В ходе первого эфира нового сезона на канале AM Live участники обсудили то, каким образом компании могут преодолеть дефицит ИБ-специалистов. Наиболее простым и наименее затратным способом оказывается переподготовка в сочетании с «доращиванием» тех, кто приходит из смежных областей (например, ИТ) или пытается получить дополнительную специальность на различных курсах.
- Введение
- Кого не хватает рынку: людей или компетенций?
- Форматы и программы
- Киберполигоны должны стать тиражируемыми
- Все форматы хороши
- Как удержать кадры
- Новые тенденции
- Выводы
Введение
Кадры — главное в отрасли ИБ. Именно тема «кадрового голода» является одной из наиболее острых, причём она будет сохранять значимость на горизонте не менее пяти лет. В этих условиях наиболее быстрым способом если не побороть дефицит кадров, то хотя бы снизить остроту проблемы является повышение квалификации и переподготовка уже имеющихся специалистов.
Рисунок 1. Участники дискуссии в студии AM Live
В качестве экспертов в эфир AM Live были приглашены:
- Светлана Бурикова, руководитель отдела обучения, F.A.C.C.T.
- Олег Игнатов, руководитель отдела взаимодействия с вузами, Positive Technologies.
- Евгения Русских, руководитель отдела по связям с учебными заведениями, «Лаборатория Касперского».
- Станислав Карпович, менеджер по развитию бизнеса Solar CyberBoost, ГК «Солар».
- Дмитрий Гусев, заместитель генерального директора, «ИнфоТеКС».
- Сергей Зеленин, руководитель учебного центра, Security Vision.
Вёл дискуссию генеральный директор «АМ Медиа» Илья Шабанов.
Кого не хватает рынку: людей или компетенций?
Открывая дискуссию, Илья Шабанов напомнил о результатах опроса, проведённого ровно год назад, когда прошёл первый эфир, посвящённый теме переподготовки ИБ-кадров. Тогда более половины респондентов заявили о том, что для них приоритетом является повышение квалификации сотрудников. С другой стороны, начиная с 2022 г. появилось большое количество разного рода школ и курсов, через которые прошли большие массы тех, кто хотел «войти в ИТ». Однако их потенциал часто остаётся невостребованным.
Дмитрий Гусев, заместитель генерального директора, «ИнфоТеКС»
Дмитрий Гусев:
— Не хватает компетенций, а не людей, что прямо отражается на статистике инцидентов: они происходят потому, что персонал не умеет детектировать атаки и реагировать на них. Учебные заведения до сих пор делают акцент по большей части на теории и нормативной базе. Курсы же как раз позволяют получить и закрепить практические навыки по правильному использованию средств защиты в условиях киберполигона.
Станислав Карпович, менеджер по развитию бизнеса Solar CyberBoost, ГК «Солар»
Станислав Карпович:
— Те, кто прошёл такие курсы, позволили быстро нарастить количество, а механизмы дообучения позволят добиться качества. Проблема же состоит в том, что количество слишком велико. Но динамика на рынке труда неблагоприятна. И вузы, и средние учебные заведения не в состоянии справиться с выпуском кадров.
Положение, по мнению Станислава Карповича, усугубляется тем, что сами компании, особенно крупные и территориально распределённые, не имеют представления о том, какие именно кадры и компетенции им в данный момент необходимы. «Кризис не только кадровый, но и управленческий, который плавно перетекает в кризис управляемости в компаниях, особенно территориально распределённых», — отметил представитель ГК «Солар».
Светлана Бурикова, руководитель отдела обучения, F.A.C.C.T.
Светлана Бурикова:
— Выпускники курсов хорошо мотивированы, и поэтому представителям ИБ-компаний необходимо туда заходить, чтобы те, кто там обучается, получали необходимые компетенции — тем более что, как отметила Евгения Русских, потенциальному работодателю важно то, чтобы потенциальный сотрудник имел необходимые навыки, а то, где он их получил, значения не имеет.
