Передел прочности: где найти ИБ-специалиста
В России отмечена нехватка специалистов, занимающихся информационной безопасностью, — о дефиците кадров заявили более половины опрошенных «СерчИнформ» и hh.ru фирм, в 2022 году проблема усугубилась. Почему это произошло и как с этим справляться — в материале «Известий».
Какова нехватка ИБ-специалистов
Согласно опросу, 37,8% компаний заявили, что специалисты информационной безопасности сейчас в дефиците, как и в 2020–2021 годах, а 17,9% говорят, что дефицит кадров только усилился. 34,1% компаний утверждают, что никогда не сталкивались со сложностями с наймом ИБ-специалистов, 6,6% считают, что кандидатов на рынке достаточно, а 3,6% респондентов заявили, что дефицит ИБ-специалистов даже ослаб.
На ситуацию, по мнению исследователей, повлиял растущий рост спроса на специалистов в связи с усилением киберрисков и подписанием указа президента России № 250, который посвящен кибербезопасности и касается как минимум полумиллиона компаний, по сути, обязывая их организовать выделенную ИБ-службу. В таких организациях, говорится в исследовании, дефицит кадров оказывается выше.
Среди компаний — субъектов критической информационной инфраструктуры (КИИ) недостаток ИБ-специалистов отметили 48% опрошенных, 24% указали на усиление дефицита. Только пятая часть опрошенных системообразующих предприятий и 15% субъектов КИИ заявили о наличии у них выделенной службы ИБ.
HeadHunter указывает, что на одну вакансию в сфере ИБ приходится меньше одного резюме, хотя комфортной считается ситуация, когда их насчитывается не меньше четырех. В компании подсчитали, что рынку труда требуется дополнительно около 30 тыс. специалистов информационной безопасности в 2022 году.
Из-за сложившейся ситуации работодатели вынуждены постепенно снижать требования при найме: в 2021 году 51% вакансий был открыт для специалистов с опытом от одного до трех лет, в 2022-м — уже 48%.
— Это неприятная тенденция, потому что с нынешним уровнем ИБ-рисков компаниям не хватает не просто рабочих рук, а квалифицированных опытных специалистов, — заявил руководитель отдела аналитики «СерчИнформ» Алексей Парфентьев. — Ситуация усугубляется тем, что оснащенность ПО, которое помогло бы автоматизировать часть работы, остается недостаточной. Это особенно критично в сфере малого и среднего бизнеса, который часто не может конкурировать за кадры по уровню предлагаемых зарплат.
Положительной тенденцией в исследовании назван тот факт, что в трети опрошенных компаний в этом году уже появилось ИБ-подразделение или оно находится в процессе создания. Еще треть заявила, что в компании появился или появится ответственный за информационную безопасность руководитель.
Предлагаемая зарплата для ИБ-специалистов в этом году в среднем по стране выросла на 6% — до 63 100 рублей. А ожидания по зарплате снизились на 4%, хотя всё еще и выше реального уровня, — до 75 100 рублей.
Исследование проводилось в период с 20 сентября по 8 ноября 2022 года, был опрошен 921 респондент.
Опрошенные «Известиями» эксперты заявили, что дефицит специалистов в области информационной безопасности на российском рынке действительно есть. Руководитель Российского центра компетенций и анализа стандартов ОЭСР РАНХиГС Антонина Левашенко подчеркнула, что с нехваткой кадров этой области сталкиваются все страны — по оценке ВЭФ, миру не хватает около 3 млн специалистов ИБ.
Минтруд со ссылкой на данные мониторинга ВНИИ труда сообщил «Известиям», что спрос на таких специалистов действительно растет — в 2020 и 2021 годах количество вакансий было 6,1 тыс. и 5,8 тыс., а в первые три квартала этого года — уже 6,6 тыс.
— Востребованы в основном работники с высшим образованием, — указали во ВНИИ труда. — В вакансиях отмечается: без опыта — 20% вакансий, с опытом 1–3 года — 40%, более трех лет — 39%.
Откуда взялся дефицит
Большой спрос на специалистов во ВНИИ труда связывают с несколькими факторами: недостаточно приближенный к требованиям рынка труда уровень компетенций у студентов, низкое распространение корпоративных программ повышения квалификации персонала, небольшое количество стажировок для студентов на предприятиях.
Директор по инновациям «Меркатор Холдинг» Павел Теплов выделяет пять факторов, которые привели к дефициту. Во-первых, рост уровня автоматизации предприятий во всех секторах затрагивает личные данные сотрудников, что налагает дополнительные обязательства по защите персональных данных.
Во-вторых, развитие импортозамещения в стране влечет за собой «гонку отраслевых конкурентов», что требует и новых подходов к защите данных, в том числе защите продуктов интеллектуальной собственности.
В-третьих, указывает эксперт, активно развиваются технологии, связанные с аналитикой больших данных.
