ФСТЭК по результатам проверок соблюдения организациями законодательства о защите критической информационной инфраструктуры (КИИ) в 2021 году выявила острую нехватку специалистов в области информационной безопасности. Об этом в декабре рассказала Елена Торбенко, заместитель начальника управления ФСТЭК[1].
Елена Торбенко напомнила, что система обеспечения безопасности – это люди, документы и технические меры обеспечения безопасности, которые рассматриваются в ходе государственного контроля.
 | Что касается первой составляющей – людей – то почему-то не хватает специалистов, которые отвечают за соблюдение безопасности на предприятиях. Как я уже неоднократно говорила, не может один человек бегать по тысяче объектов, находящихся на 3-4 гектарах площади, и эффективно и адекватно обеспечивать безопасность. Это невозможно физически. По документам создан штат в 10 человек, а по факту это 1-2 человека, — обозначила проблему представитель ФСТЭК. |  |
Субъекты КИИ, с одной стороны, должны выполнять требования регуляторов, а с другой – находятся в ситуации дефицита ИБ-кадров
Кроме того, это могут быть неподготовленные люди. Те организации, в которых проверяющие из ФСТЭК были в 2021 году, выполнили все необходимые требования, но, общаясь с субъектами, видно, что организации до сих пор не озаботились тем, что нужно работать с обученными людьми, добавила Торбенко.
| К сожалению, всё ещё встречаются моменты, когда на безопасников возлагают какие-то непонятные обязанности, или когда людей, например, из бухгалтерии назначают ответственными за информационные системы. Это нарушение законодательства, – подчеркнула заместитель начальника управления ФСТЭК. | |
Субъекты КИИ, которые, с одной стороны, должны выполнять требования регуляторов, а с другой – находятся в ситуации дефицита ИБ-кадров, ничего не могут сделать, полагает известный ИБ-эксперт, бизнес-консультант по безопасности Cisco Systems Алексей Лукацкий. Регуляторы сами «закрутили гайки», поставив перед субъектами КИИ достаточно жесткие требования к квалифицированному персоналу: это должен быть либо специалист с профильным высшим образованием, либо прошедший переподготовку в области кибербезопасности. И, учитывая, что субъектов КИИ в России несколько десятков тысяч, а специалистов в таком количестве нет, особенно в регионах, то, понятно, что на местах кадров не хватает, отметил Лукацкий в разговоре с TAdviser.
| Проблему эту, наверное, в текущей парадигме решить невозможно, потому что ее можно решать либо снижением требований как к субъектам КИИ, так и к уровню образования или его подтверждения. Но ни регуляторы, ни Минобрнауки требования снижать не готовы. И вузам профстандарты менять просто так никто не даст. Регуляторы считают, что бизнес должен вкладываться в образование и готовить ИБ-специалистов или заказывать такое образование. А бизнес не готов вкладываться в то, результаты чего появятся в лучшем случае через 3-4 года, — рассуждает эксперт. | |
В итоге мы находимся в этаком тупике, из которого непонятно, как выходить, резюмировал Алексей Лукацкий.
Игорь Ляпунов, вице-президент по ИБ «Ростелекома», считает, что сложившуюся ситуацию нужно рассматривать с двух сторон. С одной стороны, если бы ИБ-кадров на рынке не было вообще, то можно было бы говорить о безвыходности. На рынке есть дефицит, и он большой, но, тем не менее, специалисты есть, говорит он. А второе – выход можно найти в подготовке и переподготовке специалистов. Способы и инструменты для этого есть, включая различные курсы по переподготовке.
| При этом проблема дефицита кадров не только в наличии людей как таковых, но и в более, на мой взгляд, серьезной плоскости – в недостаточной подготовленности уже существующих кадров. Цифровизация, киберугрозы, технологии – здесь происходят изменения с огромной скоростью. Новые виды атак появляются каждую неделю, поэтому очень важна быстрая напитка информацией. А когда мы говорим о противодействии кибератакам и реагировании на них, это требует большого количества практических навыков отражения атак, теории тут недостаточно. Поэтому есть отдельный вызов – чтобы существующих специалистов готовить именно к практике, — отметил Ляпунов в разговоре с TAdviser». | |
У государства, конечно, есть соответствующие направления, например, киберполигоны, где можно приобретать практико-ориентированную подготовку, но это всё равно остаётся вызовом, считает вице-президент по ИБ «Ростелекома».
В 2020-2021 гг. приоритет ИБ повысился на фоне ускорившейся цифровизации, перевода сотрудников на удалёнку и в свете многочисленных кибератак. В Ancor Fintech, структуре рекрутинговой компании Ancor, в середине 2021 года приводили данные, что работодатели вынуждены пересматривать зарплатную политику, потому что на рынок зашли компании, которые стремятся нарастить внутреннюю экспертизу и переманивают специалистов, в особенности финтех-компании и крупные экосистемы. Новичкам с профильным образованием в области ИБ, но без опыта предлагают от 70 тыс. рублей, а зарплаты экспертов достигают 400 тыс. рублей и более, по данным Ancor Fintech[2]. Тенденция, когда на рынке труда предложение по специальностям, связанными с ИБ, не поспевает за спросом, сохранится в ближайшие несколько лет, полагают в Ancor Fintech.
По оценкам «Сбера», к началу декабря 2021 года в России не хватает около 20 тыс. специалистов по информационной безопасности, а одной из причин этой проблемы является дефицит преподавателей.
| Надо смело признать, что у нас есть кадровая катастрофа в стране по направлению информационной безопасности. По нашей оценке, не менее 20 тыс. сегодня сотрудников кибербезопасности — это дефицит кадров. Но еще большая кадровая катастрофа в преподавательском составе, — заявил заместитель председателя правления Сбербанка Станислав Кузнецов 7 декабря 2021 года. | |
По его словам, для решения столь большой проблемы необходимо сосредоточиться на подготовке большого числа преподавателей.«Сбер»: В РФ не хватает 20 тыс. ИБ-специалистов
В PwC подтверждают острый недостаток специалистов по информационной безопасности. При этом российские компании стараются наращивать штат таких работников. По данным опроса PwC, увеличивать численность специалистов по направлению кибербезопасности в 2021 году планировали 42% компаний из РФ. Примерно 18% организаций собирались увеличивать штат сотрудников в области кибербезопасности на 5% и более.
| Менеджеры по найму сталкиваются с жесткой конкуренцией на рынке труда при поиске специалистов по кибербезопасности. Исходя из проведенных недавно исследований, только в США кандидатов на должности в сфере кибербезопасности на 50% меньше, чем вакансий, – отмечается в исследовании. | |
Там же указано, что 58% руководителей со всего мира и 56% из России не уверены в том, что бюджеты на кибербезопасность обеспечивают адекватный контроль над новыми технологиями. Почти половина опрошенных респондентов из России (47%) полностью согласны с тем, что организации могут усилить свои системы кибербезопасности не за счет наращивания затрат, а с помощью автоматизации и рационализации технологий.[3]