В условиях всеобщей цифровизации и увеличения числа информационных атак, обеспечение безопасности критической информационной инфраструктуры (КИИ) становится вопросом крайней важности. КИИ включает в себя объекты, от которых зависит нормальное функционирование государственных систем, экономики и общества в целом, например, системы энергетики, транспорта, коммуникаций и финансов. Именно поэтому необходимо не только разрабатывать новые технологии и системы защиты, но и готовить персонал, способный противостоять современным вызовам и угрозам.

С увеличением числа атак и ростом киберугроз, спрос на высококвалифицированных специалистов становится все более актуальным. Согласно опросу HH.ru и Reserch, на данный момент 54% российских компаний и 48% субъектов КИИ испытывают недостаток специалистов по информационной безопасности. На одну открытую вакансию приходится всего 0,8 резюме, что свидетельствует о дефиците специалистов в данной области.

Для решения проблемы дефицита ИБ-специалистов и подготовки кадров для субъектов КИИ необходимо принимать комплексные меры, основанные на опыте и ориентированные на перспективы. В данной статье мы рассмотрим некоторые из ключевых аспектов этой проблемы и возможные пути ее решения.

Игорь Викторович Семенихин, Кандидат воен. наук, доцент, ведущий эксперт «Академии Softline»

Факторы дефицита квалифицированных ИБ-кадров

В последнее время дефицит квалифицированных специалистов в области информационной безопасности становится все более ощутимым. Влияние на это оказывает ряд факторов:

1. Новый уровень киберугроз. После событий 2022 года организации столкнулись с новыми атаками на информационные ресурсы, которые исходят от профессиональных структур с целью нанесения прямого ущерба. Этот фактор оказывает особенно сильное влияние на дефицит ИБ-кадров, поскольку противостоять серьезным угрозам должны подготовленные специалисты, а не молодые выпускники институтов или краткосрочных курсов повышения квалификации.

2. Импортозамещение. Активный курс на технологический суверенитет в нашей стране требует переобучения и сертификации ИБ-специалистов. Рынок нуждается в профессионалах, способных работать с новым стеком ПО и технологий.

3. Рост уровня цифровизации и автоматизации предприятий. С увеличением количества технологий, связанных с аналитикой данных, растут и обязательства по защите конфиденциальной информации. В современном мире организации собирают и обрабатывают огромные объемы данных, включая чувствительные персональные и корпоративные данные. Это создает большую потребность в специалистах по информационной безопасности, способных обеспечивать защиту этих данных от утечек и несанкционированного доступа.

4. Изменения на рынке труда. Сегодняшний рынок труда перенасыщен джуниор-специалистами – выпускниками вузов, колледжей и курсов «в ИТ за 3 месяца», считающими себя профессионалами, готовыми выйти на рынок и предоставлять свои услуги. Но зачастую таким специалистам просто не хватает практического опыта, их компетенции в основном ограничиваются теоретической подготовкой. Сложности возникают, когда требуется решать задачи, связанные с обеспечением безопасности критической информационной инфраструктуры. В этой области рынку недостает именно квалифицированных специалистов, готовых отвечать вызовам современного рынка информационной безопасности и способных качественно справляться с поставленными задачами.

5. Несоответствие зарплатных ожиданий. По данным аналитиков, средняя зарплата специалиста по информационной безопасности в России на 2023 год составляет порядка 70 тысяч рублей, при этом сами специалисты в среднем хотят получать не менее 150 тысяч рублей. Конечно, если речь идет о крупной компании, допустим, в Москве, платить квалифицированному ИБ-специалисту 150–200 тысяч рублей будет возможно. Соответственно, и спрос на такие вакансии со стороны соискателей будет выше. Но небольшая компания, являющаяся субъектом критической информационной инфраструктуры, вряд ли сможет обеспечить такой уровень дохода своим специалистам.

6. Требования регуляторов. В соответствии с Указом Президента Российской Федерации от 01.05.2022 г. № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации», субъектам критической информационной инфраструктуры РФ надлежит создать структурное подразделение, осуществляющее функции по обеспечению информационной безопасности, которое будет находиться в подчинении заместителя руководителя организации, ответственного за обеспечение ИБ. Заместитель руководителя организации, ответственный за обеспечение ИБ, в свою очередь должен иметь высшее образование (не ниже уровня специалитета или магистратуры) в сфере ИБ или пройти профпереподготовку по программе длительностью не менее 360 часов, согласованной с ФСТЭК России. Помимо этого, заместитель руководителя организации, ответственный за обеспечение ИБ, должен проходить повышение квалификации не реже одного раза в три года.

Дефицит ИБ-кадров нарастает, что требует принятия эффективных мер со стороны государства, образовательных учреждений и бизнес-сообщества. Необходимо разрабатывать и проводить специализированные образовательные программы, которые позволили бы качественно обучать специалистов информационной безопасности и развивать не только теоретические, но и практические навыки. Также следует активно поддерживать профессиональное развитие ИБ-специалистов, предоставляя им возможности для повышения квалификации и прохождения сертификации.

