На фоне текущей геополитической ситуации российский бизнес, так же, как и госсектор столкнулся с необходимостью увеличения затрат на обеспечение информационной безопасности (ИБ). Соответственно выросли и требования к компетенциям специалистов и руководителей в этой сфере. С другой стороны, рынок в полной мере столкнулся с кадровым голодом ─ дефицит персонала по направлению информационной безопасности оценивается в 100 тыс. человек. Как участники рынка планируют решать эту проблему – в материале «Континента Сибирь».
Как изменились требования к обеспечению инфобезопасности?
По данным опроса, проведенного компанией Positive Technologies, большинство российских организаций (80%) уделяют недостаточно внимания обеспечению киберустойчивости и выборочно укрепляют свою ИТ-инфраструктуру. При этом, за последние полтора года количество киберинцидентов продолжает увеличиваться. По данным «Лаборатории Касперского», атакующие обращают внимание на организации со слабой защитой, без привязки к конкретной индустрии, используя любые доступные инструменты в открытой сети. При этом не снижают активности и группы, которые атакуют с целью шпионажа и финансовой выгоды.
Достаточно вспомнить свежий кейс новосибирской службы доставки СДЭК, работа которой была парализована на несколько дней. 28 мая международная хакерская группа Head Mare взяла на себя ответственность за сбой в работе этой компании. Взломщики заявили, что использовали вирус-шифровальщик. Такого рода кейсы сигнализируют бизнесу о необходимости уделять больше внимания вопросам инфобезопасности.
Как констатирует управляющий директор «Лаборатории Касперского» в РФ и СНГ Анна Кулашова, произошел переход от «бумажного» к реальному обеспечению инфобезопасности. «Если лет 5 назад реальная защита ИТ-инфраструктуры интересовала лишь очень узкий сегмент рынка, то теперь намного больше компаний. И те, кто 5 лет назад были не уверены даже в необходимости антивирусных средств, сегодня начинают строить эшелонированную защиту», ─ солидарен с мнением менеджер по развитию новосибирской ИТ-компании UserGate Александр Луганский.
Рост кибератак обусловлен несколькими факторами. Во-первых, пандемия выступила драйвером ускоренного перехода бизнеса в онлайн, что сделало компании более уязвимыми перед лицом злоумышленников. Во-вторых, после февраля 2022 года бизнес столкнулся с киберугрозами, обусловленными еще и политическими мотивами. «С момента старта СВО началась кибервойна. Почти все компании в стране были атакованы и стали объектом внимания со стороны хакеров. Раньше можно было, не применяя большого количества инструментов и усилий, защититься от атак отдельных хакеров. Сейчас в качестве потенциального противника выступает разведка недружественных стран, высокомотивированная, высококвалифицованная и обладающая безграничными ресурсами хакеров», ─ делится выводами с «Континентом Сибирь» технический директор компании Positive Technologies Евгений Зубов.
По его словам, во-первых, компаниям нужно понимать, что в их случае может являться потенциальной мишенью для хакеров. Важно определить недопустимые события, а также выявить элементы ИТ-инфраструктуры, при взломе которых злоумышленники могут нанести непоправимый ущерб организации. Во-вторых, количество персонала, отвечающего за инфобезопасность, должно соответствовать текущим требованиям. «К несчастью, большинство компаний в стране не занимаются мониторингом инфобезопасности в режиме 24 на 7, а хакеры не спят. Нужно существенно повышать свою квалифицикацию и осознавать тот факт, что все атаки происходят ночью», ─ предостерегает Евгений Зубов. В подтверждение этих слов компания МТС в мае сообщала, что половину хакерских атак на промышленные предприятия Новосибирска совершались именно в нерабочее время. При этом доля критических инцидентов в ночное время заметно возрастала: с 12% в рабочие часы компаний до 25% — в ночные.
Одним из наиболее ценных ресурсов для бизнеса являются кадры, а если дело касается специалистов по инфобезопасности, то этот вопрос становится еще острее. По подсчетам Positive Technologies, дефицит кадров в рассматриваемой сфере составляет около 100 тыс. человек. При этом, действующая система образования готовит порядка 10 тыс. специалистов, из которых 50% — выпускники высшей школы.
