Передел прочности: где найти ИБ-специалиста

Больше половины отечественных компаний заявили о дефиците кадров
Сергей Гурьянов
Фото: ИЗВЕСТИЯ/Дмитрий Коротаев

В России отмечена нехватка специалистов, занимающихся информационной безопасностью, — о дефиците кадров заявили более половины опрошенных «СерчИнформ» и hh.ru фирм, в 2022 году проблема усугубилась. Почему это произошло и как с этим справляться — в материале «Известий».

Какова нехватка ИБ-специалистов

Согласно опросу, 37,8% компаний заявили, что специалисты информационной безопасности сейчас в дефиците, как и в 2020–2021 годах, а 17,9% говорят, что дефицит кадров только усилился. 34,1% компаний утверждают, что никогда не сталкивались со сложностями с наймом ИБ-специалистов, 6,6% считают, что кандидатов на рынке достаточно, а 3,6% респондентов заявили, что дефицит ИБ-специалистов даже ослаб.

На ситуацию, по мнению исследователей, повлиял растущий рост спроса на специалистов в связи с усилением киберрисков и подписанием указа президента России № 250, который посвящен кибербезопасности и касается как минимум полумиллиона компаний, по сути, обязывая их организовать выделенную ИБ-службу. В таких организациях, говорится в исследовании, дефицит кадров оказывается выше.

Среди компаний — субъектов критической информационной инфраструктуры (КИИ) недостаток ИБ-специалистов отметили 48% опрошенных, 24% указали на усиление дефицита. Только пятая часть опрошенных системообразующих предприятий и 15% субъектов КИИ заявили о наличии у них выделенной службы ИБ.

HeadHunter указывает, что на одну вакансию в сфере ИБ приходится меньше одного резюме, хотя комфортной считается ситуация, когда их насчитывается не меньше четырех. В компании подсчитали, что рынку труда требуется дополнительно около 30 тыс. специалистов информационной безопасности в 2022 году.

Фото: ТАСС/Евгений Курсков

Из-за сложившейся ситуации работодатели вынуждены постепенно снижать требования при найме: в 2021 году 51% вакансий был открыт для специалистов с опытом от одного до трех лет, в 2022-м — уже 48%.

— Это неприятная тенденция, потому что с нынешним уровнем ИБ-рисков компаниям не хватает не просто рабочих рук, а квалифицированных опытных специалистов, — заявил руководитель отдела аналитики «СерчИнформ» Алексей Парфентьев. — Ситуация усугубляется тем, что оснащенность ПО, которое помогло бы автоматизировать часть работы, остается недостаточной. Это особенно критично в сфере малого и среднего бизнеса, который часто не может конкурировать за кадры по уровню предлагаемых зарплат.

Положительной тенденцией в исследовании назван тот факт, что в трети опрошенных компаний в этом году уже появилось ИБ-подразделение или оно находится в процессе создания. Еще треть заявила, что в компании появился или появится ответственный за информационную безопасность руководитель.

Предлагаемая зарплата для ИБ-специалистов в этом году в среднем по стране выросла на 6% — до 63 100 рублей. А ожидания по зарплате снизились на 4%, хотя всё еще и выше реального уровня, — до 75 100 рублей.

Исследование проводилось в период с 20 сентября по 8 ноября 2022 года, был опрошен 921 респондент.

Опрошенные «Известиями» эксперты заявили, что дефицит специалистов в области информационной безопасности на российском рынке действительно есть. Руководитель Российского центра компетенций и анализа стандартов ОЭСР РАНХиГС Антонина Левашенко подчеркнула, что с нехваткой кадров этой области сталкиваются все страны — по оценке ВЭФ, миру не хватает около 3 млн специалистов ИБ.

Минтруд со ссылкой на данные мониторинга ВНИИ труда сообщил «Известиям», что спрос на таких специалистов действительно растет — в 2020 и 2021 годах количество вакансий было 6,1 тыс. и 5,8 тыс., а в первые три квартала этого года — уже 6,6 тыс.

— Востребованы в основном работники с высшим образованием, — указали во ВНИИ труда. — В вакансиях отмечается: без опыта — 20% вакансий, с опытом 1–3 года — 40%, более трех лет — 39%.

Фото: ТАСС/Антон Новодережкин

Откуда взялся дефицит

Большой спрос на специалистов во ВНИИ труда связывают с несколькими факторами: недостаточно приближенный к требованиям рынка труда уровень компетенций у студентов, низкое распространение корпоративных программ повышения квалификации персонала, небольшое количество стажировок для студентов на предприятиях.

Директор по инновациям «Меркатор Холдинг» Павел Теплов выделяет пять факторов, которые привели к дефициту. Во-первых, рост уровня автоматизации предприятий во всех секторах затрагивает личные данные сотрудников, что налагает дополнительные обязательства по защите персональных данных.

Во-вторых, развитие импортозамещения в стране влечет за собой «гонку отраслевых конкурентов», что требует и новых подходов к защите данных, в том числе защите продуктов интеллектуальной собственности.

В-третьих, указывает эксперт, активно развиваются технологии, связанные с аналитикой больших данных.

