Больше половины отечественных компаний заявили о дефиците кадров
В России отмечена нехватка специалистов, занимающихся информационной безопасностью, - о дефиците кадров заявили более половины опрошенных "СерчИнформ" и hh.ru фирм, в 2022 году проблема усугубилась. Почему это произошло и как с этим справляться - в материале "Известий".
Какова нехватка ИБ-специалистов
Согласно опросу, 37,8% компаний заявили, что специалисты информационной безопасности сейчас в дефиците, как и в 2020-2021 годах, а 17,9% говорят, что дефицит кадров только усилился. 34,1% компаний утверждают, что никогда не сталкивались со сложностями с наймом ИБ-специалистов, 6,6% считают, что кандидатов на рынке достаточно, а 3,6% респондентов заявили, что дефицит ИБ-специалистов даже ослаб.
На ситуацию, по мнению исследователей, повлиял растущий рост спроса на специалистов в связи с усилением киберрисков и подписанием указа президента России № 250, который посвящен кибербезопасности и касается как минимум полумиллиона компаний, по сути, обязывая их организовать выделенную ИБ-службу. В таких организациях, говорится в исследовании, дефицит кадров оказывается выше.
Среди компаний - субъектов критической информационной инфраструктуры (КИИ) недостаток ИБ-специалистов отметили 48% опрошенных, 24% указали на усиление дефицита. Только пятая часть опрошенных системообразующих предприятий и 15% субъектов КИИ заявили о наличии у них выделенной службы ИБ.
HeadHunter указывает, что на одну вакансию в сфере ИБ приходится меньше одного резюме, хотя комфортной считается ситуация, когда их насчитывается не меньше четырех. В компании подсчитали, что рынку труда требуется дополнительно около 30 тыс. специалистов информационной безопасности в 2022 году.
Из-за сложившейся ситуации работодатели вынуждены постепенно снижать требования при найме: в 2021 году 51% вакансий был открыт для специалистов с опытом от одного до трех лет, в 2022-м - уже 48%.
- Это неприятная тенденция, потому что с нынешним уровнем ИБ-рисков компаниям не хватает не просто рабочих рук, а квалифицированных опытных специалистов, - заявил руководитель отдела аналитики "СерчИнформ" Алексей Парфентьев. - Ситуация усугубляется тем, что оснащенность ПО, которое помогло бы автоматизировать часть работы, остается недостаточной. Это особенно критично в сфере малого и среднего бизнеса, который часто не может конкурировать за кадры по уровню предлагаемых зарплат.
Положительной тенденцией в исследовании назван тот факт, что в трети опрошенных компаний в этом году уже появилось ИБ-подразделение или оно находится в процессе создания. Еще треть заявила, что в компании появился или появится ответственный за информационную безопасность руководитель.
Предлагаемая зарплата для ИБ-специалистов в этом году в среднем по стране выросла на 6% - до 63 100 рублей. А ожидания по зарплате снизились на 4%, хотя все еще и выше реального уровня, - до 75 100 рублей.
Исследование проводилось в период с 20 сентября по 8 ноября 2022 года, был опрошен 921 респондент.
Опрошенные "Известиями" эксперты заявили, что дефицит специалистов в области информационной безопасности на российском рынке действительно есть. Руководитель Российского центра компетенций и анализа стандартов ОЭСР РАНХиГС Антонина Левашенко подчеркнула, что с нехваткой кадров этой области сталкиваются все страны - по оценке ВЭФ, миру не хватает около 3 млн специалистов ИБ.
Минтруд со ссылкой на данные мониторинга ВНИИ труда сообщил "Известиям", что спрос на таких специалистов действительно растет - в 2020 и 2021 годах количество вакансий было 6,1 тыс. и 5,8 тыс., а в первые три квартала этого года - уже 6,6 тыс.
- Востребованы в основном работники с высшим образованием, - указали во ВНИИ труда. - В вакансиях отмечается: без опыта - 20% вакансий, с опытом 1-3 года - 40%, более трех лет - 39%.
Откуда взялся дефицит
Большой спрос на специалистов во ВНИИ труда связывают с несколькими факторами: недостаточно приближенный к требованиям рынка труда уровень компетенций у студентов, низкое распространение корпоративных программ повышения квалификации персонала, небольшое количество стажировок для студентов на предприятиях.
Директор по инновациям "Меркатор Холдинг" Павел Теплов выделяет пять факторов, которые привели к дефициту. Во-первых, рост уровня автоматизации предприятий во всех секторах затрагивает личные данные сотрудников, что налагает дополнительные обязательства по защите персональных данных.
Во-вторых, развитие импортозамещения в стране влечет за собой "гонку отраслевых конкурентов", что требует и новых подходов к защите данных, в том числе защите продуктов интеллектуальной собственности.
В-третьих, указывает эксперт, активно развиваются технологии, связанные с аналитикой больших данных.
