Весной 2022 года, когда резко возросла интенсивность кибератак, на рынке информационной безопасности (ИБ) возник дефицит профильных специалистов. Тогда их нехватка оценивалась в 30-50 тыс. человек. Осенью речь шла уже о недостаче 100 тыс. «безопасников» по подсчетам зампреда правления Сбербанка Станислава Кузнецова.
Кадровый голод на рынке информационной безопасности действительно существует. Впрочем, несмотря на сокращение числа резюме кандидатов, нацеленных на поиск работы в сегменте ИБ, предложений на рынке труда достаточно. Но совсем мало среди свободных кандидатов квалифицированных специалистов, способных сразу же приступить к практической работе в ИБ-службах организаций.
Это последствия того, что профессии из сферы информационной безопасности не пользовались популярностью среди IT-специалистов широкого профиля в силу того, что во многом деятельность «безопасников» была связана с работой с разнообразными документами, нежели с практическим противостоянием кибератакам. Но сначала пандемия, а потом обострение внешнеполитической ситуации привели к радикальному изменению подходов и к использованию IT, и к ситуации в области информационной безопасности. Цели кибератак и инструментарий киберпреступников стали радикально разнообразнее, и это потребовало от ИБ-специалистов навыков в области технологий, а не только работы с регламентами.
Мифы об информационной безопасности
К сожалению, среди обывателей, и даже среди IT-специалистов, распространены многочисленные мифы, что не способствует изменениям на рынке труда и улучшению имиджа сферы информационной безопасности.
ИБ-сообщество часто представляется как некое комьюнити «белых хакеров», которые противостоят бандам кибермафиози. Эти «хакеры наоборот» целые дни проводят у экранов мониторов, выявляя в бесконечном потоке цифр признаки кибератак. Это не соответствует действительности. В повседневной работе ИБ-специалиста по-прежнему много «бумаг». Информационная безопасность – это триада: люди, процессы и технологии. Все эти три компонента не могут работать эффективно без качественно описанных регламентов. Сфера безопасности серьезно регламентирована, и постоянная проверка соответствия систем безопасности потребностям бизнеса, корпоративным стандартам и требованиям регуляторов – остается одним из направлений работы.
Второй миф – высокая зарплата ИБ-специалистов. Во многом эта легенда формируется преподавателями вузов, которые стремятся побудить студентов лучше учиться. На самом деле зарплата начинающего ИБ-специалиста не отличается от той, что предлагают выпускникам технологических факультетов. Поэтому окрыленные выпускники запрашивают заработную плату, несопоставимую со своим опытом и знаниями (70, 80, 90, 100 тыс. руб.). Более того, госучреждения и некоторые коммерческие структуры предлагают молодым кандидатам весьма скромные условия. Например, начальные зарплаты в госучреждениях на данный момент составляют скромные 20-25 тыс. руб. на руки и редко превышают 60 тыс. руб., отсюда идет достаточно высокая текучесть кадров. Хотя, если верить статистике Росстата, в 2022 году средняя зарплата по стране по профилю IT /ИБ составила около 95 тыс. руб. (до вычета НДФЛ) и растет примерно на 10 тыс. в год. Много это или мало – все очень индивидуально, но данный уровень зарплат задают лидеры отрасли.
При этом события последних трех лет (пандемия, СВО) заставили работодателей обратить внимание на финансовые условия для сотрудников и кандидатов, и многие лидеры рынка уже пересмотрели зарплаты. Постепенно сокращается разница между Москвой и регионами. Удаленная работа не оставила выбор работодателям. К примеру, Казань по уровню зарплат заметно сократила отставание от Москвы, Урал и Сибирь пока набирают обороты. Скорее всего, сказывается удаленность регионов и разница в часовых поясах. Специалисты из удаленных уголков нашей необъятной родины не могут подстроиться под московское время.
Остальные мифы связаны с ореолом тайны, которым окутана работа ИБ-специалистов. Считается, что существует некая «универсальная пилюля», которая способна гарантировать полную безопасность информационных систем. Увы, ее просто не существует. Специалисты информационной безопасности всегда находятся в роли догоняющих, реагирующих на новые угрозы, создаваемые хакерами. При этом во многих утечках данных и прочих инцидентах часто виноваты даже не киберпреступники, а сами пользователи и даже системные администраторы, которые по ошибке выдают хакерам все секреты. В наши дни не требуется тратить огромные деньги на прослушку секретных переговоров и покупку дорогого специального оборудования. Гораздо проще подкупить уборщицу или вахтера.
Эти мифы, с одной стороны, формируют представление о «безопасниках» как о некой касте избранных специалистов, а с другой до предела упрощают понимание их повседневной работы и навыки, которыми они должны обладать. Все это оказывает отнюдь не благоприятное влияние на состояние кадрового рынка в сфере информационной безопасности.
Откуда берутся ИБ-специалисты
Признаться, я не слишком верю в возможный успех кандидата, который решил радикально сменить сферу деятельности и выбрал для себя индустрию информационной безопасности. В ИБ-сфере имеет значение базовое образование – финансовому менеджеру, бухгалтеру, повару, фермеру, доктору будет трудно состояться в этой профессии. Впрочем, каждый случай и каждого кандидата необходимо рассматривать индивидуально, исключения из правил возможны. Но в целом я склонен придерживаться консервативной точки зрения.
