России может грозить дефицит специалистов по кибербезопасности. Компаниям потребуется около 30 тыс. таких сотрудников, считают в сервисе HeadHunter. Эти данные приводит РБК. При этом за весь прошлый год на платформе разместили 35 тыс. вакансий в этой сфере. Возможный кадровый голод связан с президентским указом от 1 мая. В госорганах, госкомпаниях, а также на объектах критической инфраструктуры должен появиться штатный заместитель директора по IT-безопасности. Кроме того, организации должны создать подразделения, которые будут бороться с киберугрозами.
Фото: Влад Некрасов, Коммерсантъ
Фото: Влад Некрасов, Коммерсантъ
Для кого эти требования станут проблемой? И как ее решать? Независимый эксперт по кибербезопасности Алексей Лукацкий считает, что новые кадры понадобятся десяткам тысяч компаний:
«У госорганов эти проблемы исторические, потому что очень немногие специалисты по безопасности хотят работать на тех зарплатах, которые платят там. Но указ распространяется еще и на все субъекты критической информационной инфраструктуры, к которым относятся и районные поликлиники, и ломбарды, и курьерские службы, и множество других совершенно небольших предприятий, коих насчитывается не один десяток тысяч. Каждому из них понадобится свой безопасник, и это проблема.
Небольшие предприятия ее никак не решат. Им важно выжить, и многие из них как раз сокращают затраты на персонал. И если уж к ним придут, хотя это тоже маловероятно в условиях моратория на проведение проверок в этом году, скорее всего, эта функция будет передана действующему заместителю, который будет еще и формально отвечать за информационную безопасность. В крупных организациях будут назначать либо директора по IT ответственным за информационную безопасность, либо, если он не захочет, то, может быть, поднимут текущих безопасников на роль заместителей. Хотя это, наверное, самый маловероятный сценарий развития событий, но он тоже вполне возможен.
Как минимум надо внедрять различные дисциплины в связанные с информационной безопасностью программы обучения айтишников, и в МВА тоже было бы неплохо. В идеале, конечно же, необходимо переделать всю программу образования, которая не меняется годами, потому что обучают обычно преподаватели-теоретики, которые не имеют особой практики.
Поскольку это задача не очень быстрая, сейчас активно развивают тему с аутсорсингом, она единственная способна хоть как-то решить на первых порах проблемы с нехваткой кадров. Хотя это, к сожалению, тоже не особо поможет».
Следить за тем, как хорошо организации защищены от угроз, будет ФСБ. В частности, служба получит доступ к информационным ресурсам компаний, которых касается указ. А правительство должно утвердить конкретные требования к отвечающим за кибербезопасность. Но даже если среди условий окажется профильное образование, вопросы к квалификации новых кадров остаются, считает начальник отдела информационной безопасности компании SearchInform Алексей Дрозд:
«Дефицит будет, но здесь я бы сделал сноску относительно квалифицированных кадров. Встречались интересные нюансы, когда чуть ли не как в анекдоте получается: вуз с направлением по филологии выпускает безопасников. Есть риск наполнить это предложение кадрами, которые формально будут соответствовать. Расцветет так называемая "бумажная безопасность". Это может быть решено за счет грамотных действий тех же надзорных органов.
Смысл в том, чтобы не только казаться настоящим безопасником, но и быть им, когда надзорные органы будут проверять бумажки по списку, что у вас есть не только регламенты, но и то, что они выполняются.
Квалифицированные кадры, так или иначе, готовят. То, что их станет больше в абсолютном количестве, не значит, что они все будут плохими. Нет, есть достаточно много вузов, которые обучают реально хороших безопасников. И тут еще полезно вспомнить, что айтишникам начали помогать, а помимо них, решили оказать меры поддержки безопасникам и предоставить им какие-то льготы, это могут быть материальные стимулы. Если решается жилищный вопрос, то это тоже для многих будет стимулом, чтобы кадры не покидали родину».
Указ президента также запрещает использовать системы кибербезопасности из недружественных стран. Среди таковых — все государства Евросоюза, США и Япония. Это требование российские компании должны выполнить до 1 января 2025 года.