Кадровый дефицит в кибербезопасности — эхо бездетных 90-х

29.03.202315:09

В России накопленный дефицит кадров в информационной безопасности (ИБ) достигает 100 тысяч человек. При этом эксперты прогнозируют, что число кибератак, которое в 2022 году достигло беспрецедентных значений, снижаться не будет. Рынок ищет пути решения кадрового вопроса, но все упирается в демографический предел: в стране не хватает людей, и за счет мигрантов восполнить кадровый голод удастся не во всех отраслях. 

Заместитель главы Минцифры Александр Шойтов во время форума «Кадры и образование по ИБ в России: настоящее и будущее», который проходил на федеральной территории «Сириус», привел ведомственную статистику. По его словам, мониторинг исполнения указа президента «О дополнительных мерах по обеспечению информационной безопасности РФ» показал, что 80% организаций и компаний, которых он касается, жалуются на нехватку квалифицированных кадров. Ожидать, что попыток взлома станет меньше, не стоит, полагает замминистра. «Я не буду говорить, что увеличится. Оснований для того, что уменьшится, нет, возможно, они будут более сложными», — отметил Александр Шойтов.

«Хорошая новость состоит в том, что внимание к этой проблеме очень большое и будет появляться все больше специалистов, которые обеспечивают устойчивость цифровой инфраструктуры страны», — считает Евгений Абакумов, директор по информационным технологиям ГК «Росатом» и научный руководитель Научного центра информационных технологий и искусственного интеллекта университета «Сириус».

Это подтверждает сенатор, заместитель председателя Совета по развитию цифровой экономики при Совете Федерации Артем Шейкин. По его словам, в прошлом году контрольные цифры приема изменились в два раза.

Впрочем, спрос на людей растет быстрее. «Минтруд оценил ежегодную потребность в кадрах для ИБ по итогам 2021-го в 18,5 тысячи человек. Но в последние 2 года запрос бизнеса на специалистов в этой области значительно увеличился. Ранее причиной тому была пандемия и массовый переход сотрудников на удаленку, что спровоцировало растягивание корпоративного периметра безопасности. С февраля прошлого года радикально изменился объем информационных атак, что привело и к регуляторным изменениям, рассказала «Компании» директор центра кадровой экспертизы Positive Technologies и глава проекта PT Career Hub Мария Сигаева. Так, по новым правилам, компании, которые являются значимыми объектами критической инфраструктуры, должны развернуть у себя центры мониторинга ИБ, а это от 4 до 10 и более человек с серьезными компетенциями.

При этом конкурировать за кадры компаниям приходится не только между собой, но и с государством. С той лишь разницей, что госучреждения чаще ищут универсала, а коммерческие компании формируют узкоспециализированные кадры: они нанимают DevSecOps`ов, форензистов, пентестеров, реверсеров и многих других.

Кооперация сильнее конкуренции

Исключительно за счет повышения зарплат закрывать вакансии стратегически неверно, считают эксперты PT. Вендоры или высокотехнологические ИБ-компании не считают верным перекупать сотрудников у бизнеса так как в этом случае оголяется команда у заказчика или партнера — у них просто не остается людей, готовых работать со сложными инструментами защиты. Стратегически гораздо выгоднее для бизнеса кооперироваться, делиться экспертизой, помогать осваивать новые технологии, содействовать вузам в разработке актуальных образовательных программ. Просто требовать от вузов подготовить тысячи специалистов не работает, уверены участники форума. Образовательные учреждения ограничены в ресурсах: не везде есть преподаватели с практическим опытом или материально-техническая база, необходимая для практического обучения различным аспектам информационной безопасности и ИТ.

Общий технологический подход в высших учебных заведениях отстает сегодня примерно на семь лет, считает Мария Сигаева. Но этот пробел быстро восполняется за счет того, что, еще в студенчестве будущие специалисты проходят стажировки в реальных ИБ-компаниях, а институт наставничества способствует быстрому включению выпускника вуза в реальные проекты.