- Массив наработанных данных, являющихся "сырьем" для дальнейшей обработки, - это ценный актив, эти данные представляют реальную ценность, результаты их обработки создают конкурентное преимущество, - рассказал Теплов "Известиям". - Утеря таких данных или их искажение очень критично, что ставит принципиально новые задачи перед специалистами по ИБ.
В-четвертых, говорит Теплов, сами киберугрозы вышли на другой уровень, в том числе добавились те, что исходят от профессиональных структур других государств - причем не ради финансовой выгоды, а ради нанесения прямого ущерба. По словам Теплова, эта ситуация требует другого уровня квалификации ИБ-специалистов.
В-пятых, отмечает эксперт, специфика подготовки специалистов ИБ такова, что многие имеют опыт работы в силовых структурах и сейчас привлечены для решения других задач. Поэтому ведется переобучение других специалистов из сферы ИТ и других направлений.
- Востребованность в специалистах по ИБ будет расти, а дефицит грамотных кадров возрастать, - считает Теплов.
Директор управления информационной безопасности R-Style Softlab Алексей Новиков замечает, что обеспечение информационной безопасности часто осуществлялось по остаточному принципу.
- Компании исходили из того, что их вид деятельности не представляет интереса для злоумышленников, а значит, риски минимальны и нет необходимости тратить средства на обеспечение безопасности, - рассказал он "Известиям". - Кроме того, мало учитывался фактор постоянного улучшения навыков киберпреступников.
Директор по персоналу КРОС Дмитрий Дударев замечает, что если раньше о безопасности задумывались только крупные операторы персональных данных, то теперь и небольшие компании в 200-300 человек тоже должны за этим следить.
Руководитель отдела маркетинга "Кросс технолоджис" Юлия Заря указывает, что меры поддержки, которые разрабатывает и продвигает для отрасли Минцифры, несколько сдерживают дефицит, но кадров недостаточно все равно, даже с учетом всех льгот и преимуществ.
- Институты готовят специалистов к предотвращению прошлых угроз, у многих недостаточно фактуры, материалов и ресурсов для того, чтобы разработать актуальную сегодняшним вызовам программу или привлечь в качестве лекторов практикующих экспертов в сфере ИБ, чьи знания помогут ребятам погрузиться в реальные проблемы настоящего бизнеса, - говорит она. - Есть вузы, которые видят возможности и открыты к сотрудничеству с IT-компаниями, но эта деятельность нуждается в инвестициях и поддержке.
Эксперт кластера "РАЭК / Privacy&LegalTech" Руслан Сафин указывает, что однозначно оценить рост спроса сложно, так как до настоящего времени у многих работодателей отсутствует понимание требований к специалистам в области ИБ, нет разделения на профессиональные области.
- В связи с отсутствием специализаций в вакансиях опытные специалисты с глубокими профильными знаниями стараются не откликаться на позиции "человек-оркестр", и компании получают специалистов начального уровня, - рассказал он "Известиям". - Исходя из своего опыта закрытия позиций в направлении, для уровня mid+/Senior это 3-6 месяцев и огромная работа по отсеиванию entry level специалистов.
Он предполагает, что число специалистов mid+/Senior на рынке будет уменьшаться, а количество entry level специалистов только увеличиваться.
Заместитель гендиректора по технологическому развитию "Группы Т1" Антон Якимов говорит, что наибольший дефицит наблюдается по направлениям аналитики и поиска киберугроз, управления сценариями киберугроз и риск-менеджмента.
- Часто в организации отсутствует процессная модель и стратегия в области ИБ, нет фокуса и понимания этой проблемы на практике, - рассказал он "Известиям". - Информационную безопасность относят к обеспечивающей функции, не принимая во внимание прямые, косвенные и репутационные риски.
Руководитель отдела консалтинга компании "Б-152" Ринат Катчиев говорит, что одним из предыдущих драйверов спроса на ИБ стал коронавирус.
- В связи с эпидемией множество компаний перешли на удаленный режим работы, кроме того, многие гиганты рынка начали развивать свои онлайн-сервисы, связанные с удаленным обслуживанием клиентов, - говорит он. - Перестраивание бизнес-процессов потребовало модернизации IT-систем, в результате чего появились уязвимости, которыми стали активно пользоваться злоумышленники. Реакцией на эти атаки стало активное развитие ИБ, усиление систем информационной безопасности и потребность в увеличении количества ИБ-специалистов.
А после февральских событий, по его словам, компании столкнулись с более интенсивными, продуманными и скоординированными атаками злоумышленников. При этом многие иностранные вендоры средств защиты информации, занимавшие целые сегменты рынка, ушли из России.
Директор по развитию телемедицинской компании "Доктор рядом" Александр Андреев замечает, что инвестиции в безопасность требуют очень больших расходов в течение длительного времени и не всякий бизнес готов к такому объему инвестиций.
Каких мер ждут от государства
Руслан Сафин считает, что решением проблемы должна стать совместная работа государства, вузов и компаний.
