Высокий спрос: как найти ИБ-специалистов

Масштабы проблемы

Сегодня доля ИТ-специалистов составляет 2,4% от всего занятого населения России, посчитали эксперты из Фонда развития интернет-инициатив (ФРИИ). Для сравнения: в Великобритании, США и Германии этот показатель приближен к 4–5%. Более того, в ближайшие 10 лет, по мнению экспертов, отрасли потребуется дополнительно 2 млн ИТ-специалистов. И чтобы достичь общемировой планки и восполнить недостаток кадров внутри страны, необходимо изменить подход к работе с человеческим капиталом. В противном случае мы столкнемся с неразвитой цифровой экономикой и невозможностью конкурировать с другими странами.

Наиболее остро нехватка специалистов ощущается в секторе информационной безопасности. Общемировые исследования показывают, что более 70% компаний уже столкнулись со сложностью при найме таких кадров. Требования к специалистам постоянно меняются, и не все успевают повышать квалификацию в соответствии с запросами рынка. Поэтому самым распространенным выходом из ситуации является передача услуг по обеспечению информбезопасности на аутсорсинг. Как показал опрос исследователей из Dimensional Research, такой выбор делают более 90% компаний по всему миру. Надо признать, что корпорации не готовы тратить время на тщательный поиск кадров или их обучение. Гораздо проще и быстрее задействовать ресурсы на стороне другого предприятия.

В России отрасль ИБ испытывает те же проблемы. В организациях в девяти случаях из десяти не хватает квалифицированного персонала в области информбезопасности. При этом, согласно прогнозам Orange Business Services и IDC, отечественный рынок корпоративных услуг в области кибербезопасности вырастет примерно к $100 млн в 2021 г., на 20% больше по сравнению с 2016 г. Быстрее других сегментов будет расти консалтинг, объем рынка которого приблизится почти к $40 млн. И, что самое примечательное, его основным драйвером роста станет кадровый голод.

Не только университеты: где еще можно найти ИT-специалистов

Сейчас среднее профессиональное и высшее образование "приводит" в экономику только 60 тыс. ИT-специалистов в год. Чтобы конкурировать с другими странами в области технологий, дополнительный набор на ИT-специальности должен составить минимум 40 тыс. человек в год, считают авторы исследования ФРИИ.

Но решить проблему привлечения кадров для цифровой экономики простым увеличением набора студентов не получится. Сегментированность рынка ИT, рост новых технологий, быстрое устаревание знаний и навыков не позволяют фундаментальному образованию догнать рынок. Не удивительно, что уже раздаются предложения сократить программу бакалавриата ИТ-специальностей до полутора лет. Об этом, в частности, говорится в проекте плана мероприятий программы "Цифровая экономика" по разделу "Кадры и образование", подписанной В. Путиным.

Доказательства отсталости фундаментального образования приводят сами участники рынка. Несколько лет назад российское отделение компании SAP проводило исследование, посвященное подготовке и развитию ИТ-специалистов в России. Менее половины участников одного из опросов (насколько работа соответствует полученной в вузе специальности) отметили формальное соответствие своей работы полученному образованию (41%). Многим пришлось доучиваться (38%), а доля тех, кто не имеет подходящего "фундамента", составила 21%.

Нелегкая ситуация на рынке труда в ИT побуждает крупные компании (Яндекс, Mail.ru Group и др.) сотрудничать с вузами, инвестировать в обучение сотрудников на месте и даже открывать свои образовательные школы и курсы, в том числе по направлению информационной безопасности.

На российский рынок выходят и международные образовательные проекты, подобные израильской школе информационной безопасности HackerU. Новые образовательные структуры, в отличие от вузов, могут быстрее и эффективнее реагировать на изменения рынка труда, подстраиваться под запросы бизнеса. Более того, такие центры способны подготовить специалистов с уникальными навыками, которые можно получить далеко не в каждом вузе. К примеру, найти среди студентов будущих пентестеров попросту невозможно. Приобрести эту специальность можно либо в центре дополнительного профессионального образования, либо в специализированной компании.

