Не айти какой защитник: какие ИБ-специалисты нужны рынку

Российской экономике не хватает до миллиона ИТ-специалистов ежегодно. В настоящее время Минцифры оценивает дефицит кадров в ИТ-секторе в 500-700 тыс. специалистов, из них 30-100 тыс. приходится на ИБ-кадры. Около 80% российских госкомпаний и корпораций испытывают нехватку высококвалифицированных «безопасников». При этом востребованность ИБ-услуг увеличивается, а темпы роста оцениваются в 30-40% в год. IT Speaker поговорил с экспертами в области кибербезопасности о том, какие именно специалисты по защите информации особенно нужны рынку. 

Необходимость в наращивании кадрового потенциала ИБ-отрасли возникла из-за множества факторов. С уходом с российского рынка ряда зарубежных компаний, массовым отъездом специалистов и ростом киберугроз, появилась потребность в импортозамещении, разработках российского софта, повышении мотивации и обучении новых специалистов.

Правительство усиленно разрабатывает меры по стимулированию отрасли. Восполнить кадровый дефицит в ИТ-сфере помогают инициативы Минцифры и комплекс мер нацпроекта «Цифровая экономика». Так, проект «Цифровые профессии» дает возможность получить дополнительное образование по ИТ-специальностям бесплатно или со скидкой до 75%. Кроме того, ведомство позволило ИТ-компаниям оформлять отсрочку от армии для сотрудников на Госуслугах, а также для упростило правила оформления льготной ипотеки. 

Проблемы инфобеза

Несмотря на программы поддержки отрасли, высокую популярность курсов по ИТ, обилие учебных программ в вузах и информационных ресурсов на онлайн-площадках, дефицит высококвалифицированных ИТ-кадров продолжает набирать обороты, особенно в секторе информационной безопасности. 

За текущий год количество вакансий в сфере в России выросло на 10%, высокий спрос наблюдается в том числе на ИБ-специалистов. Также аналитики отмечают в ИТ-сфере самый высокий рост зарплатного предложения: за год оно увеличилось почти на 8%. Кроме того, в прошлом году кибербезопасность попала в топ-7 наиболее востребованных направлений среди ИТ-специалистов. 

При этом информационные системы предприятий подвергаются все новым угрозам. В частности, государственная и коммерческая тайны, биометрические, медицинские и финансовые данные однажды могут оказаться под ударом квантовой атаки. Огромные вычислительные мощности квантовых компьютеров могут взломать и расшифровать большую часть традиционной криптографии, стать угрозой для безопасности приватных ключей и транзакций.

По данным рекрутинговых компаний «Зарплата.ру» и школы Skillfactory, в третьем квартале 2023 года почти треть российских компаний искала специалистов по кибербезопасности. Около четверти руководителей нуждались в «миддлах» (программистах с опытом от 2 до 4 лет) и примерно столько же – в руководителях отделов. 17% работодателей искали самых опытных специалистов («сеньоров»), и только 14% — «джунов» – начинающих работников.

По словам эксперта по информационной безопасности «Лиги Цифровой Экономики» Виталия Фомина, острый кадровый голод отрасль испытывает в сертификации программных продуктов, обеспечении требований Центробанка по информационной безопасности и разработке безопасного программного обеспечения. Также, на его взгляд, рынок нуждается в специалистах с опытом проектной работы на предприятиях со штатом от двух тысяч человек. 

Как отмечает эксперт, в небольшом стартапе достаточно базовых знаний, которые можно получить за два года, но в крупных предприятиях нужно смотреть на проектирование системы защиты информации более комплексно и широко. Корпорациям не подойдет схема работы, где ИБ-отдел интегрирует, поддерживает, но не обновляет используемые в работе кейсы средств защиты информации. Из-за регулярного обновления схем злоумышленников необходимо постоянно внедрять новые методические рекомендации, которые специалисты по ИБ должны использовать в работе.

HR-директор RoboFinance Мария Мигаль в свою очередь считает, что на рынке труда не хватает ИБ-специалистов следующих ролей:

• Инженеров по кибербезопасности для настройки и обслуживания систем безопасности;

• Аналитиков по безопасности, которые могут анализировать угрозы и инциденты;

• Экспертов по управлению рисками информационной безопасности;

• Специалистов по социальной инженерии для тестирования на проникновение и обучения сотрудников;

• Специалистов по законодательству и регулированию информационной безопасности.

