Дефицит кадров в сфере ИБ и подготовка молодых специалистов

Александр
Зубарев

Председатель цикловой комиссии информационной безопасности инфокоммуникационных систем (ИБИС) АКТ (ф) СПбГУТ, преподаватель высшей квалификационной категории

Владимир
Душкевич

Преподаватель факультета информационной безопасности в GeekUniversity, образовательном портале GeekBrains, преподаватель цикловой комиссии информационной безопасности инфокоммуникационных систем (ИБИС), преподаватель первой квалификационной категории

Вопрос нехватки кадров актуален и для бизнеса, и для государственных структур. Что касается коммерческих компаний, то, по результатам опросов, на большинстве предприятий над обеспечением кибербезопасности работает 1–5 человек, а 27% организаций малого и среднего бизнеса вообще не имеют в штате экспертов этой отрасли. Более чем у половины компаний со штатом из 500 сотрудников размер службы ИБ не превышает пяти человек. При этом аутсорсинг используют лишь 20% опрошенных компаний, тогда как 67% не задействуют внештатных специалистов по ИБ. 81% опрошенных компаний ожидает усиление кадрового голода в ИБ. Лишь 16% считают, что спрос будет удовлетворен в течение нескольких лет.

В государственном секторе ситуация также достаточно сложная. Основным заказчиком ИБ-кадров в госсекторе является Федеральная служба по техническому и экспортному контролю (ФСТЭК). Она формирует контрольные цифры приема и передает эти данные в Министерство просвещения и Министерство науки и высшего образования. Текущая заявка – 7183 вакантных бюджетных мест.

В целом дефицит кадров в ИБ обусловлен не столько отсутствием специалистов по технологиям, сколько нехваткой узкопрофильных профессионалов. Готовить их как сложно, так и затратно.

Главные причины нехватки специалистов

Сложность подготовки в образовательном учреждении – одна из основных причин нехватки специалистов по ИБ. Студент, который учится на ИБ-специальности, должен освоить большое количество разных технологий, которые применяются для защиты компании или государственной организации. А это трудно, поскольку у образовательного учреждения далеко не всегда есть возможность приобрести необходимое оборудование и ПО, ведь бюджет большинства из них очень ограничен.

Кроме того, в России публикуется мало хорошей обучающей технической литературы по информационной безопасности. Образование – в первую очередь двусторонний процесс взаимодействия преподавателя и студента. Им нужно опираться на какую-то информационную базу. Но в книгах и пособиях постепенно упрощается подача материала, в них рассматриваются максимально простые вопросы и темы. Нет и упора на практику: во многих случаях практических примеров в ходе теоретической подготовки просто нет. Соответственно, студенты очень сильно зависят от опыта и знаний преподавателя.

А здесь возникает еще одна проблема. Дело в том, что хороший преподаватель по ИБ должен быть экспертом в своей области, это аксиома. Но зачем такому специалисту преподавать, ведь на предприятии он может получать гораздо больше, чем в большинстве вузов или колледжей. Получается, что в образовательные учреждения идет работать совсем немного профессионалов в области ИБ. В итоге страдает качество подготовки студентов.

Уровень подготовки в образовательных учреждениях

В России программы подготовки ИБ-специалистов есть в 450 вузах и 95 колледжах, что очень немало. В большинстве случаев темы для обучения выбраны весьма грамотно. Если открыть любой федеральный государственный образовательный стандарт среднего профессионального образования в области ИБ, можно увидеть, что программа хорошая. Правда, в стандартах не раскрываются некоторые особенности практической работы, например обязательное к использованию программное и аппаратное обеспечение, оборудование для лабораторий и т.д.

С одной стороны, такой подход дает колледжу или вузу возможность адаптировать имеющееся в образовательном учреждении ПО и железо. Но насколько выбор средств для проведения занятий будет соответствовать требованиям рынка? Здесь мы возвращаемся к вопросу наличия хороших преподавателей с практическим опытом в сфере ИБ. Только такой специалист может справиться с этой задачей.

Соответственно, в тех колледжах и вузах, где преподавателям обеспечены достойные условия работы (заработная плата, материально-техническая база и другие ресурсы), качество подготовки специалистов можно назвать высоким. Но таких образовательных учреждений не очень много, поэтому далеко не все выпускники ИБ-специальностей имеют необходимую для работы подготовку.

Еще один нюанс состоит в том, что кибербезопасность – всегда некая "надстройка" над имеющимся базисом. А это справедливо и для образовательного учреждения. В качестве примера можно привести направление "Сетевая безопасность". Для того чтобы профессионально заниматься решением вопросов в этой сфере, нужно иметь четкие знания о сетевых технологиях: как работает сеть, какие существуют протоколы передачи данных, какие уязвимости может использовать злоумышленник и т.д. Порог вхождения в кибербезопасность в значительной степени зависит от имеющихся знаний о работе определенных технологий и принципах управления ими.

