ИБ не ведают: бизнесу не хватает специалистов по кибербезопасности

В третьем квартале 2023 года почти треть российских компаний собирается нанимать специалистов по кибербезопасности, следует из данных рекрутинговых компаний. Действительно ли на рынке возник дефицит работников в сфере ИБ, с чем это связано и как с ним собираются справляться — в материале "Известий". Сколько специалистов ИБ нужно Аналитики сервиса по поиску работы "Зарплата.ру""и школы ИТ-профессий Skillfactory с 5 по 11 мая провели опрос среди 1200 руководителей российских компаний и начальников отделов в организациях в возрасте 25–55 лет. Каждый третий руководитель — 32% респондентов — рассказал, что в третьем квартале 2023 года компания будет нуждаться в специалистах по кибербезопасности. Говоря в целом о сотрудниках в сфере ИТ, руководители чаще всего указывают на необходимость "миддлов" — 34% опрошенных надеются нанять опытных специалистов, еще 35% хотели бы найти руководителей отделов. 17% работодателей будут искать самых опытных специалистов ("сеньоров"), и только 14% — "джунов", то есть неопытных начинающих работников. Впрочем, 38% отечественных компаний признают также, что будут нуждаться в ИТ-стажерах. Управляющий партнер коммуникационного агентства B&C Agency Иван Самойленко сообщил "Известиям", что нехватка специалистов для ИТ-отрасли в России оценивается на уровне более 100 тыс. специалистов, а в сфере кибербезопасности не хватает почти 30 тыс. работников. — Так что можно сказать, что ситуация на рынке труда в этой сфере действительно напряженная, — сказал он. — С одной стороны, постоянно растет число киберугроз и количество различных атак, утечек персональных данных. С другой, нехватка специалистов — это следствие того, что часть россиян из ИТ-сферы релоцировалась в другие страны, а подготовка в вузах не успевает за потребностями рынка. HR-директор "СерчИнформ" Кирилл Медведев рассказывает об исследовании своей компании за 2022 год, согласно которому возросший кадровый дефицит в сфере информационной безопасности заметили 19% опрошенных компаний, а еще 38% констатировали, что проблемы есть, но они не стали больше. — По нашему опросу, в 2022 году более чем в четверти организаций подразделение по информационной безопасности либо было создано (14%), либо находилось в процессе создания (12%), — сказал он "Известиям". — Учитывая масштаб, поиск кадров для многих компаний превращается в непростую задачу. Почему возникла необходимость Руководитель центра экспертизы по управлению персоналом "Лаборатории Касперского" Кирилл Ширяев отмечает, что потребность в специалистах по кибербезопасности растет ежегодно. — Это связано в том числе с появлением новых видов киберугроз и эволюцией техник злоумышленников, а также развитием технологий и растущими потребностями бизнеса, — сказал он "Известиям". — Отдельно стоит отметить нехватку высококвалифицированных узкопрофильных специалистов в ИБ, которые имеют практический опыт защиты инфраструктуры и приложений компаний. Глава комиссии по финансовой безопасности Совета ТПП РФ Тимур Аитов отметил, что темпы роста рынка информационной безопасности увеличились с февраля 2022 года с 15–20% до 30–40%. — Тогда возросло количество кибератак и увеличилась их длительность, кроме того, возникли новые задачи по замене программного обеспечения ушедших с российского рынка западных компаний, — сказал он "Известиям". — Также появились директивные документы (майский указ президента № 250 "О дополнительных мерах по обеспечению информационной безопасности"), обязывающие создать в госкомпаниях, фондах и других подобных организациях подразделения по ИБ. Принятый указ президента также установил персональную ответственность руководителей организаций за обеспечение информационной безопасности, сообщили "Известиям" в Минцифры. На фоне этого компании вкладывают больше усилий в сферу ИБ, а востребованность специалистов растет. Руководитель отдела ИБ компании "Рексофт" Юлия Коновалова отмечает, что указ президента затрагивает около 500 тыс. организаций, а это до 95% российской экономики. Это объективные требования: общее число DDoS-атак на российскую инфраструктуру за 2022 год превысило более чем на 700% показатели 2021 года: 1 млн 255 тыс. инцидентов против 147 тыс. А среднее количество атак в сутки выросло в 18 раз (6 тыс. ежедневных инцидентов против 320), говорит собеседница. Член генсовета, руководитель подкомитета по противодействию информационно-телекоммуникационным правонарушениям "Деловой России" Евгений Елфимов замечает, что постоянно меняются и виды киберугроз — например, в связи с развитием искусственного интеллекта. На это тоже необходимо реагировать. Какие специалисты нужны Тимур Аитов из ТПП отмечает, что нехватка кадров ощущается, но не во всех направлениях в равной степени. — Сейчас есть острая потребность в разработчиках специализированного ПО в сфере ИБ, велик спрос на специалистов по проведению пентестов — тестов на качество защиты предприятия от кибератак, требуются специалисты по обеспечению защиты облачных инфраструктур, — сказал он. — Упомяну здесь и антифрод-аналитиков, востребованных в сфере защиты финансовых транзакций, а также различного рода проектов в сфере финтеха. Высока потребность в специалистах информационной