Риск рождает предложение
Как ИБ-отрасль работала с дефицитом кадров в этом году
Число вакансий в сфере информационной безопасности (ИБ) в январе—октябре выросло год к году на 16%, до 23 тыс., подсчитали в HeadHunter. Участники рынка связывают дефицит профильных специалистов с ростом числа угроз на фоне цифровизации, а также ужесточением регулирования ИБ. Review разобрался, как дальше будет развиваться ситуация с кадровым вопросом, как компании взаимодействуют с государством для решения этой проблемы, какие программы предлагают для начинающих специалистов.
Фото: Предоставлено пресс-службой ГК «Солар»
Фото: Предоставлено пресс-службой ГК «Солар»
Review ознакомился с данными HeadHunter (владеет одноименным сервисом по подбору персонала) о ситуации с кадрами в сфере информационной безопасности в январе—октябре. Из них следует, что число вакансий за период увеличилось год к году на 16%, до 23 тыс. В целом на рынке сохраняется кадровая проблема, как и в IT-отрасли в целом, считают опрошенные участники отрасли. Так, к 2027 году дефицит кадров в ИБ достигнет 60 тыс. человек, сообщал в июне Forbes.
Кадр ребром
Причину сохранения дефицита специалистов в отрасли HR-директор ГК «Солар» Елена Дзагоева связывает с увеличением числа угроз, динамичным ростом цифровизации, развитием технологий. Так, в первом полугодии доля высококритичных инцидентов выросла год к году с 2% до 7%, следует из отчета центра противодействия кибератакам Solar JSOC (см. “Ъ” от 24 июля). Отмечают в компании и нехватку образовательных учреждений, выпускающих отраслевых специалистов. Некоторые организации привлекают сотрудников из других IT-областей, например разработки или администрирования, и обучают их специфике ИБ, уточняет госпожа Дзагоева: «Но это не всегда бывает возможно».
По разным оценкам, от 64% до 81,5% компаний имеют неукомплектованный штат экспертов по ИБ, говорит вице-президент по стратегии и инновациям МТС Евгений Черешнев. В числе причин нехватки специалистов он называет открытие профильных вакансий в компаниях, ранее не занимавшихся ИБ, из-за смены фокуса атак: «Современный злоумышленник теперь необязательно преследует цель получить финансовую выгоду. Зачастую ему нужно просто нанести убыток экономике РФ».
Сказывается и политика государства по ужесточению ответственности компаний за утечку данных и в целом все более жесткое регулирование сферы кибербезопасности, считает господин Черешнев. Это стимулирует компании наращивать штаты ИБ-специалистов и чаще обращаться за услугами к профильным вендорам, объясняет топ-менеджер.
В начале декабря в Госдуму были внесены два законопроекта, ужесточающих порядок работы с персональными данными. Первый вносит поправки в КоАП и устанавливает оборотные штрафы за утечку персональных данных. Второй вводит уголовную ответственность за незаконное хранение и распространение персональных данных и вносит поправки в УК РФ. В январе оба законопроекта прошли первое чтение и сейчас находятся в процессе доработки ко второму. Параллельно, согласно указу президента РФ от 30 марта 2022 года, госорганам и субъектам КИИ с 2025 года запрещается использовать зарубежный софт, а с 2026-го — в том числе в составе программно-аппаратных комплексов. А по указу от 1 мая 2022-го с 2025 года госорганам и госкомпаниям запрещено использовать средства защиты из «недружественных» стран.
Самый логичный путь в решении задачи с дефицитом сотрудников — формирование внутреннего кадрового потенциала, считают в «Соларе». «Это работа с начинающими специалистами, развитие штатных сотрудников, повышение их квалификации и навыков,— уточняет Елена Дзагоева.— Такая стратегия не только будет работать на сокращение разрыва между спросом и предложением, но и на удержание талантов». Сейчас на перегретом рынке работодателям невозможно конкурировать исключительно за счет финансовой мотивации, объясняет она. В результате перспектива профессионального роста и работа в масштабных проектах становятся для сотрудников преимуществом, заверяет эксперт.
Мастера на все науки
Ситуация осложняется ростом зарплатных ожиданий специалистов, которые не всегда соответствуют уровню их подготовки, считают опрошенные Review участники ИБ-рынка. Выпускников стало больше, но средний выпускник имеет низкую квалификацию, поскольку академические знания не равны практическим, соглашается Евгений Черешнев: «Необходимо продолжать обучать специалистов на местах работы, важны тренинги, симуляции атак и учебные программы». По данным «Лаборатории Касперского», более трети (36%) респондентов в мире, работающих в сфере кибербезопасности, не уверены в эффективности своего высшего образования для работы и продолжают обучение, чтобы развивать навыки в условиях постоянно меняющегося ландшафта угроз.