- Нужны подготовка профильных специалистов на разных уровнях системы образования, правильное использование рынком выпускников разных уровней, - говорит он. - От компаний требуется четкое формулирование требований к специалистам, работа с вузами по профподготовке выпускников, формирование запросов на специалистов определенного профиля и уровня.
Государство, считает он, должно выступить модератором на рынке и помочь наладить диалог между вузами и компаниями, в том числе важна помощь с "обесцениванием уровней образования" - в большинстве вакансий указывается наличие высшего образования, но прикладные навыки могут даваться в колледжах и училищах.
- А в качестве первого шага вполне логичным выглядит создание реестра рисков ИБ и обсуждение методик оценки этих рисков, - подчеркнул Сафин. - Все остальные шаги будут очевидны после оценки рисков.
Заместитель гендиректора IT-компании "Скайлит" Сергей Погорелов считает, что выходом станет введение абсолютно бесплатного образования по специализации "информационная безопасность" для успешно сдавших вступительные экзамены, также необходима популяризация специальности среди учащихся 10-х и 11-х классов. Руководитель департамента цифровых решений агентства "Полилог" Людмила Богатырева считает, что требуется также обеспечить высокие стипендии для обучающихся, а действующие образовательные программы проверить на предмет их актуальности в текущих реалиях.
CEO и CTO Self_ Кирилл Иванов предлагает для обучения, постоянной актуализации знаний и навыков организовывать площадки и тренировочные полигоны на базе ведущих IT-компаний и вузов с государственной поддержкой.
Антонина Левашенко подчеркивает, что необходимо совершенствовать образовательные стандарты в сфере информационной безопасности с учетом актуальных потребностей бизнеса, а государству в лице Минцифры и Минэкономразвития - разработать методические рекомендации по минимизации рисков цифровых угроз для бизнеса, стандарты цифрового комплаенса.
Менеджер компетенции "Информационная безопасность" Агентства развития навыков и профессий Евгений Сверчков рассказывает, что сейчас уже активно развиваются и проходят модернизацию программы обучения по направлению "Информационная безопасность", разрабатываются новые программы обучения высшего и среднего профессионального образования.
Генеральный директор Zecurion Алексей Раевский не считает, что государство должно принимать какие-то меры, так как государство занимается своей информационной безопасностью, а компании - своей.
- Решение проблемы заключается в пересмотре позиции руководителей: должен быть изменен подход - не как к затратной статье, а как к обязательному расходу, который позволяет избежать еще больших расходов в будущем, - полагает он. - Поменяется подход, тогда изменится и соотношение зарплат и будет больше кандидатов на эти должности.
Как компании могут решить проблему
Во ВНИИ труда отмечают, что велик потенциал для решения кадровых вопросов в отрасли ИБ у программ повышения квалификации.
- Например, в рамках нацпроекта "Демография" можно бесплатно пройти обучение, в том числе для работы в сфере информационной безопасности, - указали во ВНИИ труда. - Однако, согласно результатам опроса, проведенного ВНИИ труда в 2021 году, для развития персонала в области ИБ четверть организаций не проводит никаких мероприятий по развитию персонала и лишь 10% организуют стажировки для студентов.
Руслан Сафин выделяет для компаний два направления: для небольших компаний важно научиться формулировать требования, а не пытаться найти "человека-оркестра" для отдела ИБ.
- Очень странно выглядят собеседования в несколько этапов с задачами уровня глобальных инфраструктур в компанию в пару тысяч сотрудников и задачей разворачивать антивирусы и заодно картриджи менять, - замечает он.
Крупным компаниям он рекомендует научиться процессу менеджмента и формализации задач подразделений, не допуская появления в компаниях "суперзвезд", уход которых приводит компанию к коллапсу.
Архитектор IT-инфраструктуры практики "Стратегия трансформации" компании Reksoft Consulting Александр Черный призывает компании создавать привлекательные условия, и это не только материальные блага, но и интересные задачи, возможность влиять на их реализацию. Кроме того, считает он, не нужно бояться обучать специалистов без опыта или с минимальным опытом работы - спустя год работы с персональным наставником такой человек становится работником, заточенным под задачи компании.
Сергей Погорелов призывает искать работников в регионах, которые готовы переехать или работать дистанционно, а также среди россиян, находящихся за пределами России - в странах СНГ, ЕАЭС, Балканского региона. Сейчас эти люди работают на зарубежные IT-компании, но их можно переманить.
Антон Якимов называет решением проблемы кибербезопасности для компаний выстраивание риск-ориентированного подхода и его монетизации - чтобы было понимание ценности процессов кибербезопасности в случае наступления риска.
- Понять ценность ИБ и обеспечить конструктивный и понятный всем подход можно, используя модель "риск - угроза - деньги - репутация", - говорит он.
Александр Андреев предлагает компаниям осуществлять внешние penetration tests (тесты на проникновение - способ оценить защищенность своего сетевого периметра) и аудит, по результатам которых можно принимать решение о дальнейшей работе с ИБ.