Rambler's Top100
Статьи
Олесья ГОРЬКОВАЯ  02 сентября 2019

Выстраивая стену: как восполнить дефицит специалистов по кибербезопасности

Атаки киберпреступников всё чаще обходятся потерпевшим сторонам в крупные суммы. Причина уязвимостей – недостаток специалистов по информационной безопасности.

Алло, мы ищем «безопасников»!

В июне 2019 года власти Ривьера-Бич в США были вынуждены выплатить злоумышленникам $600 тыс., чтобы восстановить работу ИT-инфраструктуры городских служб. Спустя неделю похожая ситуация повторилась в Лейк-Сити. Атака обошлась муниципалитету $500 тыс. Потери мировой экономики от киберпреступности быстро растут и, как считает Cybersecurity Ventures, к 2021 году могут превысить $6 трлн. В России только в 2017 году атаки хакеров, согласно сообщению премьер-министра Дмитрия Медведева на форуме «Открытые инновации – 2018», стоили экономике 600 млрд руб. За эти деньги можно было бы обучить 2 млн специалистов по информационной безопасности.

Дефицит кадров в отрасли исчисляется миллионами. Несмотря на потребности рынка, спрос на квалифицированных специалистов по кибербезопасности значительно превышает предложение и составляет почти 3 млн открытых вакансий. Исправлять ситуацию нужно как можно скорее, пока из критической она не превратилась в катастрофическую.

Если еще три года назад только в половине компаний были отделы информационной безопасности, то в ближайшие год-два каждая международная корпорация должна обзавестись собственным штатом «безопасников». Другого выхода нет.

Крупнейшие экономики мира уже закладывают в бюджет серьезные суммы на контроль киберпространства. В США в 2020 году эта цифра составит $17,4 млрд. Не остается в стороне и частный сектор. Фонд исследований и разработок в области промышленных предприятий (BIRD) совместно с штаб-квартирой HackerU планирует инвестировать $7,3 млн в восемь новых проектов. Среди них – платформа для оценки уровня ИТ-безопасности и программы повышения квалификации.

Для пополнения кадрового резерва компаний есть две стратегии. Первая – это вовлечение, или, проще говоря, переманивание уже готовых специалистов из областей, где безопасностью данных и технологий озаботились уже давно. Например, инженерия, финтех, нефетегазовая отрасль. Однако такой подход вряд ли сможет решить проблему глобально.

Второй способ – выстроить систему подготовки «безопасников». Это потребует больше времени и финансовых вложений, но зато даст толчок развитию отрасли.

Симбиоз школы и бизнеса

Традиционные стандарты образования ИT-специалистов устарели. За пять-шесть лет студент получит базу фундаментальных знаний, но к моменту выпуска вряд ли сможет применить их в деле. Деятельность хакеров можно сравнить с вирусом, который постоянно эволюционирует: чтобы от него защититься, каждый раз нужно изобретать новую вакцину. Для этого необходимо образование, которое дает не только фундаментальные знания, но и способность заглядывать в будущее. Без постоянной привязки к реальному сектору, изучения отчетов о недавних кибератаках, разбора свежих уязвимостей подготовка окажется бесполезной. Так почему бы не насытить ее практикой?

В вузах наряду с преподаванием теории должны проходить семинары, которые ведут действующие специалисты по ИБ. Они же будут выявлять наиболее способных слушателей и приглашать их на стажировку в свои компании. Система, в рамках которой бизнес готовит кадры для себя на базе университетов и частных компаний, должна стать повсеместной.

К примеру, штат Нью-Джерси, признанный лидер по кибербезопасности в США, заключил контракт с представительством HackerU в США и ее головным офисом в Израиле. В результате Ратгерский университет получил доступ к ИТ-курсам компании. Власти штата рассчитывают, что они смогут ознакомиться с новейшими технологиями Израиля и помочь частному сектору применить их в своем бизнесе. В России по подобному пути пошли несколько вузов. В частности, Высшая школа экономики совместно с российским представительством HackerU разработала курс для обучения специалистов информационной безопасности.

Благодаря таким проектам становится понятно, что представителей реального сектора экономики следует привлекать и к преподаванию, и к разработке стандартов образования, и к формулированию запроса на абитуриентов. Именно бизнес может сказать, в каком количестве специалистов и с каким профилем знаний он нуждается.

Эффект от вложений в образование, конечно, будет виден не сразу: на подготовку специалистов нужно время. Но только такая тактика позволит в будущем поспевать за рынком. К тому же, работая в контакте с образовательными институтами, бизнес сможет яснее формулировать запросы на специалистов. Скажем, сделать акцент на подготовке узкопрофильных кадров по самым проблемным направлениям.

Кроме того, появятся новые рабочие места. Например, подписание шести соглашений на высшем уровне между израильскими и филиппинскими бизнес-группами о запуске сертифицированных обучающих программ по ИБ обеспечит в перспективе 790 вакансий в азиатской республике.

Участвуя в процессе образования бизнес, с одной стороны, повысит кадровый потенциал, а с другой – сможет заработать, инвестируя в ИТ-образование.

Профессия на годы вперед

Безработными специалисты по информационной безопасности не останутся. Путей развития в этой профессии множество. Можно переквалифицироваться в вирусного аналитика, «белого» хакера, или пентестера. Потребность в таких специалистах есть не только в ИТ-компаниях, но и в других отраслях: от авиации и энергетики до туризма и спорта. По нашим оценкам, к 2021 году недобор «безопасников» составит 6 млн кадровых единиц. И, по мнению некоторых международных экспертов, в новой реальности спрос на данных специалистов на рынке никогда не будет удовлетворен.

Острее всего нехватка ИБ-кадров будетчувствоваться в направлении STEM (т.е. наука, технология, инженерия и математика). Это критическая угроза. Почти все российские компании признают, что недостаточно защищены от киберпреступников. Более 65% планируют увеличить вложения в сферу информационной безопасности в следующем году, а 53% фирм сделали это уже сейчас. По оценке HackerU, если восполнить кадровый дефицит хотя бы на 20%, уровень безопасности экономической единицы вырастет на 70%.

Чем лучше защищена компания с точки зрения информационной безопасности, тем больше к ней доверия, а значит – интереса клиентов и инвесторов. Поэтому инвестиции в кадры, выстраивающие неприступные стены для хакеров, – верный шаг для бизнеса любого масштаба и государства.

Не лишним будет озаботиться и общей цифровой гигиеной в компании. Сотрудники должны на зубок знать и схему эвакуации из офиса при пожаре, и правила поведения в цифровой среде. Атака на Лейк-Сити, обошедшаяся городу в $500 тыс., не состоялась бы, если бы сотрудник городской администрации не открыл на рабочем компьютере вредоносное письмо с незнакомого адреса.

Олесья Горьковая, CEO российского представительства школы IT и безопасности HackerU
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!