Сам вендор (Positive Technologies) сначала в факультативном порядке помогал своим клиентам и партнерам с поиском специалистов, а в мае прошлого года запустил PT Career Hub, своеобразное внутреннее кадровое агентство, которое в том числе подбирает и оценивает кандидатов для партнеров компании из сегмента B2B. По схожей, но более коммерциализированной модели работают несколько кадровых агентств в США, обеспечивающих смычку рекрутмента и специалистов по ИБ.

Самые популярные кадровые запросы российских компаний, по данным PT Career Hub, — аналитики SOC и инженеры по ИБ. Если за первые семь месяцев работы в 2022 году здесь подобрали кандидатов по 55 вакансиям для 26 компаний, то за два месяца 2023-го – этот показатель достиг 70 вакансий. Наибольшую активность проявляют банки, государственные организации и игроки из сферы ритейла.

Одним из главных источников кадров в PT Career Hub видят стажировки. В феврале 2022 года желание пройти стажировку изъявили 635, а уже через год число потенциальных учеников перевалило за 2800.

Еще одним из путей увеличения числа экспертов-практиков в области кибербезопасности может стать расширение возрастных границ найма. В этом году у проекта PT Career Hub есть задача по организации стажировок не только для студентов, но и для взрослых специалистов. Например, для тех, кто хочет подтянуть практические навыки в области кибербезопасности.

«Расширение возрастных границ найма — один из способов решения кадровой проблемы в ИБ, — подчеркивает Мария Сигаева. — Однако из-за того, что в России слабая управленческая школа, тридцатипятилетние, к примеру, руководители очень тяжело воспринимают ситуацию, когда к ним в подчинение приходят сотрудники старше 50 лет. Это вызов для бизнеса. Но, как показывает практика, именно взрослые люди, лишенные руководящих амбиций, с большим удовольствием занимаются наставничеством, что принесло бы двойную пользу бизнесу».


Поколение неродившихся

Переобучение взрослых особенно важно, так как область ИБ одна из немногих, где кадровую дыру не получится заткнуть мигрантами: есть вопросы допуска к гостайне и чувствительной информации.

Есть мнение, что линейного наращивания специалистов в ИБ не нужно: избавиться от кадрового дефицита можно за счет автоматизации, что приведет к высвобождению специалистов и их переключению с выполнения рутинных операций на профессиональное развитие и более сложные проекты.

Но для автоматизации нужны люди, которые ее проведут. Согласно лучшим практикам управления персоналом, 20% времени каждый сотрудник должен отдавать на решение задач автоматизации, саморазвития, стратегического планирования.

«Когда специалист по ИБ из восьми часов работает все 12, найти время на дополнительные задачи сложно, — уверена Мария Сигаева. — Таким образом, кадровую проблему можно решать только комплексно: расширяя прием в вузы, запуская программы подготовки по ИБ в колледжах, переобучая взрослых людей других инженерных специальностей, вводя обучения ИБ в программы технических специалистов других профилей – разработчиков, конструкторов, инженеров и др.».

Дефицит работников — одна из самых главных тем на бизнес-конференциях в разных отраслях. Эксперты сходятся во мнении, что первопричина этого — в демографии.

«Экономике сейчас нужны люди в возрасте около 30 лет, уже получившие практический опыт и имеющие понимание целей саморазвития. Активная молодежь, которая сегодня должна профессионально двигать отрасль ИБ, к сожалению, не родилась в достаточном количестве в 1990-е годы – мы сейчас видим профессиональный дефицит ставший в числе прочего следствием и демографического провала», — подчеркивает Мария Сигаева.

Через двадцать лет такой дефицит будет усиливаться, так как следующий нырок в кадровый кризис ожидаемо случится, когда дети людей, родившихся в девяностые, должны будут выйти на профессиональную арену. То есть как раз лет через 15-20. И сегодняшний поиск решения кадровой проблемы — работа на будущее.