Олег Игнатов, руководитель отдела взаимодействия с вузами, Positive Technologies
Олег Игнатов:
— Практически любой инцидент с серьёзными последствиями, будь то действие программ-вымогателей или крупная утечка данных, является примером того, к чему приводит недостаток квалификации сотрудников из ИБ-подразделений. По статистике Positive Technologies, причиной является то, что сотрудники, эксплуатировавшие средства защиты, не смогли обнаружить атаку и (или) вовремя и адекватно на неё отреагировать.
Олег Игнатов предупредил, что повышение квалификации не решает задачи наполнения штата ИБ-специалистов, но позволяет подготовить сотрудников новых специальностей, которые постоянно появляются. А вот с пресловутыми «джунами», по его мнению, сложно работать из-за того, что рынок труда в ИТ серьёзно перегрет и порождает завышенные зарплатные ожидания. В свою очередь, учреждения среднего специального образования позволят набрать критическую массу специалистов, особенно таких массовых, как операторы средств защиты.
Сергей Зеленин добавил, что многие выпускники вузов переходят в ИТ, поскольку там уровень зарплат выше. Поэтому, как он подчеркнул, нужно вести работу по популяризации ИБ с самого раннего возраста.
Как показал опрос зрителей, они весьма самокритично оценили уровень своих компетенций: больше половины заявили, что не знают ничего или меньше, чем хотелось бы.
Рисунок 2. Как вы оцениваете уровень собственной квалификации в ИБ?
Форматы и программы
Тому, каких навыков не хватает в компаниях, был посвящён второй опрос. Наибольший удельный вес ожидаемо получило реагирование на инциденты. Второе место заняла безопасная разработка, что участники дискуссии связали с активной работой регуляторов и скорым появлением обновлённого российского ГОСТа.
Рисунок 3. Каких компетенций в ИБ особенно не хватает вашей компании?
Киберполигоны должны стать тиражируемыми
Участники дискуссии единодушно назвали очень плохой идеей учёбу «в боевых условиях». Как подчеркнул Олег Игнатов, это связано с очень большими рисками для компаний, особенно если персонал раньше никогда не сталкивался с реальными атаками. По его мнению, надо учиться на киберполигонах, на основе сценариев реальных атак и с использованием той же инфраструктуры, что и у заказчика.
Станислав Карпович также обратил внимание на то, что отражение атак — командная работа, а российская система образования соответствующих навыков не даёт. Их надо оттачивать, причём до автоматизма. Для решения этой задачи, по мнению спикера, также подходит киберполигон. При этом тренировки там должны быть регулярными, как у работников экстренных служб или экипажей самолётов. Именно на такую задачу ориентирована программа «Кибербуст», рассчитанная на 80 часов.
Дмитрий Гусев считает, что такие киберполигоны должны стать тиражируемым массовым продуктом. Тем самым будет решена задача развития нужных навыков у больших масс специалистов.
Все форматы хороши
Обсудив выбор конкретного формата, участники дискуссии решили, что каждый из них имеет свои положительные стороны.
Сергей Зеленин, руководитель учебного центра, Security Vision
Сергей Зеленин:
— Популярность полностью онлайновых форматов снижается в пользу очного и гибридного обучения. Для подготовки заместителей генерального директора по ИБ онлайн-формат просто не подходит, однако использование видео в процессе обучения востребованно и полезно.
По мнению Светланы Буриковой, краткосрочные (от двух до пяти дней) курсы, в том числе в онлайн-формате, весьма эффективны для подготовки многих позиций, включая связанные с реагированием на инциденты. Интерес к ним стабилен.
Евгения Русских, руководитель отдела по связям с учебными заведениями, «Лаборатория Касперского»
Евгения Русских:
— Форма обучения большого значения не имеет. Для разных категорий кадров удобны разные. Обучение, вне зависимости от его формы, должно поддерживать уровень знаний на достаточном уровне.
Третий опрос был посвящён тому, в какой области ИБ зрителям хотелось бы получить дополнительные знания в первую очередь. С большим отрывом (40 %) первое место заняло обнаружение и реагирование на угрозы, на втором оказалась автоматизация, включая использование искусственного интеллекта в ИБ.
Рисунок 4. В какой области ИБ вам хотелось бы получить дополнительные знания в первую очередь?
