В 2022 году российский рынок информационной безопасности (ИБ) столкнулся с возросшим в разы спросом на свои услуги, для удовлетворения которого нужны и без того дефицитные специалисты.
ICT.Moscow поговорил с участниками ИБ-рынка, профильными представителями консалтинговых компаний и вузов, чтобы посмотреть на ситуацию шире и попробовать определить, как изменятся кадровые потребности в будущем, можно ли их в принципе спрогнозировать и готовит ли бизнес себе работников на перспективу нескольких лет. Своим мнением поделились ИБ- и HR-эксперты из Positive Technologies, Serenity Cyber Security (МТС), Awillix, Qrator Labs, Softline (Infosecurity), Angara Security, «РТК-Солар», МИЭМ НИУ ВШЭ, ЯрГУ, Департамента информационных технологий (ДИТ) Москвы, а также из консалтинговых компаний Mindsmith и «Технологии Доверия».
Практически все они говорят о повышенном спросе на ИБ-специалистов. Это подтверждали и подсчеты SuperJob: в июле 2022 года стало на 96% больше вакансий в сфере ИБ по сравнению с февралем этого же года. В ноябре в ответ на запрос ICT.Moscow в SuperJob сообщили, что хотя за год количество ИБ-вакансий в относительном выражении и снизилось на 24% (в сравнении с ноябрем 2021 года), это снижение все равно меньше, чем в целом по ИТ (32%).
По разным оценкам, в России дефицит квалифицированных ИБ-специалистов уже в этом году составляет от 30 до 50 тыс. человек, предупреждает Евгения Наумова, директор по кибербезопасности МТС и СЕО созданной в этом году Serenity Cyber Security, дочерней компании телеком-оператора. По ее словам, потребность в специалистах, способных предотвратить и отразить атаки злоумышленников, будет ежегодно увеличиваться, в том числе из-за указа №250, который расширил круг компаний, подпадающих под требования ИБ-регуляторов. Ранее в Минцифры России поясняли, что этот указ затрагивает «сотни тысяч российских организаций».
СЕО Serenity Cyber Security
Исследование «РТК-Солар» показало, что к концу 2022 года почти половина (42%) российских организаций пришли к выводу о необходимости перестроить свою систему киберзащиты из-за роста угроз, новых требований регуляторов и ухода иностранных вендоров из России.
Сооснователь ИБ-компании Awillix Александр Герасимов говорит о «высоком как никогда» спросе на специалистов в области информационной безопасности. Он также подчеркивает, что «в этом узком профессиональном сообществе самый активный хантинг», то есть переманивание сотрудников из других компаний.
В ближайшие годы потребность в ИБ-специалистах будет устойчиво расти, и нет никаких предпосылок для снижения спроса на услуги и решения в области информационной безопасности, убеждены собеседники ICT.Moscow.
Мария Сигаева
директор центра кадровой экспертизы Positive Technologies
С ней солидарен Руслан Юсуфов, основатель и управляющий партнер компании Mindsmith, эксперт в области технологических трендов и информационной безопасности:
управляющий партнер Mindsmith
В ДИТ Москвы при долгосрочном планировании своей работы тоже учитывают развитие технологий «фейкового» аудиовизуального контента, делится Валерий Комаров, руководитель направления обеспечения осведомленности управления информационной безопасности департамента. По его словам, одна из ключевых компетенций специалиста по защите информации, роль которой будет расти, — это противодействие методам социальной инженерии злоумышленников:
руководитель направления обеспечения осведомленности управления информационной безопасности ДИТ Москвы
Нанимая людей, в компаниях учитывают потенциал роста своих будущих сотрудников:
Людмила Макарова
заместитель директора департамента по работе с персоналом «РТК-Солар»
ИБ-компании стараются заранее предугадать и учесть, сотрудники с какими навыками и знаниями им понадобятся через какое-то время.
СЕО Serenity Cyber Security
Работодатель при подборе кадров и их подготовке учитывает возможные изменения и развитие своего бизнеса, согласна Мария Сигаева из Positive Technologies. Однако она признает, что долгосрочное планирование сегодня затруднено:
Мария Сигаева
директор центра кадровой экспертизы Positive Technologies
В компании Angara Security на сегодняшний день тоже строят план на не очень отдаленную перспективу. И при этом кардинальных изменений в востребованности различных компетенций пока не видят.
Оксана Ткачева
директор по персоналу Angara Security
Всегда нужны инженеры, которые проектируют, внедряют и эксплуатируют средства защиты информации, уверен Алексей Бутов, начальник управления информационной безопасности отраслевых проектов ДИТ Москвы. «Налицо востребованность инженеров, владеющих не просто средствами защиты, за которые они отвечают, но и теми информационными технологиями, совместно с которыми функционируют эти средства защиты», — говорит он.