Портрет ИБ-специалиста 

Управляющий RTM Group Евгений Царев делит ИБ-специалистов на две категории – «технари» (настраивают средства защиты и эксплуатируют их) и «нормативщики» (обеспечивают так называемую «бумажную безопасность», то есть соответствие системы ИБ различным стандартам и требованиям). Первые часто получаются из ИТ-специалистов, вторые – из юристов. Они могут набираться опыта у коллег или переучиваться по академическим программам. При этом специалистов обеих категорий подготавливают и профильные кафедры: по мнению эксперта, такие специалисты ценнее «переучек». 

По его словам, количество ИБ-кадров в компании зависит от ряда факторов:

• Количества и масштаба информационных активов предприятия;

• Вовлеченности высшего руководства в тему ИБ (именно от этого зависит финансирование);

• Парка технических средств защиты;

• Компетенции ИТ и юридической служб;

• Отрасли функционирования компании (например, для поднадзорных Центробанка РФ организаций объем работы ИБ-персонала существенно выше).

Царев отметил, что для малого предприятия обычно достаточно одного человека, координирующего усилия аутсорсинга, поскольку штатные специалисты дорого обходятся небольшим организациям. Для среднего бизнеса, с его точки зрения, в зависимости от вышеперечисленных аспектов, будет достаточно двух «технарей» и столько же «нормативщиков». Для крупного бизнеса размер ИБ-отдела может исчисляться сотнями кадров.

Мигаль из RoboFinance говорит, что количество сотрудников и их роли в отделе зависят не только от масштабов организации, но и от уровня угроз. Но чаще всего в крупных компаниях работают специалисты на следующих должностях:

• Директор по информационный безопасности (CISO) – ответственный за стратегическое управление ИБ.

• Администраторы безопасности – занимаются настройкой и обслуживанием технических решений.

• Аналитики по безопасности – отслеживают и анализируют угрозы.

• Специалисты по мониторингу безопасности – следят за событиями в реальном времени.

• Специалисты по реагированию на инциденты – расследуют и реагируют на инциденты.

• Эксперты по управлению рисками – оценивают и управляют рисками.

Она добавила, что для средних и крупных компаний необходима команда как минимум из двух-трех ИБ-специалистов. Для небольших предприятий может быть достаточно и одного специалиста, но высокой квалификации, который охватит все направления защиты.

Фомин из «Лиги Цифровой Экономики» считает, что оптимальный возраст специалиста в области ИБ – 28-38 лет. Именно к этому времени он приобретает опыт как «бумажной» работы, так и технической защиты информации. Он уверен, что способность к более глубокой аналитике у специалистов появляется только после трех лет опыта в этой сфере. 

С его слов, в зависимости от масштаба предприятия в отделе ИБ должны работать как минимум один эксперт по законодательству в области информационной безопасности, специалист по безопасности телекоммуникационных сетей, а также один-два специалиста, обеспечивающих установку и администрирование средств защиты информации. 

Также он добавил, что курировать все направления должен непосредственно руководитель отдела, который будет отслеживать тенденции рынка и координировать все вопросы. Данный формат, по словам Фомина, подойдет для компании на 50-80 персональных компьютеров с построенной доменной архитектурой, управляемой отделом информационных технологий. Важна и связка между отделами ИТ и ИБ, так как многие задачи требуют качественной координации этих подразделений для быстрого решения вопросов разной сложности.

Собеседник IT Speaker пояснил, что специалисту необходимо давать время для анализа ИБ-рынка – он должен самостоятельно находить методы, которые повысят уровень киберзащиты предприятия. При этом специалист подчеркивает высокую ценность топ-менеджеров как кадров – в случае ухода грамотного руководителя какое-то время его будет некем заменить, а это угрожает компании неприятными последствиями, в том числе снижению киберзащиты.

Дефицит кадров обостряет и вышедший 1 мая 2022 указ по дополнительным мерам для обеспечения информационной безопасности РФ, в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты. Документ возлагает персональную ответственность за обеспечение информационной безопасности на руководителей органов или организаций. Также, согласно документу, в госорганах, госкомпаниях, стратегических и системообразующих организациях, владеющих критически важной инфраструктурой, должны быть назначены заместители главы, отвечающие за информационную безопасность, и специальные подразделения (или подрядчики), обеспечивающие ее.

Так, по оценкам аналитиков, исполнение указа президента приведет к росту и без того высокого спроса на специалистов по защите информации. Около 100 тыс. российских организаций могут столкнуться с проблемой поиска минимум 30 тыс. ИБ-кадров дополнительно.