Тому, какая форма повышения квалификации чаще всего используется, был посвящён четвёртый опрос. Первое место заняло посещение разного рода курсов (27 % участников), второе (без малого четверть зрителей) — просмотр вебинаров и видеороликов.
Рисунок 5. Какой способ обучения и повышения квалификации вы чаще всего используете?
Как удержать кадры
Вопрос удержания кадров является крайне сложным в условиях перегретого рынка труда и завышенных зарплатных ожиданий. Дмитрий Гусев назвал ИБ недофинансированной отраслью: по его наблюдениям, уровень затрат на кибербезопасность во многих компаниях составляет лишь 5 % от ИТ-бюджета при рекомендуемых 20–30 %. Выходом из этой ситуации, как обратил внимание Сергей Зеленин, часто является совмещение: только таким образом специалисты, особенно региональные, могут обеспечивать себе приемлемый уровень дохода.
Однако тут не всё однозначно. Так, Евгения Русских отметила, что для работы в ИБ нужно призвание, в этом отрасль близка к медицине, куда люди идут несмотря на невысокий уровень заработной платы.
Олег Игнатов признал тот факт, что очень многие ИБ-специалисты долго не задерживаются в компаниях, переходя туда, где им предложили более высокий уровень заработной платы. Но, по его наблюдениям, немало и тех, кто готов развиваться и расти, и компания должна давать им такую возможность, что становится важным конкурентным преимуществом.
Илья Шабанов, генеральный директор «АМ Медиа»
Илья Шабанов:
— Для ИТ- и ИБ-специалистов решение интересных задач часто более важно, чем высокая заработная плата.
Новые тенденции
Светлана Бурикова назвала главной тенденцией рост практического интереса к доращиванию ИБ-специалистов. Пока по большей части этот интерес проявляют коммерческие компании, с госструктурами всё обстоит «более сложно». С другой стороны, по наблюдениям представителя F.A.C.C.T., неуклонно падает средний уровень подготовки слушателей.
Олег Игнатов назвал тенденцией запрос на подготовку менеджеров. Он обратил внимание на то, что появилась первая программа по подготовке магистров делового администрирования, или MBA в английской аббревиатуре, в сфере ИБ. Также, по оценке Олега Игнатова, ответом на кадровый голод стало более активное использование в ИБ различных средств автоматизации, в том числе с применением искусственного интеллекта и машинного обучения. Другой новой тенденцией, по мнению представителя Positive Technologies, стал рост интереса к отрасли со стороны детей и подростков.
Сергей Зеленин согласился с последней оценкой, добавив, что рост интереса со стороны нового поколения полезен хотя бы потому, что способствует повышению киберграмотности. Кроме того, ранний вход в ИБ, по его оценке, позволит уже к окончанию школы понять возможный карьерный трек.
Дмитрий Гусев обратил внимание на рост практического интереса к ИБ в смежных сегментах, в частности со стороны специалистов в области промышленных систем. Проблемой, по его оценке, является нехватка преподавательских кадров. Другой тенденцией, на которую обратил внимание Дмитрий Гусев, стал заметный рост доли женщин среди ИБ-специалистов.
Завершающий опрос был посвящён тому, убедил ли эфир зрителей в необходимости образования и повышения квалификации. Результат оказался положительным: 55 % считают, что им есть где и чему учиться, а 28 % узнали о новых возможностях.
Рисунок 6. Убедила ли вас сегодняшняя дискуссия в необходимости образования и повышения квалификации в области ИБ?
Выводы
Ситуация с кадрами, по мнению участников эфира, в ближайшие годы будет оставаться сложной. Есть и некоторые тревожные тенденции, связанные с ухудшением качества подготовки с одной стороны и недофинансированием ИБ — с другой, что понижает конкурентоспособность на фоне высокого порога входа в профессию и значительного уровня ответственности.
Не менее остра проблема актуализации знаний у уже имеющихся кадров. Этот процесс должен стать постоянно действующим.
Телепроект AM Live еженедельно приглашает экспертов отрасли в студию, чтобы обсудить актуальные темы российского рынка ИБ и ИТ. Будьте в курсе трендов и важных событий! Для этого подпишитесь на наш канал в YouTube.