Эксперты в студии AM Live обсудили важную для отрасли тему образования, обучения и подготовки кадров: как утолить кадровый голод? Почему эта проблема стала такой острой, каких специалистов не хватает и как выходить из этой непростой ситуации?
- Введение
- Кадровый голод на рынке ИБ. Кто нужен отрасли?
- Профессиональные стандарты и программы обучения
- Развитие образования по информационной безопасности
- Итоги эфира
- Выводы
Введение
Эксперты в студии AM Live поговорили о кадровом дефиците в российской сфере ИБ и затронули тему подготовки специалистов: где обучиться и какой трек пройти, чтобы стать высокооплачиваемым работником, насколько значимыми являются иностранные сертификаты и отечественные курсы по программе ФСТЭК России, каких тенденций ждать на этом рынке.
Рисунок 1. Эксперты по ИБ-образованию в студии Anti-Malware.ru
Спикеры прямого эфира:
- Евгения Русских, руководитель отдела по связям с учебными заведениями, «Лаборатория Касперского»;
- Анна Чефранова, генеральный директор НОЧУ ДПО ЦПК «Учебный центр «ИнфоТеКС»;
- Денис Макрушин, технический директор МТС RED;
- Сергей Золотухин, ведущий консультант по кибербезопасности F.A.C.C.T.;
- Евгений Акимов, директор Национального киберполигона, «РТК-Солар»;
- Дмитрий Федоров, руководитель проектов по взаимодействию с вузами, Positive Technologies;
- Дмитрий Правиков, заведующий кафедрой КБ КВО, РГУ нефти и газа (НИУ) им. И. М. Губкина.
Ведущий и модератор дискуссии — Илья Шабанов, генеральный директор «АМ Медиа».
Кадровый голод на рынке ИБ. Кто нужен отрасли?
Кто такие ИБ-специалисты и сколько их в России требуется?
В начале дискуссии ведущий Илья Шабанов предложил собравшимся внести ясность в терминологию и определиться с тем, кто всё же относится к ИБ-специалистам. Дать ответ оказалось непросто. По словам экспертов, есть разные аспекты и специализации, которые слишком трудно вписать в одно лаконичное определение.
Дмитрий Правиков:
— Специалист по ИБ определяется многими аспектами, в том числе профессиональными стандартами и конкретными потребностями работодателя.
Дмитрий Правиков, заведующий кафедрой КБ КВО, РГУ нефти и газа (НИУ) им. И. М. Губкина
Есть также список освоенных в университете дисциплин и перечень требований работодателей, у которых свои представления о том, каким должен быть ИБ-специалист. Не стоит забывать и о самоучках, которые по компетенциям могут быть на голову выше окончивших профильный вуз специалистов. В конечном счёте собравшиеся согласились с определением Сергея Золотухина.
Сергей Золотухин:
— Специалист по ИБ — это человек, который вне зависимости от уровня образования способен решать конкретные задачи в части защиты информации, доступа, криптографии и других насущных проблем.
Сергей Золотухин, ведущий консультант по кибербезопасности F.A.C.C.T.
На ресурсе по поиску персонала HeadHunter размещено три тысячи вакансий по информационной безопасности. Зампред правления «СберБанка» Станислав Кузнецов оценивает дефицит ИБ-специалистов в 100 тыс. человек. Согласно ФСТЭК России, потребность в специалистах по защите информации в 2023–2025 гг. составит около семи тысяч человек, что кажется весьма оптимистичным прогнозом. Ведь в таких кадрах нуждаются федеральные и исполнительные органы власти, госкорпорации и предприятия из сферы оборонной промышленности.
Евгений Акимов:
— Есть органический рост потребности в ИБ-специалистах. Но ситуация с СВО добавила драматизма. Западные вендоры ушли, и отечественные производители средств защиты информации в авральном режиме вынуждены были «дотачивать» свои продукты. При этом появляются новые игроки рынка, вендоры расширяют свои продуктовые линейки, и объём такой разработки — достаточно масштабный. Российский продукт внедрить сложнее, то есть требуется больше человеко-часов, что опять диктует потребность в кадрах, которые эти решения внедряют.
Евгений Акимов, директор Национального киберполигона, «РТК-Солар»
Важно смотреть и на качество тех специалистов, которые сейчас есть на рынке, отметили участники прямого эфира.
Анна Чефранова:
— Потребность есть благодаря развитию нормативно-правовой базы: появился закон о КИИ, вышел указ Президента № 250. Интерес людей к профессии также растёт, потому что появилось много курсов профпереподготовки, а также государственных проектов.
Анна Чефранова, генеральный директор НОЧУ ДПО ЦПК «Учебный центр «ИнфоТеКС»
Какие специалисты нужны?