Согласно опросу, проведенного компанией, 39% участников испытывают нехватку кадров в командах по инфобезопасности, 29% считают, что команда сформирована, но от дополнительных сотрудников они бы не отказались, и лишь 11% респондентов сообщили, что их команды, обеспечивающие инфобезопасность, полностью укомплектованы.
С тем, что компании, которые хотят защитить свою ИТ-инфраструктуру, упираются в нехватку сотрудников, согласен Александр Луганский. По его словам, если крупные компании с известным брендом имеют шансы перекупить интересующих кадров на рынке, то для небольших компаний это становится проблемой.
«Раньше людей брали, чтобы они «что-то делали и все было безопасно». Им не давали возможности менять бизнес-процессы, а просто накладывали ограничения на сотрудников. Сейчас директор по инфобезопасности в зрелой компании – это один из топ-менеджеров, который участвует в разработке всех бизнес-процессов. Разумеется, помимо этого его прямая ответственность — понижение рисков фрода (вида мошенничества, направленного на воровство персональных данных, маскировку фейковых объявлений под рекламу известных продуктов – «КС»), атак на системы, обучения пользователей, ─ перечисляет «Континенту Сибирь» Александр Луганский. ─ Много ли таких директоров на рынке? Опыт взаимодействия с бизнесом, понимания его потребностей, задач, болей не может взяться с «потолка», опыт появляется только при фактическом решении этих задач. В связи с этим многие компании делают ставку на то, чтобы вырастить свои кадры, вовлекают их в выстраивание процессов, взаимодействуют с ними. Это, безусловно, более долгий процесс, но и найти на рынке человека, которому бизнес будет доверять, очень сложно. Компетенции же должны соответствовать потребностям компании, и это должны быть не только хард-скиллы, но и очень развитые софт-скиллы, потому что современный безопасник не должен быть врагом для остальных сотрудников. Он должен уметь объяснить, почему какое либо действие важно, на что оно влияет, быть для компании своим если не другом, то хотя бы тем, кого не боятся, к кому не стесняются подойти и уточнить, спросить мнения, зная, что получат адекватный ответ».
О росте требований к сотрудникам, отвечающим за инфобезопасность, говорит и Анна Кулашова. По ее словам, на сегодня такие сотрудники должны обеспечивать безопасность персональных данных клиентов, операционной деятельности компании, интеллектуальной собственности, производства, финансовых операций, и т.д.
Как констатирует генеральный директор Positive Technologies Денис Баранов, меняется и сам портрет специалиста и руководителя по информационной безопасности. В эту сферу со студенческой скамьи приходят молодые талантливые специалисты, среди которых немало так называемых «белых хакеров», то есть тех, кто использует свои компетенции для выявления уязвимостей в ИТ-инфраструктуре компаний.
Однако предпринимаемые в настоящее время меры, по оценкам участников рынка, позволят сократить кадровый голод только приблизительно на 10%. Здесь речь идет о создании и запуске компаниями сферы инфобезопасности различных совместных программ в партнерстве с образовательными учреждениями как в системе высшей школы, так и магистратуры, а также дополнительного профессионального образования.
Впрочем, помимо повышения компетенций и развития образовательных программ, сделать кадровый вопрос менее острым мог бы аутсорсинг решений и персонала. В этом случае речь шла бы об увеличении компетенции на стороне подрядчика, а не самой компании. «Мы как вендор стремимся к тему, чтобы снизить требования к компетенциям, которые есть в сотрудниках заказчиков. А требования к компетенциям внутри компании мы максимально повышаем», ─ заверил «Континент Сибирь» руководитель направления автоматизации информационной безопасности Positive Technologies Михаил Стюгин.
Александр Луганский также считает, что аутсорсинг, например, виртуального директора по ИТ-безопасности позволяет разгрузить человека внутри компании от рутинных задач. В этом случае он может тратить условно 2-3 часа в день в формате консультаций, выстраивания процессов, проверки поставленных задач, и этого может оказаться достаточно для того, чтобы поднять уровень инфобезопасности в компании. «Безусловно рабочие руки специалистов инфобезопасности тоже могут быть призваны со стороны аутсорсинга, но все-таки найти их на рынке попроще», ─ говорит Александр Луганский. По его прогнозам сервисная модель, при учете дефицита кадров в текущее время будет развиваться и помогать малому и среднему бизнесу стать безопаснее.