безопасности с навыками архитектора, которые понимают взаимосвязи, говорит директор по персоналу компании-разработчика ПО "МойОфис" Александра Мин. При этом гендиректор Zecurion Алексей Раевский считает, что проблема в нехватке специалистов связана в первую очередь с нежеланием работодателей много платить: хорошего сотрудника за достойную оплату труда найти несложно, но многие по-прежнему выделяют бюджеты на информационную безопасность по остаточному принципу. В итоге произошел перекос: у программистов уровень заработной платы традиционно выше, чем у специалистов в информационной безопасности. Рынок сейчас ищет работников всех уровней, говорит Раевский: кто-то нанимает стажеров и начинающих специалистов и в рамках программ внутренней подготовки обучает их; а на промышленных предприятиях или в банках такого спроса на джуниоров уже не будет. — Конкуренция за опытных сотрудников на рынке значительно выше, чем за выпускников вузов и младших специалистов, — говорит эксперт "Лаборатории Касперского" Кирилл Ширяев. — Тем не менее на начинающих "безопасников" у многих компаний также всегда есть спрос. Кирилл Медведев из "СерчИнформ" считает, что выбирать компаниям сейчас особо не приходится, и ссылается на исследование hh.ru, согласно которому на одну вакансию по ИБ в среднем приходится менее одного резюме. Сильно различается ситуация и в зависимости от размера организации: для многих компаний реальность такова, что там рассчитывают переложить все задачи, связанные с кибербезопасностью, на одного специалиста-универсала. — Новички тоже могут рассчитывать на трудоустройство и активно вливаться в команды по защите информации, повышая свои навыки и приобретая ценный опыт, — говорит руководитель департамента подбора и адаптации персонала ГК Softline Марина Лисица. — Но с учетом роста экспертизы киберпреступников важно понимать, что даже опытные специалисты должны продолжать обучаться и развиваться, чтобы оставаться конкурентоспособными в этой области. Как дела с обучением Тимур Аитов отмечает, что система образования специалистов в области информационной безопасности достаточно консервативна, ситуация не улучшается и не ухудшается. Проблема в том, что молодые люди не очень охотно выбирают специальности в сфере кибербезопасности из-за не самой высокой для сферы ИТ зарплаты. При этом у них есть привязка к рабочему месту, а ответственность гораздо выше. Юлия Коновалова из "Рексофт" замечает, что ежегодно выпускается много специалистов по информационной безопасности, но не все идут работать в свою сферу. — К примеру, из моего выпуска 2000 года по специальности работают пятеро из 26, — говорит она. — Из тех специалистов, с кем лично приходилось работать, часть была переучена на курсах переподготовки. На мой взгляд, выпускники вузов лучше, чем слушатели коротких курсов, но живая рабочая практика в компании с хорошим наставником и желание сотрудника развиваться за год-полтора дают нужный результат. Иван Самойленко из B&C Agency отмечает, что трансформация в системе высшего образования в России происходит — количество учебных заведений, выпускающих ИТ-специалистов разных направлений, в том числе в области кибербезопасности, растет. — Но перекосы пока будут сохраняться: на подготовку таких работников требуется немало времени и быстро заполнить вакансии крайне сложно, — говорит он. — Тем не менее государство принимает массу усилий, чтобы привлечь в том числе специалистов по безопасности в Сети и удержать их в стране: от льготной ипотеки до отсрочки от службы в армии. Так что со временем эта проблема будет решена. Минобрнауки в этом году выделило дополнительные бюджетные места в сфере информационной безопасности, заметил Кирилл Медведев, а в Минцифры рассказали, что кроме профильного образования в вузах и курсов дополнительного образования в России будут проводить обучение на базе киберполигонов для отработки практических навыков. — Процессом обучения и сертификацией учебных программ в сфере ИБ также активно занимается Федеральная служба по техническому и экспортному контролю, — рассказали в министерстве. Однако Кирилл Медведев добавляет, что для обеспечения информационной безопасности в компаниях недостаточно одних специалистов по ИБ: базовые знания и навыки нужны всем сотрудникам, работающим с компьютерной техникой. — На непрофильных университетских программах этому почти не уделяется внимания, — говорит эксперт. — Задача повышения грамотности в области информационной безопасности фактически ложится на работодателя. Евгений Елфимов из "Деловой России" отмечает, что очень важно сконцентрировать усилия на дополнительном обучении специалистов, но нужно не забывать и о других способах решить проблему. В частности, он предлагает расширить действие указа президента от 2 марта 2022 года № 83 "О мерах по обеспечению ускоренного развития отрасли информационных технологий в Российской Федерации". Сейчас в нем узкий перечень аккредитованных ИТ-компаний и специалистов, которым предоставляется поддержка государства. Этот перечень необходимо увеличивать, считает Елфимов, как и перечень специальностей в части защиты информации. Также необходимо готовить и разрабатывать государственные стандарты в кибербезопасности, резюмирует собеседник. Ссылка на источник