Алексей Бутов
начальник управления информационной безопасности отраслевых проектов ДИТ Москвы
Руслан Юсуфов из Mindsmith также подчеркивает важность учитывать развитие технологий при планировании кадровых потребностей в ИБ:
управляющий партнер Mindsmith
Горизонт планирования должен быть не меньше, чем один год, и привязан к общей стратегии участника рынка, рекомендует Константин Малюшкин из консалтинговой компании «Технологии Доверия» («ТеДо», ранее — «PwC Russia»):
Константин Малюшкин
эксперт технологической практики компании «Технологии Доверия»
Навыки работы с искусственным интеллектом (ИИ), блокчейном, квантовыми технологиями — вот те компетенции, которые будут все больше требоваться от специалистов информационной безопасности в будущем, прогнозируют опрошенные ICT.Moscow эксперты.
управляющий партнер Mindsmith
Массовое внедрение все более доступного искусственного интеллекта в корпорациях потребует специалистов, занимающихся безопасностью ИИ-инфраструктуры, прогнозирует эксперт. «Причем в комплексе: с технической и этической стороны, а также с точки зрения управления рисками при принятии решений от рекомендательных систем», — добавляет Руслан Юсуфов.
Для того, чтобы определить компетенции, знания и навыки ИБ-специалистов, которые будут наиболее актуальны в перспективе нескольких лет, нужно сначала понять, как и куда развивается рынок, убеждена Евгения Наумова из Serenity Cyber Security.
СЕО Serenity Cyber Security
Облачная безопасность, DevSecOps (методология разработки безопасных приложений — прим.ред.), безопасность технологических процессов — технические компетенции, которые станут более распространенными в перспективе нескольких лет, прогнозирует Константин Малюшкин, эксперт «ТеДо». Дмитрий Мурин, директор института информационной безопасности Ярославского государственного университета, в числе перспективных ИБ-компетенций называет, в частности, автоматизацию с использованием машинного обучения, DevSecOps, квантовую криптографию, централизацию с увеличением роли ЦОД. В столичном ИТ-департаменте тоже говорят о все более широком применении автоматизации в ИБ и связанной с этим необходимостью использования машинного обучения и больших данных:
Алексей Бутов
начальник управления информационной безопасности отраслевых проектов ДИТ Москвы
Из организационных навыков и компетенций большее распространение в ближайшее время получат знания и навыки в области количественной оценки рисков ИБ, полагает эксперт компании «Технологии Доверия». В ИБ остаются недооцененными так называемые soft skills, предупреждает Евгения Наумова. В качестве примера она называет «умение точно понимать, какую задачу пользователя решает продукт, нестандартное мышление и любопытство, способность находить логические связи и выделять тренды в большом количестве наблюдаемых явлений, алгоритмизировать их».
Востребованными останутся компетенции, которые актуальны и сейчас: умение проводить мониторинг, расследовать преступления, анализировать уязвимости, полагает Мария Сигаева, директор центра кадровой экспертизы Positive Technologies. Но при этом она тоже ожидает роста спроса на пока мало распространенные компетенции, связанные с квантовой безопасностью. В Serenity Cyber Security считают, что надо быть готовыми к широкому применению квантовых технологий:
СЕО Serenity Cyber Security
Также компания интересуется направлением применения квантовых технологий в генерации случайных чисел для шифрования, сертификатов и других аспектов кибербезопасности. Не брать в расчет развитие квантовых технологий было бы ошибкой, считают в ИБ-стартапе Qrator Labs:
Александр Лямин
основатель Qrator Labs
Ландшафт киберугроз будет изменяться не менее стремительно, чем в последние годы, предупреждал летом в разговоре с ICT.Moscow Руслан Рахметов из Security Vision:
генеральный директор Security Vision
Прогнозирование угроз и работа на их опережение — одна из важнейших частей работы, уверена Евгения Наумова из Serenity Cyber Security:
СЕО Serenity Cyber Security
Александр Лямин, основатель Qrator Labs, ожидает через десятилетие следующий паттерн: «Появляется очередное модное направление атак, после чего идет эпидемия. Далее индустрия учится противостоять появившейся угрозе, вырабатывается иммунитет и вектор смещается в другую часть бизнеса, где можно с меньшими затратами преодолеть защиту и получить определенные выгоды».
Александр Лямин
основатель Qrator Labs
В компании Awillix прогнозируют, что новым атакам будут подвергаться облачные решения:
Александр Герасимов
директор по информационной безопасности и сооснователь Awillix
Минимальный необходимый горизонт планирования при подготовке ИБ-специалистов — четыре года, что соответствует циклу подготовки бакалавров, объясняет Дмитрий Мурин из Ярославского государственного университета. По его словам, «годичное планирование — одна из важнейших задач Минобрнауки и ФСТЭК России».