Эксперты сошлись во мнении, что отрасль нуждается в специалистах центров мониторинга (SOC) первой и второй линий, а также в аналитиках по информационной безопасности и администраторах средств защиты информации (СЗИ). По словам Анны Чефрановой, в год также требуется около одной тысячи специалистов в области квантовых коммуникаций. Но никто в России ещё не готовит такие кадры.
Российский рынок работает по формуле «брать студентов и обучать их на месте дополнительно», потому что невозможно представить себе сотрудников, которым не нужна адаптация. Закрыть для себя эту потребность компании могут за счёт стажировок, считает Евгения Русских.
Согласно проведённому опросу зрителей эфира AM Live, большая часть (39 %) из них испытывает дефицит кадров и трудности с поиском специалистов. Почти четверть (24 %) не смогли ответить на этот вопрос, а 23 % живут в условиях постоянного кадрового голода. 7 % растят специалистов сами или не видят недостатка в кадрах.
Рисунок 2. Испытывает ли ваша организация кадровый голод в области ИБ?
По мнению Дмитрия Федорова, если мы решаем тактическую задачу насытить рынок кадрами, то следует рассматривать курсы повышения квалификации, программы переподготовки и т. д. Стратегические же задачи решаются за счёт подготовки кадров в специализированных учебных заведениях.
Дмитрий Федоров, руководитель проектов по взаимодействию с вузами, Positive Technologies
Переток кадров из информационной безопасности в ИТ
По словам экспертов, кадровый голод образовывается в том числе из-за региональных работодателей, которые не готовы платить за обеспечение ИБ высокую заработную плату.
Ещё одна из проблем кадров — нет понятного для выпускников трека, как попасть на работу в ИБ-компанию. По мнению Дмитрия Федорова, если ИБ-компании начнут показывать выпускникам, как им попасть со своими знаниями с третьего или четвёртого курса в отрасль, то мы избежим большого перетока кадров из информационной безопасности в информационные технологии, где больше платят и есть понятный трек.
65 % опрошенных зрителей эфира AM Live постоянно испытывают потребность в повышении квалификации сотрудников в области информационной безопасности, ещё 24 % — только для специалистов узких направлений. 6 % респондентов не нуждаются в повышении квалификации ИБ-специалистов, 5 % предпочитают учить их в процессе работы.
Рисунок 3. Есть ли в вашей организации потребность в повышении квалификации сотрудников в области ИБ?
Профессиональные стандарты и программы обучения
Где получить образование по информационной безопасности?
По мнению экспертов, крупные команды по кибербезопасности набирают на стажировку учащихся из вузов. При этом в кибербез приходят не только студенты, но и, как уже говорилось выше, самоучки, а также представители отрасли информационных технологий, которые хотят развиваться в области борьбы с киберугрозами.
По словам Евгения Акимова, компании сталкиваются с тем, что «вырастить» человека «не у себя» просто невозможно из-за отсутствия предложений на рынке. Многих специализированных курсов просто нет. Поэтому крупным игрокам приходится самим справляться с этой задачей.
По данным опроса, большую часть зрителей эфира к повышению квалификации сотрудников могут подтолкнуть требования регуляторов (29 %). Для 25 % опрошенных стимулом могут стать произошедшие инциденты, а для 22 % — понимание изменившегося ландшафта угроз. Приобретение и установка нового средства защиты повлияют на 14 % опрошенных, а 11 % считают, что повышать квалификацию сотрудников не нужно, они всему научатся сами.
Рисунок 4. Что для вашей организации будет стимулом к повышению квалификации сотрудников?
Нужны ли для трудоустройства иностранные сертификаты и курсы по программе ФСТЭК России?
Согласно HeadHunter, только 11,3 % вакансий содержат требование о переподготовке по программе ФСТЭК России — в первую очередь для работы с критической информационной инфраструктурой.
Денис Макрушин:
— Иностранные сертификаты по типу CISSP безусловно полезны, и они нужны. Только тут стоит вопрос о том, в каком количестве и в каком качестве. Но раньше они популярными в России и не были.
По мнению Евгения Акимова, напротив, подобные сертификаты являются маркером, сигнализирующим о том, что человек в чём-то разбирается, неким знаком качества, и отношение к ним в России осталось вполне тёплым.
По словам экспертов, сейчас ведутся разговоры о том, чтобы создать отечественный аналог иностранной сертификации по информационной безопасности.
При этом 30 % зрителей хотели бы получить дополнительное профессиональное образование в области ИБ, согласно результатам опроса. Ещё примерно столько же, 28 %, хотели бы пройти курсы повышения квалификации, в том числе по программам согласованным с ФСТЭК и ФСБ России. Получить учёную степень по информационной безопасности хотели бы 22 % опрошенных, диплом о высшем образовании — 9 %. Наконец, 11 % респондентов и так всё знают.
Рисунок 5. Какое образование по ИБ вы хотели бы получить для себя лично?