— Массив наработанных данных, являющихся «сырьем» для дальнейшей обработки, — это ценный актив, эти данные представляют реальную ценность, результаты их обработки создают конкурентное преимущество, — рассказал Теплов «Известиям». — Утеря таких данных или их искажение очень критично, что ставит принципиально новые задачи перед специалистами по ИБ.
В-четвертых, говорит Теплов, сами киберугрозы вышли на другой уровень, в том числе добавились те, что исходят от профессиональных структур других государств — причем не ради финансовой выгоды, а ради нанесения прямого ущерба. По словам Теплова, эта ситуация требует другого уровня квалификации ИБ-специалистов.
В-пятых, отмечает эксперт, специфика подготовки специалистов ИБ такова, что многие имеют опыт работы в силовых структурах и сейчас привлечены для решения других задач. Поэтому ведется переобучение других специалистов из сферы ИТ и других направлений.
— Востребованность в специалистах по ИБ будет расти, а дефицит грамотных кадров возрастать, — считает Теплов.
Директор управления информационной безопасности R-Style Softlab Алексей Новиков замечает, что обеспечение информационной безопасности часто осуществлялось по остаточному принципу.
— Компании исходили из того, что их вид деятельности не представляет интереса для злоумышленников, а значит, риски минимальны и нет необходимости тратить средства на обеспечение безопасности, — рассказал он «Известиям». — Кроме того, мало учитывался фактор постоянного улучшения навыков киберпреступников.
Директор по персоналу КРОС Дмитрий Дударев замечает, что если раньше о безопасности задумывались только крупные операторы персональных данных, то теперь и небольшие компании в 200–300 человек тоже должны за этим следить.
Руководитель отдела маркетинга «Кросс технолоджис» Юлия Заря указывает, что меры поддержки, которые разрабатывает и продвигает для отрасли Минцифры, несколько сдерживают дефицит, но кадров недостаточно всё равно, даже с учетом всех льгот и преимуществ.
— Институты готовят специалистов к предотвращению прошлых угроз, у многих недостаточно фактуры, материалов и ресурсов для того, чтобы разработать актуальную сегодняшним вызовам программу или привлечь в качестве лекторов практикующих экспертов в сфере ИБ, чьи знания помогут ребятам погрузиться в реальные проблемы настоящего бизнеса, — говорит она. — Есть вузы, которые видят возможности и открыты к сотрудничеству с IT-компаниями, но эта деятельность нуждается в инвестициях и поддержке.
Эксперт кластера «РАЭК / Privacy&LegalTech» Руслан Сафин указывает, что однозначно оценить рост спроса сложно, так как до настоящего времени у многих работодателей отсутствует понимание требований к специалистам в области ИБ, нет разделения на профессиональные области.
— В связи с отсутствием специализаций в вакансиях опытные специалисты с глубокими профильными знаниями стараются не откликаться на позиции «человек-оркестр», и компании получают специалистов начального уровня, — рассказал он «Известиям». — Исходя из своего опыта закрытия позиций в направлении, для уровня mid+/Senior это 3–6 месяцев и огромная работа по отсеиванию entry level специалистов.
Он предполагает, что число специалистов mid+/Senior на рынке будет уменьшаться, а количество entry level специалистов только увеличиваться.
Заместитель гендиректора по технологическому развитию «Группы Т1» Антон Якимов говорит, что наибольший дефицит наблюдается по направлениям аналитики и поиска киберугроз, управления сценариями киберугроз и риск-менеджмента.
— Часто в организации отсутствует процессная модель и стратегия в области ИБ, нет фокуса и понимания этой проблемы на практике, — рассказал он «Известиям». — Информационную безопасность относят к обеспечивающей функции, не принимая во внимание прямые, косвенные и репутационные риски.
Руководитель отдела консалтинга компании «Б-152» Ринат Катчиев говорит, что одним из предыдущих драйверов спроса на ИБ стал коронавирус.
— В связи с эпидемией множество компаний перешли на удаленный режим работы, кроме того, многие гиганты рынка начали развивать свои онлайн-сервисы, связанные с удаленным обслуживанием клиентов, — говорит он. — Перестраивание бизнес-процессов потребовало модернизации IT-систем, в результате чего появились уязвимости, которыми стали активно пользоваться злоумышленники. Реакцией на эти атаки стало активное развитие ИБ, усиление систем информационной безопасности и потребность в увеличении количества ИБ-специалистов.
А после февральских событий, по его словам, компании столкнулись с более интенсивными, продуманными и скоординированными атаками злоумышленников. При этом многие иностранные вендоры средств защиты информации, занимавшие целые сегменты рынка, ушли из России.
Директор по развитию телемедицинской компании «Доктор рядом» Александр Андреев замечает, что инвестиции в безопасность требуют очень больших расходов в течение длительного времени и не всякий бизнес готов к такому объему инвестиций.
Каких мер ждут от государства
Руслан Сафин считает, что решением проблемы должна стать совместная работа государства, вузов и компаний.