Кадровый резерв сферы информационной безопасности – IT-индустрия. Без глубокого понимания технологий и практических навыков работать в нашей сфере невозможно. Однако принадлежность к отрасли не означает для кандидата возможности превратиться в «безопасника». Причина – в разных задачах, которые решают IT и ИБ.
Как перейти из IT в информационную безопасность
Упрощенно, главная цель «айтишников» – обеспечить работоспособность системы. Цель «безопасников» на порядок сложнее – обеспечить не только работоспособность, но и безопасность систем. Соблюсти этот баланс непросто, потому что ИБ-меры и ИБ-инструменты как раз ограничивают работоспособность систем, сокращают объем их возможностей, ограничивают права пользователей. Неслучайно одна из ключевых IT-профессий, DevOps (специалист, координирующий разработку и использование систем) трансформируется в DevSecOps, где «sec» означает «безопасность», когда ИБ-процессы рассматриваются и встраиваются на всех стадиях жизненного цикла продукта, а не накладываются опосля.
Есть у работы ИБ-специалистов и еще одна особенность, которую часто могут не принимать во внимание «айтишники» – большая роль норм и правил. «Безопасник» сталкивается с администрированием, соблюдением регламентов и законодательства, поэтому постоянно должен работать с документацией. При этом, так же уверенно, как и разработчик, оперировать особенностями кода и архитектур. Все это нужно принимать во внимание тем IT-специалистам, кто намерен развиваться в сфере информационной безопасности.
Ситуация в киберсфере постоянно меняется, и в таких условиях базовое профильное образование становится только основой для развития специалиста. Залогом успешности становится постоянное развитие, приобретение практических навыков (hard skills). Без желания и готовности развиваться, изучать новые направления работы (отражение кибератак, предотвращение угроз, устранение уязвимостей ПО, защита веб-приложений, работа в киберполигонах, киберучения) работать в инфобезе будет сложно.
Что нужно сделать для того, чтобы стать ИБ-специалистом
Каждый из этих шагов потребует значительных усилий:
- Предстоит изучить достаточно обширный рынок информационной безопасности. Чтобы здесь развиваться, нужно выбрать «свое» направление. Например, сейчас большой спрос на следующих специалистов: архитекторы систем информационной безопасности, аналитики ИБ, аналитики SOC (Security Operations Center), веб-аналитики, которые изучают атаки на веб-приложения, пентестеры и специалисты по анализу защищенности систем, а также специалисты TI/TH.
- Необходимо приобрести знания, которые потребуются в выбранной сфере.
- И самое сложное и важное условие – постоянно развивать практические навыки.
Вторая и третья задачи могут оказаться сложными для неискушенных в ИБ-сфере, тем не менее, все вполне решаемо.
Доступны различные специализированные курсы и онлайн-школы. Важную роль, особенно для развития навыков командной работы, играют специализированные игры. Прокачать навыки можно и при помощи онлайн-платформ, которые нацелены на развитие разнообразных компетенций: навыков тестирования на проникновение, защиты виртуальных машин, навыков хакинга. Можно получить дополнительные теоретические знания, попрактиковаться в решении различных проблем, связанных с обеспечением безопасности. Доступны ресурсы, которые предлагают пользователям участие в варгеймах, этических хакерских средах, где моделируются уязвимости и способы их устранения.
Отрасль информационной безопасности остро нуждается в специалистах. Но это не означает, что ИБ-сообщество готово бороться с кадровым дефицитом «количеством». Востребованными окажутся только те кандидаты, которые обладают необходимыми навыками и готовы непрерывно развивать. Иначе не стоит и пробовать.
Также читайте:
Цитата: "Упрощенно, главная цель «айтишников» – обеспечить работоспособность системы. Цель «безопасников» на порядок сложнее – обеспечить не только работоспособность, но и безопасность систем. "
На промышленных предприятиях, создаётся впечатление, что Вы (имеется ввиду средняя температура по палате) очень однобоко подходите к проблемам информационной безопасности. При непосредственном участии служб безопасности предприятий, включая информацилнную, существенно ограничиваются возможности коммуникационного взаимодействия со сторонними исполнителями. Сложности входа в информационную систему, использования её возможностей приводит к идиотским ситуациям, когда требуется предоставление неких документов от стороннего исполнителя, а распечатать документы - невыполнимая миссия, хотя принтер стоит в помещении отданном специалистам Исполнителя. И как в каменном веке, громоздкие файлы курьером отправляются в другой город и тем же способом возвращаются на предприятие.
Каждое серьёзное предприятие имеет различные системы информационного обеспечения производственных процессов и инфраструктурных проектов. Но их использование сторонними исполнителями невозможно. Например, на одном предприятии менеджеры махают шашками - почему де не используете систему RFI. Чичас мы порядок наведём. А через некоторое время глядишь, пар спустили через дырки от информационной безопасности. И приходится предлагать на коленках свой порядок взаимодействия минуя умные системы информационного обеспечения.
Вы это называете информационной безопасностью? Ну тогда расширяйте понятие, так как эффективность ИБ должна включать и анализ практики применения.