, разрабатывать архитектуру решений, отмечает Евдокимов.

Хороший менеджер проектов знает техническую часть, а хороший руководитель знает технический бэкграунд. Но очень сложно найти инженеров — тех, кто обслуживает технику, внедряет её, работает в  security operations center, то есть отвечает за мониторинг инцидентов и реагирование на них, ищет и устраняет уязвимости, создает системы информационной безопасности для новых и существующих бизнес-систем  — добавил эксперт.

В «Лаборатории Касперского» также заявили, что больше всего на рынке ощущается нехватка специалистов экспертного уровня. К тому же в целом мало специалистов в сфере исследований в области ИБ или, например, вирусного анализа, добавил руководитель центра HR-экспертизы «Лаборатории Касперского» Кирилл Ширяев.

По его словам, запрос на таланты в ИБ растет в геометрической прогрессии, так как IT развивается всё быстрее:

Сегодня, пожалуй, нет ни одной сферы, которая бы не была завязана на технологиях: практически у любого сервиса есть мобильные и веб-приложения, предприятия, включая промышленность, вкладываются в цифровизацию, и не только. Но вместе с эффективностью этот процесс сопровождается и ростом количества рисков, киберинцидентов, — пояснил Ширяев.

По мнению Евдокимова, российские ВУЗы обеспечивают довольно большое количество специалистов среднего и ниже среднего уровня, однако им нужен наставник — сильный эксперт, руководитель. В связи с майским указом президента спрос на руководителей будет ещё больше расти, и ещё больше организаций, у которых ранее не было ИБ-подразделений, будут испытывать кадровый голод, отмечает эксперт.

При этом, даже если эти организации планируют отдать ИБ на аутсорс компаниями-интеграторам, им всё равно понадобятся собственные компетентные специалисты для грамотного контроля и внедрения сервисов безопасности, причём не только руководители, но и «технари», — отметил Евдокимов.

Ещё больший дефицит наблюдается в узких специализациях, которые не всем компаниям нужны на постоянной основе (это зависит от размеров компании и потребностей). Таких специалистов в России в принципе всегда было мало. Например, это computer forensics — эксперты, которые могут проводить расследования сложных кибератак. По данным Евдокимова, таких специалистов 50-100 человек на всю страну. И одна из главных проблем заключается в том, что они периодически уезжают работать на зарубежные компании. Это приводит к тому, что такие позиции в организациях закрываются «по году, по два», говорит эксперт.

Чтобы такую экспертизу вырастить внутри, людям необходимо года три заниматься подобными задачами: пропускать тонны информации, реверсить код, выискивать мельчайшие бэкдоры, закладки. Это достаточно специфические навыки и немногие способны такую работу выдерживать, — пояснил вице-президент билайна.

В чём отличие «безопасника» от простого «айтишника»?

Информационная безопасность, в какой-то мере, это даже не о работе с техникой, а о работе с людьми, считает Евдокимов:

Например, когда компания ограничивает доступ к какому-нибудь сайту или соцсети для своих сотрудников. С одной стороны, для безопасника становится меньше возможных утечек, а с другой — люди начинают искать способы обходить эти блокировки. Соответственно, необходимо заранее смотреть, куда люди могут пойти, чтобы обойти эти блокировки. Необходимо предугадывать поведение пользователей.

По словам эксперта, ключевое отличие IT-специалиста от ИБ-специалиста в том, что «айтишник» следит за тем, чтобы система работала, отлавливает баги, а «безопасник» должен ставить себя на место хакера и думать о том, как система будет работать так, как она не должна и что будет, если.

Что же делать и как удержать ИБ-специалистов в России?

Евдокимов считает, что проблемы в кибербезопасности можно решить подготовкой различных экспертов, а не одинаковых кадров, например, на уровне обучения в ВУЗах подключать профильные компании, которые будут сертифицировать экспертов различного профиля. Поможет, по его мнению, и поддержка государства в этом направлении, например, выдача грантов на обучение.

В «Лаборатории Касперского» также затронули проблемы образовательной системы. По словам Кирилла Ширяева, она сама по себе не всегда успевает обеспечивать приток новых специалистов, чтобы полностью удовлетворить потребности рынка. Поэтому компания активно работает с университетами — её эксперты читают лекции и рассказывают про информационную безопасность в ведущих технических вузах.

Многие компании участвуют в процессе подготовки специалистов, интегрируя свои стажировки и курсы в процесс обучения в вузах, и в дальнейшем стараются предоставлять выпускникам рабочие места. В «Лаборатории Касперского» много сотрудников в области ИБ, которые присоединились к нам еще во время стажировки, и перешли в штат после ее окончания, — рассказал Ширяев.

Он пояснил, что ВУЗы дают хорошую теоретическую базу, а практические знания студенты, как правило, получают за рамками учебного процесса. В этом им могут помочь онлайн-платформы, участие в хакатонах и CTF, стажировки в компаниях.

В билайне таланты стараются взращивать внутри: проводятся профильные митапы для сотрудников, поддерживается конкурентный уровень зарплат. При этом Евдокимов отмечает, что экспертов держит не только зарплата, но и интересные задачи:

Поэтому мы проводим и «учения» и стресс-тесты, внедряем современные программы. Мы следим за благополучием сотрудников, и чтобы они не перегорали, не уставали от рутины, для них меняются задачи, предлагаются различные варианты развития внутри компании.

В «Лаборатории Касперского» также помимо финансовой мотивации предоставляют сотрудникам много интересных и разноплановых задач, обеспечивают и другие виды поддержки, например, гибкость в подходе к организации рабочих процессов, а также линии психологической, юридической поддержки и финансовое консультирование.

Похожая программа есть и в билайне — она называется BeeWinner. Это спортивные клубы, сообщества по интересам, финансовый ликбез, профессиональное развитие, ментальная поддержка и многое другое. Все события программы равномерно распределены в течение месяца, чтобы сотрудник мог свободно участвовать во всех мероприятиях, которые ему интересны, и планировать их заранее.

Меры поддержки ситуацию не спасут: что думают айтишники о положении дел в отрасли
Вот уже несколько месяцев тема нехватки IT-специалистов не уходит из информационной повестки. Цифры везде разнятся.
17 июня, 2022
Подписывайтесь на [Код // Дурова] в Telegram[Код // Дурова] в Telegram
Показать все

Выбор редакции