— Нужны подготовка профильных специалистов на разных уровнях системы образования, правильное использование рынком выпускников разных уровней, — говорит он. — От компаний требуется четкое формулирование требований к специалистам, работа с вузами по профподготовке выпускников, формирование запросов на специалистов определенного профиля и уровня.
Государство, считает он, должно выступить модератором на рынке и помочь наладить диалог между вузами и компаниями, в том числе важна помощь с «обесцениванием уровней образования» — в большинстве вакансий указывается наличие высшего образования, но прикладные навыки могут даваться в колледжах и училищах.
— А в качестве первого шага вполне логичным выглядит создание реестра рисков ИБ и обсуждение методик оценки этих рисков, — подчеркнул Сафин. — Все остальные шаги будут очевидны после оценки рисков.
Заместитель гендиректора IT-компании «Скайлит» Сергей Погорелов считает, что выходом станет введение абсолютно бесплатного образования по специализации «информационная безопасность» для успешно сдавших вступительные экзамены, также необходима популяризация специальности среди учащихся 10-х и 11-х классов. Руководитель департамента цифровых решений агентства «Полилог» Людмила Богатырева считает, что требуется также обеспечить высокие стипендии для обучающихся, а действующие образовательные программы проверить на предмет их актуальности в текущих реалиях.
CEO и CTO Self_ Кирилл Иванов предлагает для обучения, постоянной актуализации знаний и навыков организовывать площадки и тренировочные полигоны на базе ведущих IT-компаний и вузов с государственной поддержкой.
Антонина Левашенко подчеркивает, что необходимо совершенствовать образовательные стандарты в сфере информационной безопасности с учетом актуальных потребностей бизнеса, а государству в лице Минцифры и Минэкономразвития — разработать методические рекомендации по минимизации рисков цифровых угроз для бизнеса, стандарты цифрового комплаенса.
Менеджер компетенции «Информационная безопасность» Агентства развития навыков и профессий Евгений Сверчков рассказывает, что сейчас уже активно развиваются и проходят модернизацию программы обучения по направлению «Информационная безопасность», разрабатываются новые программы обучения высшего и среднего профессионального образования.
Генеральный директор Zecurion Алексей Раевский не считает, что государство должно принимать какие-то меры, так как государство занимается своей информационной безопасностью, а компании — своей.
— Решение проблемы заключается в пересмотре позиции руководителей: должен быть изменен подход — не как к затратной статье, а как к обязательному расходу, который позволяет избежать еще больших расходов в будущем, — полагает он. — Поменяется подход, тогда изменится и соотношение зарплат и будет больше кандидатов на эти должности.
Как компании могут решить проблему
Во ВНИИ труда отмечают, что велик потенциал для решения кадровых вопросов в отрасли ИБ у программ повышения квалификации.
— Например, в рамках нацпроекта «Демография» можно бесплатно пройти обучение, в том числе для работы в сфере информационной безопасности, — указали во ВНИИ труда. — Однако, согласно результатам опроса, проведенного ВНИИ труда в 2021 году, для развития персонала в области ИБ четверть организаций не проводит никаких мероприятий по развитию персонала и лишь 10% организуют стажировки для студентов.
Руслан Сафин выделяет для компаний два направления: для небольших компаний важно научиться формулировать требования, а не пытаться найти «человека-оркестра» для отдела ИБ.
— Очень странно выглядят собеседования в несколько этапов с задачами уровня глобальных инфраструктур в компанию в пару тысяч сотрудников и задачей разворачивать антивирусы и заодно картриджи менять, — замечает он.
Крупным компаниям он рекомендует научиться процессу менеджмента и формализации задач подразделений, не допуская появления в компаниях «суперзвезд», уход которых приводит компанию к коллапсу.
Архитектор IT-инфраструктуры практики «Стратегия трансформации» компании Reksoft Consulting Александр Черный призывает компании создавать привлекательные условия, и это не только материальные блага, но и интересные задачи, возможность влиять на их реализацию. Кроме того, считает он, не нужно бояться обучать специалистов без опыта или с минимальным опытом работы — спустя год работы с персональным наставником такой человек становится работником, заточенным под задачи компании.
Сергей Погорелов призывает искать работников в регионах, которые готовы переехать или работать дистанционно, а также среди россиян, находящихся за пределами России — в странах СНГ, ЕАЭС, Балканского региона. Сейчас эти люди работают на зарубежные IT-компании, но их можно переманить.
Антон Якимов называет решением проблемы кибербезопасности для компаний выстраивание риск-ориентированного подхода и его монетизации — чтобы было понимание ценности процессов кибербезопасности в случае наступления риска.
— Понять ценность ИБ и обеспечить конструктивный и понятный всем подход можно, используя модель «риск – угроза – деньги – репутация», — говорит он.
Александр Андреев предлагает компаниям осуществлять внешние penetration tests (тесты на проникновение — способ оценить защищенность своего сетевого периметра) и аудит, по результатам которых можно принимать решение о дальнейшей работе с ИБ.