Дмитрий Мурин
директор института информационной безопасности ЯрГУ им. П.Г. Демидова
Хорошей практикой является создание академических советов образовательных программ, в которые привлекаются организации-партнеры, рассказывает Федор Иванов, доцент кафедры информационной безопасности киберфизических систем Московского института электроники и математики (МИЭМ НИУ ВШЭ). «Это в том числе позволяет актуализировать образовательные программы. Только таким образом можно учесть реальные потребности ИБ-компаний при проектировании образовательных продуктов», — поясняет он.
Однако эксперт предупреждает, что планирование при подготовке ИБ-специалистов осложняется высокой степенью энтропии в этой отрасли. В качестве примера Федор Иванов приводит указ №250, который, с одной стороны, никто не ожидал, а с другой — очень сильно повлиял на ситуацию с кадрами в отрасли.
Реально работающим механизмом для определения востребованных в перспективе нескольких лет компетенций Федор Иванов называет Национальное агентство развития навыков и профессий (ранее — WorldSkills Russia). Оно сотрудничает с работодателями ( «Роскосмосом», «Росатомом», РЖД, «Сибуром», «Газпромом» и т.д.) и центрами компетенций. В результате формируются стандарты спецификаций компетенций, которые актуализируются каждый год, а иногда и несколько раз в год, поясняет эксперт. По словам Федора Иванова, индустрия пристально наблюдает за этими стандартами.
Федор Иванов
академический руководитель образовательной программы «Информационная безопасность» МИЭМ НИУ ВШЭ
При этом Федор Иванов допускает, что федеральных образовательных стандартов и вклада ФСТЭК может быть недостаточно для выявления перспективных ИБ-компетенций.
Обучение ИБ в российских вузах
По данным Минобрнауки, в 2020 году по специальности «Информационная безопасность» обучалось почти 15,8 тыс. студентов. Если рассматривать и другие направления подготовки — ИБ телекоммуникационных и автоматизированных систем, ИБ в правоохранительной сфере и др., то этот показатель составлял более 36 тыс.
В 2021 году российские вузы выпустили 4,9 тыс. бакалавров, специалистов и магистров по специальности «Информационная безопасность». Такой показатель приводится в отчете НИУ ВШЭ, составленном на основе данных Минобрнауки и Минпросвещения России.
В 2023 году доля бюджетных мест для направления подготовки «Информационная безопасность» будет увеличена до 30% — соответствующее распоряжение принято правительством в ноябре.
Согласно опубликованным в июне 2022 года данным Росстата, у 81% выпускников 2018-2020 годов со специальностью «Информационная безопасность» работа соответствует полученной профессии. Для сравнения: наименьшее значение (42%) у специальности «Политические науки и регионоведение», а 100% — только у «Фундаментальной медицины».
По оценкам «Сбера», в России насчитывается 5 тыс. специалистов в сфере информационной безопасности, но требуется их в 20 раз больше.
Многие ИБ-компании сотрудничают с учебными заведениями, чтобы обеспечить свои кадровые потребности, в том числе в перспективе нескольких лет. По словам Федора Иванова, есть компании, которые «очень хорошо понимают, как надо влиять на образование, как свои решения, свою экспертизу, свое видение развития рынка труда вносить в систему образования, и делают это десятилетиями». В качестве примеров он приводит, в частности, «Инфотекс», InfoWatch и Positive Technologies.
Евгения Наумова из Serenity Cyber Security отмечает, что такая работа нужна не только чтобы находить там перспективных кандидатов, но и чтобы «вкладывать свою экспертизу в образовательные программы, развивать практико-ориентированное обучение и научно-прикладные программы» в вузах. По ее словам, компания намерена значительно усилить свое присутствие в образовательных проектах.
В последнее время к сотрудничеству с вузами обратились и такие ИБ-компании, которые ранее не проявляли подобного интереса:
Федор Иванов
академический руководитель образовательной программы «Информационная безопасность» МИЭМ НИУ ВШЭ
Дмитрий Мурин из Ярославского государственного университета обращает внимание на разницу в подготовке кадров между столичными и региональными учебными заведениями:
Дмитрий Мурин
директор института информационной безопасности ЯрГУ им.П.Г. Демидова
Крупные игроки могут «играть в долгую», готовя специалистов внутри компании, чтобы получить «заточенные на задачи компании кадры в объеме, приближенном к нужному», говорит Константин Малюшкин из «Технологий Доверия». Вырастить опытных сотрудников уже непосредственно внутри компании — распространенный способ обеспечить себя необходимыми кадрами. Например, в Serenity Cyber Security, Angara Security и Positive Technologies говорят про практику стажировок, работу со студентами и внутренние программы обучения:
Анна Римская
старший бизнес-партнер департамента управления персоналом Positive Technologies
Популярная в среде ИТ-компаний практика менторства, то есть практическая передача опыта от более продвинутых сотрудников своим молодым коллегам находит свое место и в сфере информационной безопасности:
СЕО Serenity Cyber Security
Александр Герасимов из Awillix также рассказывает, что в его компании помимо помощи менторов сотрудникам предлагается оплачиваемое международное обучение и сертификация. А в компании Softline развивается корпоративный университет для обучения сотрудников. «В этом году нам необходимо было оперативно перестроиться на работу с российскими решениями. Поэтому в компании была запущена «Школа продуктов и решений для российского рынка» и обучающие курсы для менеджеров по актуальным решениям информационной безопасности», — делится Мария Григорович, руководитель департамента подбора и адаптации персонала ГК Softline, куда входит и ИБ-компания Infosecurity.