— Массив наработанных данных, являющихся «сырьем» для дальнейшей обработки, — это ценный актив, эти данные представляют реальную ценность, результаты их обработки создают конкурентное преимущество, — рассказал Теплов «Известиям». — Утеря таких данных или их искажение очень критично, что ставит принципиально новые задачи перед специалистами по ИБ.

В-четвертых, говорит Теплов, сами киберугрозы вышли на другой уровень, в том числе добавились те, что исходят от профессиональных структур других государств — причем не ради финансовой выгоды, а ради нанесения прямого ущерба. По словам Теплова, эта ситуация требует другого уровня квалификации ИБ-специалистов.

В-пятых, отмечает эксперт, специфика подготовки специалистов ИБ такова, что многие имеют опыт работы в силовых структурах и сейчас привлечены для решения других задач. Поэтому ведется переобучение других специалистов из сферы ИТ и других направлений.

— Востребованность в специалистах по ИБ будет расти, а дефицит грамотных кадров возрастать, — считает Теплов.

Директор управления информационной безопасности R-Style Softlab Алексей Новиков замечает, что обеспечение информационной безопасности часто осуществлялось по остаточному принципу.

Фото: ТАСС/SERGEI ILNITSKY

— Компании исходили из того, что их вид деятельности не представляет интереса для злоумышленников, а значит, риски минимальны и нет необходимости тратить средства на обеспечение безопасности, — рассказал он «Известиям». — Кроме того, мало учитывался фактор постоянного улучшения навыков киберпреступников.

Директор по персоналу КРОС Дмитрий Дударев замечает, что если раньше о безопасности задумывались только крупные операторы персональных данных, то теперь и небольшие компании в 200–300 человек тоже должны за этим следить.

Руководитель отдела маркетинга «Кросс технолоджис» Юлия Заря указывает, что меры поддержки, которые разрабатывает и продвигает для отрасли Минцифры, несколько сдерживают дефицит, но кадров недостаточно всё равно, даже с учетом всех льгот и преимуществ.

— Институты готовят специалистов к предотвращению прошлых угроз, у многих недостаточно фактуры, материалов и ресурсов для того, чтобы разработать актуальную сегодняшним вызовам программу или привлечь в качестве лекторов практикующих экспертов в сфере ИБ, чьи знания помогут ребятам погрузиться в реальные проблемы настоящего бизнеса, — говорит она. — Есть вузы, которые видят возможности и открыты к сотрудничеству с IT-компаниями, но эта деятельность нуждается в инвестициях и поддержке.

Эксперт кластера «РАЭК / Privacy&LegalTech» Руслан Сафин указывает, что однозначно оценить рост спроса сложно, так как до настоящего времени у многих работодателей отсутствует понимание требований к специалистам в области ИБ, нет разделения на профессиональные области.

— В связи с отсутствием специализаций в вакансиях опытные специалисты с глубокими профильными знаниями стараются не откликаться на позиции «человек-оркестр», и компании получают специалистов начального уровня, — рассказал он «Известиям». — Исходя из своего опыта закрытия позиций в направлении, для уровня mid+/Senior это 3–6 месяцев и огромная работа по отсеиванию entry level специалистов.

Он предполагает, что число специалистов mid+/Senior на рынке будет уменьшаться, а количество entry level специалистов только увеличиваться.

Фото: РИА Новости/Павел Бедняков

Заместитель гендиректора по технологическому развитию «Группы Т1» Антон Якимов говорит, что наибольший дефицит наблюдается по направлениям аналитики и поиска киберугроз, управления сценариями киберугроз и риск-менеджмента.

— Часто в организации отсутствует процессная модель и стратегия в области ИБ, нет фокуса и понимания этой проблемы на практике, — рассказал он «Известиям». — Информационную безопасность относят к обеспечивающей функции, не принимая во внимание прямые, косвенные и репутационные риски.

Руководитель отдела консалтинга компании «Б-152» Ринат Катчиев говорит, что одним из предыдущих драйверов спроса на ИБ стал коронавирус.

— В связи с эпидемией множество компаний перешли на удаленный режим работы, кроме того, многие гиганты рынка начали развивать свои онлайн-сервисы, связанные с удаленным обслуживанием клиентов, — говорит он. — Перестраивание бизнес-процессов потребовало модернизации IT-систем, в результате чего появились уязвимости, которыми стали активно пользоваться злоумышленники. Реакцией на эти атаки стало активное развитие ИБ, усиление систем информационной безопасности и потребность в увеличении количества ИБ-специалистов.

А после февральских событий, по его словам, компании столкнулись с более интенсивными, продуманными и скоординированными атаками злоумышленников. При этом многие иностранные вендоры средств защиты информации, занимавшие целые сегменты рынка, ушли из России.

Директор по развитию телемедицинской компании «Доктор рядом» Александр Андреев замечает, что инвестиции в безопасность требуют очень больших расходов в течение длительного времени и не всякий бизнес готов к такому объему инвестиций.

Каких мер ждут от государства

Руслан Сафин считает, что решением проблемы должна стать совместная работа государства, вузов и компаний.

