Спрос на ИБ-кадры по-прежнему растет

Такой результат показало исследование ПАО "Хэдхантер" (hh.ru), приуроченное к Международному дню защиты информации, который отмечается 30 ноября. Всего на данной площадке по состоянию на конец ноября размещено 4,7 тыс. вакансий ИБ-специалистов, что на 27% больше, чем годом раннее. Наиболее высокий спрос на таких сотрудников в ИТ, финансовом и банковском секторе, ТЭК и госуправлении.

Средний уровень зарплаты в вакансиях ИБ-специалистов достиг 70 тыс. руб., что на 6,8 тыс. руб. больше уровня прошлого года. При этом авторы исследования обратили внимание на очень большой разброс размера заработной платы в ряде регионов. Например, в Башкирии - от 30 тыс. до более чем 150 тыс. руб.

Директор по развитию Центра мониторинга кибербезопасности ООО "К2 Кибербезопасность" Анастасия Федорова назвала кадровый голод одной из ключевых проблем для отечественной кибербезопасности: "Нехватка специалистов стала ощущаться уже с конца 2019 г. В период пандемии в связи с переходом на удаленную работу спрос на специалистов в области защиты значительно вырос, но в 2022 г. после публикации указа президента РФ №250 он достиг новых пределов. Специалистов в области ИБ не хватает как в интеграторах, так и внутри организаций".

Директор по персоналу ООО "Гарда Технологии" (ГК "Гарда") Наталья Яговкина видит наиболее сильный дефицит практических специалистов, который усугубила релокация части персонала ушедших с российского рынка компаний: "Судя по нашему опыту поиска подобных кадров, на рынке достаточно специалистов в области теоретической ИБ, но в части практической безопасности дефицит значительный. Многие сильные специалисты уехали из страны вместе с релоцировавшими их иностранными корпорациями. И вместе с этими увеличились риски взломов, кражи данных и прочих информационных неприятностей".

Руководитель отдела по информационной безопасности ООО "Рукс солюшенс" (RooX) Ольга Карпова оценила дефицит ИБ-специалистов в 500-700 тыс. человек. По ее мнению, кадровый голод стал прямым следствием активности регуляторов: "Роскомнадзор увеличил число плановых проверок организаций на соответствие законности обработки и легитимных процессов обработки персональных данных с 500 проверок в год до 2022 г. до более 1200 проверок за 2022 г. - по данным с официального сайта Роскомнадзора".

По мнению руководителя отдела эксплуатации и развертывания ООО "Ричмедиа" (iSpring) Александра Трофимова, дефицит кадров обусловлен сложностью предметной области информационной безопасности: "Специалиста, который может приносить компании пользу, учить долго, а опытные дорого стоят и могут выбирать себе место работы с наиболее комфортными условиями. Порог, после которого специалист начинает повышать реальную защищенность, высок, это определяет сложность обучения новичков и высокую стоимость найма. Усугубляет ситуацию с кадрами высокий спрос. Он обусловлен, с одной стороны, возросшей сложностью и массовостью атак, от которых не защищены даже небольшие компании, а с другой - законодательными требованиями к защите КИИ".

Кого не хватает

Анастасия Федорова считает, что нехватка ощущается на разных позициях, от инженеров до управленческих кадров: "Особенно остро стоит вопрос со специалистами, которые обеспечивают защиту объектов КИИ, экспертами SOC и архитекторами систем безопасности. Восполнить дефицит позволяет фокус на работу с начинающими специалистами. Практически у каждого крупного игрока на рынке есть свои программы по работе со студентами и стажерами. Исправить ситуацию позволит популяризация работы в сфере ИБ для молодых людей, находящихся на старте своей карьеры и только выбирающих специализацию".

Директор по персоналу Angara Security Оксана Ткачева среди проблемных позиций отмечает инженеров по обслуживанию SIEM, системных архитекторов, специалистов по анализу защищенности, DevSecOps и цифровой криминалистике. По ее мнению, негативно влияет то, что меняется средний срок работы сотрудников в компаниях: "Сотрудники не стремятся работать длительное время в одной компании, что усложняет планирование по срокам и качеству продуктов. Это связано как с личными приоритетами, так и моделью работы. Гибрид вошел в нашу жизнь на очень долгий срок".

"Дефицит кадров в ИБ очень большой. Приходится вести активный поиск специалистов, используя для этого все имеющиеся средства: личные контакты, соцмедиа, хантинг. Недостаточно разместить вакансию и ожидать, что нужный специалист на нее скоро откликнется. Часто проще обучить молодого специалиста, чем найти готового, - делится наблюдениями директор центра мониторинга и реагирования UserGate Дмитрий Кузеванов. - В целом дефицит наблюдается по всем позициям. Чуть меньше для руководителей верхнего звена. Но в полной мере, если говорить о специалистах начального и среднего уровня. Кроме того, после ухода с российского рынка большинства иностранных ИБ-вендоров большой дефицит наблюдается среди специальностей, связанных с разработкой ИБ-продуктов. Раньше значительная часть работы специалистов по ИБ была связна с внедрением иностранных решений, работой с нормативной документацией. Сейчас же пришло время разработки собственных решений. В чуть лучшем положении оказались компании, которые уже занимались собственной разработкой. За годы работы они выстроили команды и процессы. Теперь же, когда спрос на их продукцию многократно возрос и им необходимо масштабировать свою работу, они тоже нуждаются в дополнительных рабочих руках и мозгах. Но у них уже есть основа команды, знания и опыт, которые необходимо передать новым сотрудникам".