Для отрасли кибербезопасности особенно важны постоянная переподготовка и повышение квалификации. Каждый год по всему миру появляются новые киберугрозы, с которыми не могут справиться даже крупные российские компании. Так, только за 2017 г. из-за кибератак предприниматели потеряли примерно 116 млрд руб., по данным Аналитического центра НАФИ.

Узкий профиль: чему учить ИБ-специалистов

Среди базовых знаний для безопасников важны: математика, хороший английский язык, криптография, умение разбираться в железе, понимание архитектуры сети, опыт в системном администрировании. Не менее важно уметь общаться с людьми. Дело в том, что меры безопасности практически всегда замедляют устоявшиеся рабочие процессы компании (особенно на первом этапе), и специалистам приходится объяснять, почему это необходимо. Еще один аспект – это работа с социальной инженерией, которая обязательно требует хотя бы базовых знаний психологии.

Какие знания наиболее востребованы сегодня и на ближайшую перспективу? Спрос явно смещается на работу с критической инфраструктурой, защиту конфиденциальных данных, создание систем противодействия кибератакам. Стоит также отметить постоянное совершенствование законодательства и стандартов обеспечения безопасности, знания о которых приходится постоянно обновлять и актуализировать.

Еще одной сферой приложения сил ИБ становятся большие данные. И речь не только о защите массивов Big Data, формируемых в бизнесе и государственных структурах. Не менее важно практическое использование данных для анализа угроз.

Новым трендом в области кибербезопасности становится защита уязвимых разработок на основе искусственного интеллекта и Интернета вещей. Принципы и методы обороны таких информационных комплексов, которые становятся мишенью киберпреступников в сферах финансов, телекоммуникаций и государственного управления, особенно актуальны.

Сейчас отрасль информационной безопасности остро нуждается в пентестерах, реверс-инженерах, исследователях безопасности, вирусных аналитиках. Получить необходимые знания для этих специальностей можно только благодаря интенсивному самообучению, стажировкам и посещению образовательных курсов.

В целом стоит отметить, что для ИБ характерно решение сложных комплексных задач, требующих навыков командной работы. Специалистам в области кибербезопасности предстоит защищать сложные информационные системы, разветвленную инфраструктуру и часто работать в стрессовых условиях и при дефиците времени. Практические навыки живого взаимодействия здесь особенно важны, и выработать их можно только в формате тренингов и выездных мероприятий, проходя подготовку в составе группы. Более того, именно в традиционной форме следует проводить работу и по повышению квалификации сотрудников, и по изучению новых форм и методов кибератак.

Компании должны формировать компетентный ИБ-отдел

По мере развития своего бизнеса руководство приходит к пониманию, что им нужен человек, который возьмет на себя ряд обязанностей по защите инфраструктуры. Обычно такие функции доверяют бывшим системным администраторам или разработчикам.Так рождается специалист по кибербезопасности или даже CISO.

Но если раньше базовые знания таких сотрудников в области ИБ как-то спасали компанию, попавшую в критическую ситуацию, то теперь нехватка реальных навыков работы с актуальными угрозами может повлечь за собой серьезные финансовые и имиджевые потери.

Сегодня перед любой компанией (чаще – крупной) стоит задача по формированию профессиональной команды ИБ-специалистов. Это нелегкий и очень ресурсоемкий процесс, который происходит поэтапно: от создания общей ИБ-стратегии и аудита текущей ситуации до анализа имеющихся моделей угроз.

Для этих целей крупные корпорации не проводят самостоятельный набор отдельных специалистов с рынка. Бизнес прибегает к помощи отраслевых экспертов и партнеров, чтобы организовать системный отбор и обучение необходимого персонала под конкретные задачи. И следующий важный этап состоит в том, чтобы поддерживать сформированный ИБ-отдел в хорошей форме: через организацию обучающих курсов, проверок и учебных тренировок.

В целом мы считаем, что рынок (кадры, образовательные и консалтинговые центры) будет готов ответить на запросы бизнеса тогда, когда компании начнут активнее инвестировать в построение систем защиты от киберугроз и обучение своего персонала.