Развитие образования по информационной безопасности
Какие главные тенденции будут заметны на рынке обучения ИБ в России в ближайшие несколько лет?
Денис Макрушин:
— Все мы научились стабильно жить в условиях жёсткой неопределённости и работать с ней. Я считаю, что это — хороший знак. Компании из разных отраслей знают о существовании определённых проблем и знают, как с ними работать. При этом безопасники — это люди, которые всегда росли в безопасной ситуации, но ещё сильнее они растут в кризис. Информационная безопасность кажется перспективной областью, которая будет расти в любой ситуации.
Денис Макрушин, технический директор МТС RED
Дмитрий Правиков:
— Мне очень приятно общаться с единомышленниками, с людьми, которые не находятся в высшем образовании, но понимают задачи, которые стоят перед нами. Очень приятно было видеть инициативы и движения, которые в целом развивают образование в области информационной безопасности.
Сергей Золотухин:
— Мне кажется, развитию образовательных треков по информационной безопасности — быть! Возможностей много, и сегодня мы увидели, что путей решения — полно.
Евгений Акимов:
— После программ стажировок чувствуется, что те предложения, которые есть на рынке, не дотягивают до того спроса, который есть в организациях. Можно привести в пример MBA, когда специалист всегда растёт; так и здесь — архитектор приходит на курсы и в конце пути становится директором по ИБ (CISO). Исходя из этого видно, куда надо смотреть и в каком направлении прилагать усилия.
Евгения Русских:
— Очень хочется, чтобы люди выбирали свой карьерный трек осознанно. Общая тенденция, которую мы видим, — сейчас очень много реактивных мер, в том числе в образовании, и очень хотелось бы от реагирования перейти в ближайшем будущем к стратегированию, где мы будем работать не с дефицитом, а с перспективами.
Евгения Русских, руководитель отдела по связям с учебными заведениями, «Лаборатория Касперского»
Дмитрий Федоров:
— Я очень рад услышать в сообществе, что есть пути тактический и стратегический. С точки зрения тактического мы сейчас открываем стажировки, пытаемся «залить пожар», чтобы специалисты срочно появились на рынке. При этом нужно не забывать про вузы и вкладываться в подрастающее поколение.
Анна Чефранова:
— Я думаю, что цели, которые мы ставили, достигнуты. Ведущие компании на рынке готовы помогать специалистам учиться и развиваться. Я думаю, бизнес всегда будет помогать и университетам, и колледжам. Необходимо собираться и учиться вместе.
Подавляющее большинство зрителей (79 %) считают полезными для отрасли отдельные мероприятия по вопросам кадрового обеспечения ИБ, 21 % — с оговоркой, что это зависит от программы.
Рисунок 6. Будет ли полезно для отрасли отдельное мероприятие по вопросам кадрового обеспечения ИБ?
Итоги эфира
Финальный опрос зрителей AM Live на тему «Убедила ли вас сегодняшняя дискуссия в необходимости образования и повышения квалификации в области ИБ?» показал, что 42 % зрителей узнали об интересных для себя возможностях, а 37 % убедились, что им есть где и чему учиться. 5 % сомневаются, что обучение им что-то даст, а 3 % не поверили в необходимость образования для сотрудников в области ИБ. 13 % респондентов остались в недоумении.
Рисунок 7. Убедила ли вас сегодняшняя дискуссия в необходимости образования и повышения квалификации в области ИБ?
Выводы
Кадровый голод в ИБ-отрасли сохраняется, как и в области информационных технологий. Это происходит по разным причинам. Во-первых, новая реальность диктует новые потребности: защита от внешних угроз, внедрение отечественных решений. Кроме того, законодательные инициативы работают на обеспечение безопасности КИИ и увеличение ИБ-штата на значимых предприятиях, что также создаёт спрос.
Решить проблему кадрового дефицита можно двумя способами. Первый заключается в обучении как таковом: получении среднего или высшего образования, профессиональной переподготовке, повышении квалификации и др. Помимо этого, можно формировать знания об информационной безопасности у специалистов смежных профессий, которые так или иначе решают задачи в этой области в ходе своей работы.
Сейчас тема перспективных профессий в кибербезопасности обсуждается на важных отраслевых мероприятиях, в т. ч. с участием Федерального учебно-методического объединения (ФУМО) в системе высшего образования «Информационная безопасность». Немалые усилия для насыщения рынка прилагают ИБ-компании и университеты. В целом кадровый голод подтолкнул отрасль к преобразованиям в лучшую сторону: решения по автоматизации, курсы, вовлечённость компаний во взращивание кадров и др.
Проект AM Live на этом не останавливается. Скоро эксперты отрасли снова соберутся в студии и обсудят самые острые темы российского ИБ-рынка. Будьте в курсе трендов и важных событий. Для этого обязательно подпишитесь на наш YouTube-канал. До новых встреч!