По мнению Натальи Яговкиной, сильно мешают притоку новых кадров стереотипы: "У нас по-прежнему многие видят ИБ больше как документационную работу. Оформление бумаг, требований, приказов, карт и регламентов. Этого, действительно, немало, но это не все. Ну и есть много уже не очень соответствующих действительности стереотипов, покрывающих сферу информационной безопасности, чего многие молодые ребята просто боятся. Поэтому нужна достоверная информация о том, чем же занимается и может заниматься специалист по ИБ в коммерческих компаниях. Задач много, они разноплановые и на любой вкус".

Руководитель центра противодействия киберугрозам Innostage CyberART Максим Акимов считает наиболее проблемными категориями специалистов по безопасной разработке и аналитиков, и положение усугубляет то, что задачи необходимо решать срочно: "Набирает обороты направление безопасной разработки, становятся все более востребованы специалисты DevSecOps/AppSec. Также наблюдается повышенный спрос на аналитиков - экспертов SOC, специалистов по анализу защищенности и тестированию на проникновение (Pentest, RedTeam), аналитиков киберугроз и киберразведки (Threat intelligence (TI), Threat hunting (TH). Острый дефицит квалифицированных специалистов в области ИБ упирается и в финансовый вопрос: затраты на наем и обучение персонала высоки, это увеличивает ценность обученных кадров и усложняет их удержание, перегревает рынок и делает формирование штата киберспециалистов малодоступным для некоторых компаний. Кроме того, уровень и срочность задач по обеспечению ИБ высоки, и зачастую просто нет времени доращивать новичков до нужных позиций".

Руководитель группы экспертного подбора персонала ПАО "Группа Позитив" (Positive Technologies) Артем Комшов видит дефицит по многим направлениям, но быстро решить проблему не получиться: "В информационной безопасности сегодня ощущается дефицит по многим направлениям: безопасная разработка, исследование защищенности и вредоносного программного обеспечения, проверка на киберустойчивость от внешнего нарушителя (пентесты), расследование киберпреступлений, Threat Intelligence и др. Восполнить дефицит кадров быстро не получается: специалисты по ИБ необходимы в каждой компании и организации, а вузы быстро не могут обновлять программы обучения и выпускать нужное количество талантливой молодежи. К тому же на рынке информационной безопасности достаточно жесткая конкуренция за кандидатов. Изменить ситуацию может помочь обновление программы отсрочки для ИТ-специалистов, не имеющих высшего образования, но являющихся узкоспециализированными экспертами в своей области, наращивание производства и развитие технологий".

Модернизация образования как первый шаг

"Один из способов решить проблему - это модернизация учебных программ вузов. Так, в сентябре 2023 г. Минцифры России уже объявило о полном пересмотре стандартов подготовки специалистов в области информационной безопасности. Ориентация высшей школы на бизнес позволит готовить молодых специалистов уже с учетом актуальных технологий и киберугроз. Это поможет хотя бы частично компенсировать кадровый голод на рынке ИБ, - полагает Ольга Карпова. - Но при этом информационная безопасность - это сегмент, в котором даже от стажера, не говоря уже о более высоких позициях, требуется довольно большой объем знаний и опыта. Быстрая переквалификация "просто айтишников" и "неайтишников" с помощью месячных курсов по ИБ может подготовить контингент для стартовых должностей, а реальная потребность бизнеса резко выросла в части более подготовленных специалистов".

Дмитрий Кузеванов видит проблему в качестве базового образования: "Поскольку технологии в целом и ИБ развиваются стремительно, образовательные программы просто не успевают за ними. Для решения этой проблемы необходимо более активное взаимодействие между образовательными учреждениями и реальным сектором экономики. Жаль, что далеко не все это понимают. И конечно же, не стоит недооценивать роль государства, которое должно создавать условия для подобного взаимодействия и стимулировать его. Нам необходима синергия между государством, образовательной системой и реальным сектором. Повышению уровня образования должен способствовать реальный сектор через запросы на специалистов соответствующих специальностей и обладающих необходимыми знаниями".

По мнению Максима Акимова, существует серьезный риск ухудшения качества кадров в течение ближайших трех-пяти лет в ряде сегментов рынка: "Следуя курсу на импортозамещение, организации переходят на отечественные продукты, требующие профессиональных навыков обращения с ними. Становится еще острее запрос на специалистов уровня мидл и выше, уверенно владеющих новыми инструментами и технологиями ИБ. Выстраивание импортонезависимого ИТ-ландшафта дополнительно ужесточает стандарты по информационной защите, в том числе связанные с квалификацией и комплектностью штата ИБ-специалистов. Кроме того, бизнес более основательно подходит к обеспечению киберустойчивости: растут бюджеты как на формирование соответствующих подразделений внутри компании, так и на аутсорсинг услуг по противодействию хакерским угрозам. Возрастающие объемы задач вынуждают компании конкурировать за кадры и повышать зарплатную планку. Как результат, опытные специалисты перекупаются крупными компаниями, оголяя предприятия малого бизнеса и госсектора. Острый дефицит кадров в сфере может привести к снижению среднерыночного качества кадров, и в течение трех-пяти лет проблема, вероятно, усилится".