Чем больше компания, тем она уязвимее, а ее ИТ-ландшафт «напоминает лоскутное одеяло, которое все время достраивается, растет и меняется», рассуждает Александр Герасимов из Awillix. По его словам, востребованы люди, которые будут заниматься мониторингом аномальной активности внутри сети, то есть работать в SOC — ситуационных центрах информационной безопасности.
На востребованность людей для этой роли, причем разного уровня, указывают и в Positive Technologies:
Мария Сигаева
директор центра кадровой экспертизы Positive Technologies
Людмила Макарова из «РТК-Солар» считает, что останутся востребованными аналитики SOC, архитекторы и проектировщики, специалисты по анализу защищенности. Оксана Ткачева, директор по персоналу Angara Security, помимо SOC называет еще несколько ИБ-услуг, спрос на которые вырос за последнее время: пентесты или анализ на проникновение, аутсорсинг информационной безопасности (MSS), консалтинг и поддержка внедренных ранее систем. «Соответственно и рынок труда сдвинулся в эту сторону», — поясняет она, добавляя, что нет вакансий, которые ушли бы на второй план, «потому что при росте бизнеса рост команд имеет цепной характер — рост одной команды влечет за собой увеличение другой».
В компании Awillix, которая занимается аутсорсингом ИБ-процессов, называют пентестеров самыми дефицитными специалистами сегодня:
Александр Герасимов
директор по информационной безопасности и сооснователь Awillix
Самые сильные изменения произошли в спросе на пентестеров, отмечают в «РТК-Солар», добавляя, что «за пару месяцев рынок резко помолодел, 70% резюме — это даже не студенты, а школьники».
Людмила Макарова
заместитель директора департамента по работе с персоналом «РТК-Солар»
Про востребованность аутсорсинга говорит и СЕО Serenity Cyber Security: по словам Евгении Наумовой, «не каждый заказчик сможет собрать сильную команду ИБ-специалистов, и это один из факторов стабильного спроса на ИБ-аутсорсинг в России».
Анализ, проведенный ранее «СёрчИнформ» и HeadHunter, указывал на то, что работодатели несколько снизили требования к будущим сотрудникам в ИБ-подразделениях: в 2021 году 51% вакансий были открыты для соискателей с опытом от 1 до 3 лет, то в 2022 их стало меньше — 48%. Однако представители отрасли, с которыми пообщался ICT.Moscow, констатируют, что фокус все-таки остается на опытных кандидатах, но востребованы и начинающие специалисты.
Обычно на позиции по информационной безопасности немного вакансий для начинающих специалистов, отмечает Мария Григорович, руководитель департамента подбора и адаптации персонала ГК Softline:
Мария Григорович
руководитель департамента подбора и адаптации персонала ГК Softline
О высоких требованиях говорит и Александр Герасимов из Awillix:
Александр Герасимов
директор по информационной безопасности и сооснователь Awillix
За изменениями на рынке информационной безопасности можно следить в ежедневно пополняемом информационном таймлайне или регулярных ИБ-сводках ICT.Moscow.
Обзорную статью ICT.Moscow о российском ИБ-рынке в 2022 году можно найти тут, а здесь — прочитать мнения представителей отрасли о перспективе объединения их усилий.
#информационная_безопасность#кибербезопасность#прогнозы#образование#кадры
Технологии:#искусственный_интеллект#блокчейн#машинное_обучение#квантовые_вычисления
Компании:#Serenity_Cyber_Security#Awillix#ГК_Солар#Positive_Technologies#Mindsmith#Angara_Security#ДИТ#Технологии_доверия#Curator#Security_Vision#ЯрГУ#ВШЭ#Softline#Superjob
ICT.Moscow
Нажимая на кнопку, вы соглашаетесь с политикой конфиденциальности
ICT.Moscow — открытая площадка о цифровых технологиях в Москве. Мы создаем наиболее полную картину развития рынка технологий в городе и за его пределами, помогаем бизнесу следить за главными трендами, не упускать возможности и находить новых партнеров.