Если в колледже или вузе есть техническая база, которая позволяет построить систему подготовки специалистов ИБ, то проблем нет. А вот если колледж или вуз открывает новую для себя специальность в этой сфере, не имея хорошей базовой программы, тогда не стоит рассчитывать, что в таком учебном заведении студента научат необходимым знаниям, умениям и навыкам. К примеру, в ИБ очень многое делается с использованием ОС Linux, поэтому в учебном заведении должен быть серьезный специалист в данной области. Если такого професисонала нет, то не нужно рассчитывать, что качество подготовки будет высоким.

В итоге складывается ситуация, когда компаниям и госструктурам непросто найти хорошего претендента на вакансию по ИБ даже при условии большого количества заявок. Например, HR-менеджерам "Лаборатории Касперского" для того, чтобы выявить подходящего кандидата на ИБ-должность, в некоторых случаях приходится проводить собеседования с 30–40 кандидатами. Аналогичная ситуация у Orange – HR-сотрудникам этой компании необходимо провести несколько десятков встреч с кандидатами, прежде чем выбрать одного-двух.

Наиболее востребованные специальности

Самыми дефицитными на российском рынке являются инженеры-безопасники – специалисты, которые занимаются проектированием, внедрением и настройкой инструментов кибербезопасности.

На втором месте – аналитики, которые изучают инструментарий злоумышленников, потенциальные и уже случившиеся атаки.

Третью позицию занимают технические администраторы, которые защищают рубежи госорганизаций и коммерческих компаний в виртуальном пространстве.

Если говорить о размере заработной платы, то он зависит от региона. В Москве, например, это 50–150 тыс. руб., а в Архангельске – 30–50 тыс. руб. В среднем специалист по ИБ, работающий в России, получает от 55 до 150 тыс. руб.

Отрасли, которые нуждаются в хороших специалистах, – это прежде всего финансовый сектор, нефтегаз, государственные учреждения и телекоммуникационная сфера. Спрос возникает потому, что современному бизнесу и госсектору нужна защита от опасностей в киберпространстве, которых становится все больше.

Дмитрий Волков, CTO компании Group-IB, так комментирует ситуацию: "Активно используется так называемое цифровое оружие, или кибероружие, способное останавливать производственные процессы и выводить из строя сети объектов критической инфраструктуры и крупных коммерческих предприятий. Это серьезная проблема. Арсенал "прогосударственных" хакеров сейчас периодически публикуется в открытом доступе, и любой желающий может все это скачать, настроить под себя и начать использовать. Число кибератак будет увеличиваться, и все сложнее будет атрибутировать эти атаки".

Три способа утоления кадрового голода в ИБ

Существует несколько путей к повышению уровня подготовки специалистов в сфере кибербезопасности и одновременному снижению дефицита кадров в этой отрасли:

1. Меры со стороны государства. Возможно, стоит усилить контроль за подготовкой специалистов по кибербезопасности в различных образовательных учреждениях. Например, оценивать материально-техническую базу и новые программы, которые собираются вводить или уже ввели. Если учебное заведение слабо связано с высокими технологиями, то, скорее всего, оно будет выпускать не очень хорошо подготовленных специалистов. Да и самим вузам и колледжам не помешает улучшить качество образовательного процесса, если оно не очень высокое. К слову, уже сейчас реализуется распоряжение Правительства Российской Федерации № 1632-р "Цифровая экономика Российской Федерации", которое напрямую связано с последствиями нехватки специалистов по информационной безопасности.

2. Меры со стороны бизнеса и образовательных учреждений. Университетам стоит сотрудничать с Hi-Tech-компаниями, которые решают проблемы информационной безопасности и связанные с ними задачи. Уже сейчас Mail.ru Group, Яндекс, Orange, Сбербанк и другие компании приглашают студентов различных вузов на стажировку. Она заключается в выполнении бизнес-задач, связанных с ИБ, так что студенты получают не только теоретическую, но и практическую подготовку.

3. Меры со стороны образовательных учреждений и онлайн-курсов. Офлайн-образование и онлайн-обучение становятся ближе друг к другу, причем формат онлайн более гибкий – здесь есть возможность актуализировать программу в оперативном режиме. Колледжу или вузу для этого нужно больше времени. Оптимальный режим обучения современных студентов – смешанный, когда академическое образование сочетается с практическими кейсами. В этом направлении тенденция положительная. Все прекрасно понимают, что если не внедрять передовой опыт в образовательный процесс, то качество подготовки не будет расти. А внедрять передовой опыт может исключительно преподаватель-практик, поэтому именно от уровня его знаний, умений и навыков в конечном итоге и будет зависеть качество подготовки специалистов.

Только совместные усилия государства, образовательных учреждений, бизнеса и онлайн-университетов позволят повысить качество образования в сфере ИБ и сократить разрыв между потребностями рынка и наличными профессионалами. По оценкам экспертов, если ситуацию не начать исправлять прямо сейчас, то к 2024 г. общий дефицит ИТ-специалистов на российском рынке труда достигнет 2 млн человек.