Кадровый голод уже более двух лет является одной из ключевых проблем для компаний из всех отраслей экономики. Дефицит кадров на рынке информационной безопасности в России, по данным исследования компании Positive Technologies, на сегодняшний день составляет 31%, а это порядка 50 000 специалистов по кибербезопасности. Компаниям не хватает специалистов в ИБ-сфере всех квалификаций.
В настоящий момент промышленным предприятиям требуются специалисты-универсалы в области информационной безопасности, которые обладают компетенциями в разработке организационно-распорядительной документации, проведении расследований, администрировании систем защиты информации и во многих других аспектах. Однако на рынке труда таких специалистов очень мало.
Иван Алексеев, ведущий инженер ИБ АСУ ТП Cloud Networks, поделился с «Промышленником Сибири» идеями о том, как привлечь ИБ-кадры для трудоустройства на предприятии. Cloud Networks – компания, которая сопровождает крупные компании в процессе цифровой трансформации и цифровизации, создавая безопасную среду для технологических изменений. За 9 лет работы мы реализовали более 80 проектов в 29 регионах России, сформировав одну из крупнейших команд промышленной кибербезопасности в России. Сейчас в штате Cloud Networks более 30 инженеров и аудиторов ИБ АСУ ТП и более 60 профильных инженеров с необходимым опытом и экспертизой.
Иван Сергеевич, на сегодняшний день в России большое количество вузов готовят специалистов по информационной безопасности. В исследовании, посвященном рынку труда в этой сфере в 2024–2027 году, отмечено, что проблема дефицита кадров в информационной безопасности (ИБ) сохранится до 2027 года. Почему такая активная подготовка будущих специалистов не способна решить проблему кадрового голода?
Действительно, сейчас в каждом крупном городе есть высшие учебные заведения, которые осуществляют подготовку специалистов по информационной безопасности. Но примерно половина выпускников решают строить свою карьеру в другом направлении. Часто это связано с уровнем заработной платы, который им предлагают на рынке труда на первоначальном этапе: вчерашние студенты идут в смежные отрасли, например, в разработку ПО, системное администрирование и так далее. Обращу внимание еще на тот факт, что даже дополнительное образование сфокусировано больше на ИТ, нежели на ИБ: посмотрите на количественное соотношение предлагаемых курсов.
Как, по вашему мнению, можно решить проблему того, что выпускники таких факультетов чаще выбирают работу в сфере информационных технологий, чем в информационной безопасности?
Я считаю, что критически важно вести ИБ-специалистов еще на этапе обучения – в том числе на этапах производственной практики, сотрудничая с вузами. И в дальнейшем трудоустраивать в организации с определенными социальными гарантиями на этапе формирования молодого специалиста. В качестве таких гарантий могут выступать, например, профильное обучение, участие в корпоративных мероприятиях, льготная ипотека, доплаты молодому специалисту. Но добавлю, что все это – при условии заключения контракта на оговариваемый срок работы на предприятии.
Следует ли нанимать в ИБ-отделы промышленного предприятия исключительно экспертов и молодых специалистов в сфере кибербезопасности?
Одним из важных вопросов в обеспечении информационной безопасности на промышленных предприятиях является формирование подразделений информационной безопасности. Помимо трудоустройства молодых специалистов, штат подразделений информационной безопасности, по моему мнению, должен формироваться из сотрудников разных специальностей. Только тогда вы получите подразделение, компетентное в широком кругу и «охватывающее» направления информационной безопасности.
Какие специалисты тогда должны быть на промышленном предприятии?
Помимо квалифицированных специалистов с профильной специальностью по информационной безопасности, я рекомендую формировать ИБ-подразделения на промышленных предприятиях из:
- Бывших сотрудников силовых структур, которые компетентны в организационных вопросах и порядке проведения расследований инцидентов информационной безопасности.
- Системных администраторов, которые имеют компетенции и знание функционирования и администрирования сетей передачи данных, администрировании программных и программно-аппаратных комплексов.
- Администраторов систем промышленной автоматизации, которые знают, как функционируют промышленные системы.
С какими еще вызовами сегодня сталкивается промышленность, если продолжать говорить об ИБ-кадрах?
Еще одной проблемой, связанной с формированием подразделений информационной безопасности на любом промышленном предприятии, является удержание работающих специалистов. С приходом COVID-19 дистанционный режим работы стал нормой, что привело к перестройке процессов во многих компаниях. Сильное влияние пандемия оказала на информационную безопасность: организация удаленных рабочих мест, контроль за действиями сотрудников. ИТ-специалисты переместились из бизнес-центров в домашние офисы. Этим воспользовались многие ИТ-компании – начали искать более дешевых и компетентных специалистов в других регионах на дистанционный режим работы, предлагая более выгодные условия работы.
Иван Сергеевич, а как бы вы решили проблему удержания кадров?
Я бы предложил прозрачное карьерное продвижение, развитие профессиональных навыков (дополнительное обучение), участие в профессиональных конференциях, денежные мотивации (льготное кредитование, например, льготная ипотека, дополнительные премии, компенсация занятий спортом), гибридный график работы. Это всего лишь часть списка возможных бонусов.
Что делать, если за кадры сегодня идет настоящая борьба? Что следует предпринять промышленным предприятиям, чтобы сформировать подразделение информационной безопасности?
Я бы переформулировал вопрос на «как решить проблему нехватки ИБ-кадров на промышленных предприятиях?» У Cloud Networks есть ответ на этот вопрос – обратиться к услугам MSSP (Managed Security Service Provider). Иными словами, Cloud Networks предлагает взаимодействие по модели «Безопасность как сервис» (Security as a Service или SecaaS).
