ИБ не ведают: бизнесу не хватает специалистов по кибербезопасности
В третьем квартале 2023 года почти треть российских компаний собирается нанимать специалистов по кибербезопасности, следует из данных рекрутинговых компаний. Действительно ли на рынке возник дефицит работников в сфере ИБ, с чем это связано и как с ним собираются справляться — в материале "Известий".
Сколько специалистов ИБ нужно
Аналитики сервиса по поиску работы "Зарплата.ру""и школы ИТ-профессий Skillfactory с 5 по 11 мая провели опрос среди 1200 руководителей российских компаний и начальников отделов в организациях в возрасте 25–55 лет. Каждый третий руководитель — 32% респондентов — рассказал, что в третьем квартале 2023 года компания будет нуждаться в специалистах по кибербезопасности.
Говоря в целом о сотрудниках в сфере ИТ, руководители чаще всего указывают на необходимость "миддлов" — 34% опрошенных надеются нанять опытных специалистов, еще 35% хотели бы найти руководителей отделов. 17% работодателей будут искать самых опытных специалистов ("сеньоров"), и только 14% — "джунов", то есть неопытных начинающих работников. Впрочем, 38% отечественных компаний признают также, что будут нуждаться в ИТ-стажерах.
Управляющий партнер коммуникационного агентства B&C Agency Иван Самойленко сообщил "Известиям", что нехватка специалистов для ИТ-отрасли в России оценивается на уровне более 100 тыс. специалистов, а в сфере кибербезопасности не хватает почти 30 тыс. работников.
— Так что можно сказать, что ситуация на рынке труда в этой сфере действительно напряженная, — сказал он. — С одной стороны, постоянно растет число киберугроз и количество различных атак, утечек персональных данных. С другой, нехватка специалистов — это следствие того, что часть россиян из ИТ-сферы релоцировалась в другие страны, а подготовка в вузах не успевает за потребностями рынка.
HR-директор "СерчИнформ" Кирилл Медведев рассказывает об исследовании своей компании за 2022 год, согласно которому возросший кадровый дефицит в сфере информационной безопасности заметили 19% опрошенных компаний, а еще 38% констатировали, что проблемы есть, но они не стали больше.
— По нашему опросу, в 2022 году более чем в четверти организаций подразделение по информационной безопасности либо было создано (14%), либо находилось в процессе создания (12%), — сказал он "Известиям". — Учитывая масштаб, поиск кадров для многих компаний превращается в непростую задачу.
Почему возникла необходимость
Руководитель центра экспертизы по управлению персоналом "Лаборатории Касперского" Кирилл Ширяев отмечает, что потребность в специалистах по кибербезопасности растет ежегодно.
— Это связано в том числе с появлением новых видов киберугроз и эволюцией техник злоумышленников, а также развитием технологий и растущими потребностями бизнеса, — сказал он "Известиям". — Отдельно стоит отметить нехватку высококвалифицированных узкопрофильных специалистов в ИБ, которые имеют практический опыт защиты инфраструктуры и приложений компаний.
Глава комиссии по финансовой безопасности Совета ТПП РФ Тимур Аитов отметил, что темпы роста рынка информационной безопасности увеличились с февраля 2022 года с 15–20% до 30–40%.
— Тогда возросло количество кибератак и увеличилась их длительность, кроме того, возникли новые задачи по замене программного обеспечения ушедших с российского рынка западных компаний, — сказал он "Известиям". — Также появились директивные документы (майский указ президента № 250 "О дополнительных мерах по обеспечению информационной безопасности"), обязывающие создать в госкомпаниях, фондах и других подобных организациях подразделения по ИБ.
Принятый указ президента также установил персональную ответственность руководителей организаций за обеспечение информационной безопасности, сообщили "Известиям" в Минцифры. На фоне этого компании вкладывают больше усилий в сферу ИБ, а востребованность специалистов растет.
Руководитель отдела ИБ компании "Рексофт" Юлия Коновалова отмечает, что указ президента затрагивает около 500 тыс. организаций, а это до 95% российской экономики. Это объективные требования: общее число DDoS-атак на российскую инфраструктуру за 2022 год превысило более чем на 700% показатели 2021 года: 1 млн 255 тыс. инцидентов против 147 тыс. А среднее количество атак в сутки выросло в 18 раз (6 тыс. ежедневных инцидентов против 320), говорит собеседница.
Член генсовета, руководитель подкомитета по противодействию информационно-телекоммуникационным правонарушениям "Деловой России" Евгений Елфимов замечает, что постоянно меняются и виды киберугроз — например, в связи с развитием искусственного интеллекта. На это тоже необходимо реагировать.
Какие специалисты нужны
Тимур Аитов из ТПП отмечает, что нехватка кадров ощущается, но не во всех направлениях в равной степени.
— Сейчас есть острая потребность в разработчиках специализированного ПО в сфере ИБ, велик спрос на специалистов по проведению пентестов — тестов на качество защиты предприятия от кибератак, требуются специалисты по обеспечению защиты облачных инфраструктур, — сказал он. — Упомяну здесь и антифрод-аналитиков, востребованных в сфере защиты финансовых транзакций, а также различного рода проектов в сфере финтеха.