— Нужны подготовка профильных специалистов на разных уровнях системы образования, правильное использование рынком выпускников разных уровней, — говорит он. — От компаний требуется четкое формулирование требований к специалистам, работа с вузами по профподготовке выпускников, формирование запросов на специалистов определенного профиля и уровня.

Фото: РИА Новости/Евгений Биятов

Государство, считает он, должно выступить модератором на рынке и помочь наладить диалог между вузами и компаниями, в том числе важна помощь с «обесцениванием уровней образования» — в большинстве вакансий указывается наличие высшего образования, но прикладные навыки могут даваться в колледжах и училищах.

— А в качестве первого шага вполне логичным выглядит создание реестра рисков ИБ и обсуждение методик оценки этих рисков, — подчеркнул Сафин. — Все остальные шаги будут очевидны после оценки рисков.

Заместитель гендиректора IT-компании «Скайлит» Сергей Погорелов считает, что выходом станет введение абсолютно бесплатного образования по специализации «информационная безопасность» для успешно сдавших вступительные экзамены, также необходима популяризация специальности среди учащихся 10-х и 11-х классов. Руководитель департамента цифровых решений агентства «Полилог» Людмила Богатырева считает, что требуется также обеспечить высокие стипендии для обучающихся, а действующие образовательные программы проверить на предмет их актуальности в текущих реалиях.

CEO и CTO Self_ Кирилл Иванов предлагает для обучения, постоянной актуализации знаний и навыков организовывать площадки и тренировочные полигоны на базе ведущих IT-компаний и вузов с государственной поддержкой.

Антонина Левашенко подчеркивает, что необходимо совершенствовать образовательные стандарты в сфере информационной безопасности с учетом актуальных потребностей бизнеса, а государству в лице Минцифры и Минэкономразвития — разработать методические рекомендации по минимизации рисков цифровых угроз для бизнеса, стандарты цифрового комплаенса.

Менеджер компетенции «Информационная безопасность» Агентства развития навыков и профессий Евгений Сверчков рассказывает, что сейчас уже активно развиваются и проходят модернизацию программы обучения по направлению «Информационная безопасность», разрабатываются новые программы обучения высшего и среднего профессионального образования.

Генеральный директор Zecurion Алексей Раевский не считает, что государство должно принимать какие-то меры, так как государство занимается своей информационной безопасностью, а компании — своей.

Фото: ТАСС/URA.RU/Владимир Андреев

— Решение проблемы заключается в пересмотре позиции руководителей: должен быть изменен подход — не как к затратной статье, а как к обязательному расходу, который позволяет избежать еще больших расходов в будущем, — полагает он. — Поменяется подход, тогда изменится и соотношение зарплат и будет больше кандидатов на эти должности.

Как компании могут решить проблему

Во ВНИИ труда отмечают, что велик потенциал для решения кадровых вопросов в отрасли ИБ у программ повышения квалификации.

— Например, в рамках нацпроекта «Демография» можно бесплатно пройти обучение, в том числе для работы в сфере информационной безопасности, — указали во ВНИИ труда. — Однако, согласно результатам опроса, проведенного ВНИИ труда в 2021 году, для развития персонала в области ИБ четверть организаций не проводит никаких мероприятий по развитию персонала и лишь 10% организуют стажировки для студентов.

Руслан Сафин выделяет для компаний два направления: для небольших компаний важно научиться формулировать требования, а не пытаться найти «человека-оркестра» для отдела ИБ.

— Очень странно выглядят собеседования в несколько этапов с задачами уровня глобальных инфраструктур в компанию в пару тысяч сотрудников и задачей разворачивать антивирусы и заодно картриджи менять, — замечает он.

Крупным компаниям он рекомендует научиться процессу менеджмента и формализации задач подразделений, не допуская появления в компаниях «суперзвезд», уход которых приводит компанию к коллапсу.

Архитектор IT-инфраструктуры практики «Стратегия трансформации» компании Reksoft Consulting Александр Черный призывает компании создавать привлекательные условия, и это не только материальные блага, но и интересные задачи, возможность влиять на их реализацию. Кроме того, считает он, не нужно бояться обучать специалистов без опыта или с минимальным опытом работы — спустя год работы с персональным наставником такой человек становится работником, заточенным под задачи компании.

Фото: ИЗВЕСТИЯ/Алексей Майшев

Сергей Погорелов призывает искать работников в регионах, которые готовы переехать или работать дистанционно, а также среди россиян, находящихся за пределами России — в странах СНГ, ЕАЭС, Балканского региона. Сейчас эти люди работают на зарубежные IT-компании, но их можно переманить.

Антон Якимов называет решением проблемы кибербезопасности для компаний выстраивание риск-ориентированного подхода и его монетизации — чтобы было понимание ценности процессов кибербезопасности в случае наступления риска.

— Понять ценность ИБ и обеспечить конструктивный и понятный всем подход можно, используя модель «риск – угроза – деньги – репутация», — говорит он.

Александр Андреев предлагает компаниям осуществлять внешние penetration tests (тесты на проникновение — способ оценить защищенность своего сетевого периметра) и аудит, по результатам которых можно принимать решение о дальнейшей работе с ИБ.