Однако в любом случае гарантий полной безопасности у бизнеса нет, что показывает кейс со СДЭК. Тем не менее, возможностей более эффективно защитить свою инфраструктуру в случае отсутствия внутри компаний соответствующих компетенций в этом случае больше.
Также, по данным «Лаборатории Касперского», в помощь специалистам по инфобезопасности в настоящее время работает и так называемый так называемый регуляторный хаб. Его пользователи могут выбрать отрасль, задачи, получить ссылки на нормативную базу и рекомендации, что нужно сделать с точки зрения инфобезопасности.
Как госсектор в регионах справляется с ситуацией?
«Континент Сибирь» обратился к министрам цифрового развития Новосибирской области и Красноярского края для оценки ситуации в госсекторе, который так же, как и бизнес, сталкивается с аналогичными вызовами с точки зрения инфобезопасности.
В соответствии с указом президента РФ от 1 мая 2022 года, на которое ссылается минцифры Новосибирской области, руководители органов и организаций должны возложить на своих заместителей полномочия по обеспечению инфобезопасности, создать структурное подразделение, осуществляющее функции по обеспечению ИБ, принимать в случае необходимости решения о привлечении организаций к осуществлению мероприятий по обеспечению ИБ, обеспечивать незамедлительную реализацию организационных и технических мер. При этом на руководителей органов (организаций), согласно указу, возлагается персональная ответственность за обеспечение ИБ.
Комментируя ситуацию с персоналом в сфере инфобезопасности, в минцифры Новосибирской области говорят о положительной динамике подготовки кадров в высших (ВУЗ) и средних специальных учебных заведениях (ССУЗ). «Контрольные цифры приема в новосибирских учреждениях по направлению инфобезопасности в 2023/2024 учебном году по ВУЗам составляют 342 места, по ССУЗам – 100 мест. В 2022/2023 учебном году эти показатели составляли соответственно 286 и 50. Наблюдаемый дефицит специалистов по защите информации купируется также профессиональной переподготовкой сотрудников, имеющих базовое образование в области ИТ, по программам в сфере инфобезопасности», ─ оптимистично оценивает ситуацию министр цифрового развития Новосибирской области Сергей Цукарь.
В свою очередь глава минцифры Красноярского края Николай Распопин констатирует, что профильные вузы готовят специалистов в сфере инфобезопасности, а федеральные и региональные компании уже обучают их на местах. Однако он видит сложности в том, что уровень зарплат в госсекторе уступает частному бизнесу, тем самым делая конкуренцию за квалифицированные кадры более сложной.
«Мы догоняем, но пока остаемся позади крупных коммерческих компаний (с точки зрения возможности предложить конкурентоспособные зарплаты – «КС»). Во многих отраслевых ведомствах компетентных людей, отвечающих за определенные направления, просто нет. Это было одной из причин, почему мы придерживаемся подхода централизации сервисов», ─ объясняет «Континенту Сибирь» Николай Распопин.
Еще одна проблема заключается в конфликте интересов: специалисты по инфобезопасности стремятся установить различные ограничения в системе в то время, как на сегодня нужно работать быстро, динамично, гибко. Впрочем, министр констатирует, что на сегодня уже многие понимают, что лучше немого потерпеть из-за неудобств, чем в дальнейшем потерять важные данные.
«Раньше некоторые считали, что в регионе тратится много денег на информационную безопасность. Краевой минфин нас спрашивал: «Вот вы хотите закупить межсетевой экран. Зачем?» Мы отвечали, что если произойдет соответствующая ситуация, то это позволит снизить ущерб. А в ответ слышали: «А если эта ситуация не произойдет? Может не надо тратить на это деньги?» Сейчас объяснять уже проще. После различных киберинцидентов все поняли, что если у нас не будет предпринято необходимых мер, то последствия будут печальными. Тем более, в условиях курса на цифровизацию. Поэтому безусловно, уровень понимания важности затрат на информационную безопасность повысился», ─ резюмирует Николай Распопин.
WPBuild.Ru