Высока потребность в специалистах информационной безопасности с навыками архитектора, которые понимают взаимосвязи, говорит директор по персоналу компании-разработчика ПО "МойОфис" Александра Мин.
При этом гендиректор Zecurion Алексей Раевский считает, что проблема в нехватке специалистов связана в первую очередь с нежеланием работодателей много платить: хорошего сотрудника за достойную оплату труда найти несложно, но многие по-прежнему выделяют бюджеты на информационную безопасность по остаточному принципу. В итоге произошел перекос: у программистов уровень заработной платы традиционно выше, чем у специалистов в информационной безопасности.
Рынок сейчас ищет работников всех уровней, говорит Раевский: кто-то нанимает стажеров и начинающих специалистов и в рамках программ внутренней подготовки обучает их; а на промышленных предприятиях или в банках такого спроса на джуниоров уже не будет.
— Конкуренция за опытных сотрудников на рынке значительно выше, чем за выпускников вузов и младших специалистов, — говорит эксперт "Лаборатории Касперского" Кирилл Ширяев. — Тем не менее на начинающих "безопасников" у многих компаний также всегда есть спрос.
Кирилл Медведев из "СерчИнформ" считает, что выбирать компаниям сейчас особо не приходится, и ссылается на исследование hh.ru, согласно которому на одну вакансию по ИБ в среднем приходится менее одного резюме. Сильно различается ситуация и в зависимости от размера организации: для многих компаний реальность такова, что там рассчитывают переложить все задачи, связанные с кибербезопасностью, на одного специалиста-универсала.
— Новички тоже могут рассчитывать на трудоустройство и активно вливаться в команды по защите информации, повышая свои навыки и приобретая ценный опыт, — говорит руководитель департамента подбора и адаптации персонала ГК Softline Марина Лисица. — Но с учетом роста экспертизы киберпреступников важно понимать, что даже опытные специалисты должны продолжать обучаться и развиваться, чтобы оставаться конкурентоспособными в этой области.
Как дела с обучением
Тимур Аитов отмечает, что система образования специалистов в области информационной безопасности достаточно консервативна, ситуация не улучшается и не ухудшается. Проблема в том, что молодые люди не очень охотно выбирают специальности в сфере кибербезопасности из-за не самой высокой для сферы ИТ зарплаты. При этом у них есть привязка к рабочему месту, а ответственность гораздо выше.
Юлия Коновалова из "Рексофт" замечает, что ежегодно выпускается много специалистов по информационной безопасности, но не все идут работать в свою сферу.
— К примеру, из моего выпуска 2000 года по специальности работают пятеро из 26, — говорит она. — Из тех специалистов, с кем лично приходилось работать, часть была переучена на курсах переподготовки. На мой взгляд, выпускники вузов лучше, чем слушатели коротких курсов, но живая рабочая практика в компании с хорошим наставником и желание сотрудника развиваться за год-полтора дают нужный результат.
Иван Самойленко из B&C Agency отмечает, что трансформация в системе высшего образования в России происходит — количество учебных заведений, выпускающих ИТ-специалистов разных направлений, в том числе в области кибербезопасности, растет.
— Но перекосы пока будут сохраняться: на подготовку таких работников требуется немало времени и быстро заполнить вакансии крайне сложно, — говорит он. — Тем не менее государство принимает массу усилий, чтобы привлечь в том числе специалистов по безопасности в Сети и удержать их в стране: от льготной ипотеки до отсрочки от службы в армии. Так что со временем эта проблема будет решена.
Минобрнауки в этом году выделило дополнительные бюджетные места в сфере информационной безопасности, заметил Кирилл Медведев, а в Минцифры рассказали, что кроме профильного образования в вузах и курсов дополнительного образования в России будут проводить обучение на базе киберполигонов для отработки практических навыков.
— Процессом обучения и сертификацией учебных программ в сфере ИБ также активно занимается Федеральная служба по техническому и экспортному контролю, — рассказали в министерстве.
Однако Кирилл Медведев добавляет, что для обеспечения информационной безопасности в компаниях недостаточно одних специалистов по ИБ: базовые знания и навыки нужны всем сотрудникам, работающим с компьютерной техникой.
— На непрофильных университетских программах этому почти не уделяется внимания, — говорит эксперт. — Задача повышения грамотности в области информационной безопасности фактически ложится на работодателя.
Евгений Елфимов из "Деловой России" отмечает, что очень важно сконцентрировать усилия на дополнительном обучении специалистов, но нужно не забывать и о других способах решить проблему. В частности, он предлагает расширить действие указа президента от 2 марта 2022 года № 83 "О мерах по обеспечению ускоренного развития отрасли информационных технологий в Российской Федерации". Сейчас в нем узкий перечень аккредитованных ИТ-компаний и специалистов, которым предоставляется поддержка государства. Этот перечень необходимо увеличивать, считает Елфимов, как и перечень специальностей в части защиты информации. Также необходимо готовить и разрабатывать государственные стандарты в кибербезопасности, резюмирует собеседник.