Но для начала немного окунемся в историю нашей компании: почти 9 лет назад Cloud Networks, осознавая проблему нехватки квалифицированных ИБ-кадров, а также принимая во внимание тот факт, что на промышленных предприятиях должны работать эксперты, знающие процессы, оборудование и системы изнутри, предложили людям с сильной экспертизой в АСУ ТП пройти обучение по обеспечению информационной безопасности. Таким образом мы сформировали Управление информационной безопасности АСУ ТП, которое может не только на высшем уровне защитить промышленное предприятие от киберзлоумышленников, но и не нарушает внутренние процессы предприятия при внедрении решений информационной безопасности.
Параллельно в нашей компании формировался штат сертифицированных экспертов в области технических средств защиты информации, защиты ОКИИ, защиты промышленных и корпоративных сетей и так далее. Сегодня у Cloud Networks есть компетенции, опыт, а самое главное – в наших рядах работают квалифицированные эксперты, что позволяет нам сопровождать крупные предприятия и ведущие компании России в процессе цифровой трансформации и цифровизации, создавая безопасную среду для технологических изменений.
В течение последних лет мы активно работаем с молодыми специалистами в области информационной безопасности: выделяя лучших и самых талантливых еще на моменте прохождения студенческой практики в Cloud Networks, предлагаем стажировку в компании с последующим приемом в штат. Так мы принимаем участие в формировании актуальных компетенций у студентов, повышаем привлекательность работы именно в ИБ, а не в ИТ, и трудоустраиваем самых способных студентов – иными словами, эксперты Cloud Networks выступают в роли менторов для молодого поколения ИБ-специалистов.
Вернемся к термину MSSP. MSSP – это провайдер услуг типа «безопасность как сервис». Такой провайдер предоставляет в пользование оборудование и ПО, а также направляет для работы сертифицированных специалистов.
Для промышленных предприятий такой формат работы особенно удобен: напомню, с каждым ИБ-решением, с каждым средством защиты должен работать сертифицированный вендором эксперт. Более того, внедренные и используемые решения необходимо поддерживать в режиме 24/7 – а это большая финансовая нагрузка на любую организацию.
Работа с MSSP позволяет полностью уйти от наличия собственного ИБ-подразделения на промышленном предприятии?
Не соглашусь: CISO (Директор по информационной безопасности) должен быть на каждом предприятии. Но наличие действующего контракта с MSSP позволяет внутреннему ИБ-отделу сфокусироваться на стратегических задачах. Грубо говоря, все текущие задачи, вопросы расширения и масштабирования ложатся на плечи провайдера услуг.
По опыту Cloud Networks, одна из ключевых проблем в ИТ и ИБ в любой организации – отсутствие единого ИБ-ландшафта. Мы сегодня сталкиваемся с целым, как принято говорить, «зоопарком» решений, которые не всегда совместимы, а их производители – зачастую разные вендоры программного и аппаратного обеспечения. Эксперты Cloud Networks постоянно проходят обучение по продуктам партнеров, чьи проверенные решения мы предлагаем нашим Заказчикам. Возможно ли совместить обучение по новым отечественным продуктам с текущими задачами целого подразделения, с учетом того, что из-за неблагоприятной геополитической обстановки промышленные предприятия стали лакомым кусочком для злоумышленников? Я лично слабо представляю каким образом. Проблема здесь заключается не только в нехватке кадров, но и в отсутствии практического опыта построения сложных сис тем кибербезопасности, включающих не только ИБ АСУ ТП, но и комплексную защиту – вплоть до СКУД и защиты АРМ (автоматизированных рабочих мест). Но мы понимаем, что иногда «тушить пожары», связанные с нехваткой квалификации у текущих кадров, нужно было, как говорят, «еще вчера». Для обучения сотрудников мы запустили образовательный проект CN Academy. Наблюдая потребность бизнеса в повышении квалификации работающих специалистов, мы создали специальные обучающие программы, где твердые эксперты-практики Cloud Networks делятся опытом и навыками, а также проводят обучение без классической «воды». Например, в начале 2025 года у нас стартует курс по ИБ АСУ ТП. В CN Academy любое промышленное предприятие может обучить свой персонал в формате «здесь и сейчас», оценив все риски, связанные с нехваткой квалификации, либо отсутствием опыта работы с конкретным решением.
Получается, что аутсорсинг функций ИБ позволит уйти от найма большого количества сотрудников? А могут ли решить проблему многофункциональные специалисты?
Да, провайдер услуг SecaaS может предоставить на аутсорсинг тех экспертов в ИБ, которые действительно необходимы для обеспечения кибербезопасности предприятия, а также, не будем забывать еще и этот аспект, смогут обеспечить соответствие требованиям регуляторов. При этом «бумажный вопрос» также будет закрыт со стороны MSSP: прозрачные отношения, которые зафиксированы на бумаге, все процессы и проекты согласованы, отчетность Заказчик получает в установленный срок. Помимо этого, сервисная модель позволяет перевести затраты на кибербезопасность из капитальных затрат в операционные (из CAPEX в OPEX) – то есть осуществлять гибкое управление активами компании для контроля финансовых и денежных потоков.
Что касается многофункциональных специалистов, то представители всех отраслей экономики уходят от такой модели формирования ИБ-подразделений. Наконец пришло понимание, что в ИБ-отделах, как и в любых других функциональных единицах, необходима структура, включающая узких ИБ-специалистов. И трендом, с которым мы в Cloud Networks сталкиваемся все чаще и чаще, становится их замещение вынесением функций ИБ на аутсорсинг.
текст и фото: Cloud Networks
+7 (495) 255-06-30
info@cloudnetworks.ru
www.cloudnetworks.ru