Для решения проблемы дефицита кадров проводится массовое обучение и повышение квалификации, говорит директор департамента расследований T.Hunter, эксперт рынка НТИ SafeNet («Сейфнет») Игорь Бедеров: «Мы наблюдаем множество предложений о бесплатных курсах по IT от ведущих онлайн-школ, финансируемых государством. Также активно привлекаются студенты профильных вузов для работы на неполный рабочий день и нанимаются иностранные специалисты». Он добавил, что государство также активно поддерживает данную отрасль, вводя различные стимулы. К ним относятся отсрочка от мобилизации, льготные ипотечные кредиты, гранты и налоговые льготы.
Параллельно Минцифры прорабатывает введение новых обязательных критериев для крупных IT-компаний по поддержке вузов, которые будут необходимы для сохранения аккредитации, в том числе дает налоговые льготы (см. “Ъ” от 20 ноября). Сейчас для оценки финансовых затрат министерство собирает с вузов информацию о средней стоимости обучения по отдельным частям программ обучения.
Некоторые из ИБ-вендоров начали взаимодействие с вузами еще до того, как стала очевидна проблема кадрового дефицита. Так, например, ГК «Солар» с 2016 года проводит стажировки в центре противодействия кибератакам Solar JSOC, «закрывая острую потребность в инженерах», говорит госпожа Дзагоева. В последнем потоке более 1 тыс. человек прошли входное тестирование и приступили к обучению: «Из них около 50 человек получили и приняли предложение о работе в компании». В 2023 году «Солар» открыл первый на юге России опорный центр Киберполигона в Донском государственном техническом университете. Киберполигон предназначен для оценки уровня подготовки студентов, экспертов и специалистов в области информационной безопасности, а также развития навыков, необходимых для отражения кибератак и восстановления систем.
В рамках Всероссийского антикоррупционного форума проводилась «Киберолимпиада» для студентов, участниками которой стали студенты 18 вузов и колледжей страны. В ходе «Киберолимпиады» участники тестировали свои навыки в условиях импровизированной информационной внешней атаки на электронные ресурсы и постарались отразить их с помощью передовых инструментов.
В этом году ряд лидеров ИБ-рынка объединил усилия в рамках мероприятия «Кибербез-ликбез». Серия лекций в вузах открыла «Неделю кибербезопасности». Представители вендоров поделились опытом и реальными историями с теми, кто выбрал кибербез в качестве будущей профессии, а также со студентами других специальностей. Эксперты и студенты обсудили технологии: DCAP, DLP, SSL, VPN, киберразведку, киберугрозы, а также построение процессов ИБ в компании и, конечно, карьерные перспективы в этой области. Проект поддержали ГК «Солар», UserGate, «Лаборатория Касперского», Positive Technologies, Единый ЦУПИС, Makves и Музей криптографии. Лекции прошли в МГТУ имени Баумана, РТУ МИРЭА, НИТУ МИСИС и РЭУ имени Плеханова. Всего лекции прослушали более 500 студентов
Программы в сфере информатики и вычислительной техники, информационной безопасности освоили 43,5 тыс. человек, следует из данных Института статистических исследований и экономики знаний НИУ ВШЭ за прошлый год. Сейчас получить профильное образование в области ИБ можно более чем в 50 университетах в 42 городах. Ключевые — Национальный исследовательский университет «Московский институт электронной техники», Государственный университет «Московский физико-технический институт», Национальный исследовательский ядерный университет МИФИ, Национальный исследовательский университет «Высшая школа экономики» (НИУ ВШЭ), Финансовый университет при правительстве РФ.
Кадровое обеспечение
«Солар» развивает компетенции не только начинающих, но и опытных ИБ-специалистов в рамках программы Cyberstage, где индустриальные предприниматели могут получить рекомендации по развитию продукта или поддержку по необходимым компетенциям от опытных директоров по информационной безопасности. «Ежегодные соревнования, такие как Международный киберчемпионат по ИБ и "Кибербитва" на SOC Forum, тоже наш вклад в повышение практических навыков ИБ-специалистов»,— поясняет Елена Дзагоева.
В долгосрочной перспективе в кибербезопасности будет наблюдаться существенный дефицит специалистов — спрос будет превышать предложение на 45%, говорит Евгений Черешнев, ссылаясь на прогноз центра макроэкономического анализа и краткосрочного прогнозирования (опубликован в июне). Сам топ-менеджер считает, что Минцифры прилагает большие усилия для решения кадрового вопроса в IT: «Речь идет не только о росте числа бюджетных мест в вузах и разных мерах поддержки IT-специалистов, но и о профильных курсах для школьников». Так, дефицит будет «мягко преодолеваться» за счет притока новых кадров и автоматизации процессов, резюмирует топ-менеджер.
Скорее всего, до 2030 года проблему нехватки кадров в сфере ИБ полностью решить не удастся, особенно если говорить о квалифицированных специалистах, не соглашается Игорь Бедеров: «Ситуацию частично смягчат развитие образовательных программ, автоматизация и стандартизация процессов в сфере информационной безопасности, а также сотрудничество с дружественными странами».