Помимо этого, стоит усиливать сотрудничество между вузами и сферой бизнеса, создавая практические площадки для студентов, где они смогут получить опыт работы с реальными проектами и технологиями.

Квалифицированные ИБ-кадры как фактор снижения киберугроз

Для обеспечения безопасности и надежности КИИ требуется разработка и внедрение эффективных мер по защите от киберугроз. Благодаря новым технологиям и методам, специалисты в области кибербезопасности могут помочь компании снизить риски и предотвратить возможные атаки. Именно поэтому наличие квалифицированных специалистов, обладающих знаниями и навыками в области кибербезопасности и управления рисками является важной составляющей обеспечения безопасности объектов КИИ.

В настоящий момент наиболее эффективным решением проблемы недостатка компетентных ИБ-кадров остаются программы дополнительного профессионального образования – повышения квалификации и профпереподготовки. Обучение способствует формированию у специалистов системного подхода к обеспечению информационной безопасности, что позволяет им эффективно применять новые технологии и методы защиты. Это, в свою очередь, помогает снизить риски и возможные негативные последствия кибератак на объекты КИИ.

В результате обучения специалисты получают знания и навыки, необходимые для обеспечения безопасности в условиях активного технологического развития и возрастающей сложности информационных систем. Это способствует повышению уровня безопасности объектов КИИ и, как следствие, улучшению качества работы и жизни населения.

Помимо этого, важную роль в обеспечении безопасности объектов КИИ играет подготовка и повышение киберграмотности линейного персонала. По статистике, подавляющая часть первопричин киберугроз и киберинцидентов имеет человеческий фактор. Именно рядовые сотрудники компаний зачастую становятся прямыми или косвенными источниками «результативности» фишинговых атак, утечки данных, и иных инцидентов, приводящих к необратимым последствиям. Поэтому повышение осведомленности и киберграмотности персонала становится одной из ключевых задач для обеспечения безопасности любой компании, в особенности субъектов КИИ.

Методы и перспективы

Стоит учитывать, что для эффективной подготовки кадров в области кибербезопасности и управления рисками требуются комплексные программы, которые будет включать в себя не только теоретическое обучение, но и отработку реальных проблемных задач на практике.

В нашей стране установлены минимально допустимые сроки освоения образовательных программ в области информационной безопасности: при повышении квалификации он составляет 40 часов, при профпереподготовке – 360 часов. Сегодня на нашем рынке подобные программы предоставляют образовательные организации и учебные центры, как в онлайн, так и в оффлайн форматах.

Однако при выборе образовательной организации для подготовки ИБ-специалистов следует обратить внимание на наличие у нее соответствующих лицензий на ведение образовательной деятельности, на опыт и экспертизу преподавателей, которые проводят занятия, уточнить, согласованы ли учебные программы с ФСТЭК, ознакомиться с отзывами выпускников.

К примеру, у нас есть программа профессиональной переподготовки «Информационная безопасность. Безопасность значимых объектов критической информационной инфраструктуры». Продолжительность – 502 академических часа, большая часть из которых посвящена вопросам обеспечения безопасности значимых объектов критической информационной инфраструктуры.

Такая программа подойдет руководителям и специалистам структурных подразделений, обеспечивающим безопасность значимых объектов КИИ; специалистам субъектов критической информационной инфраструктуры, ответственным за обеспечение безопасности значимых объектов КИИ; инженерно-техническим работникам в области ТЗКИ и т.д.

Если же компании требуются специалисты с более развитыми компетенциями в вопросах обеспечения информационной безопасности КИИ, для них существуют программы повышения квалификации, которые позволят приобрести необходимые навыки и компетенции, а также научиться:

• проводить анализ и определять уровень опасности угрозы безопасности информации;
• организовывать работу и обеспечивать выполнение требований законодательства в сфере обеспечения безопасности объектов КИИ;
• разбираться в вопросах категорирования объектов КИИ;
• разрабатывать организационно-распорядительные и планирующие документы, регламентирующие безопасность значимых объектов КИИ;
• реализовывать меры по обеспечению безопасности значимых объектов КИИ;
• реализовывать требования по взаимодействию с контролирующими органами;
• реализовывать меры по контролю за обеспечением безопасности значимого объекта КИИ.

Эти программы лучше всего подойдут руководителям и сотрудникам государственных и муниципальных органов, органов местного самоуправления, организаций различных форм собственности; руководителям и специалистам служб ИБ и защиты информации государственных и коммерческих предприятий; индивидуальным предпринимателям в областях информатизации, телекоммуникационных технологий, здравоохранения, науки, транспорта, связи, энергетики, банковской сферы и др.

Не стоит забывать и о том, что важным аспектом в вопросах обеспечения информационной безопасности объектов КИИ является осведомленность персонала организации. Даже самая идеальная защита компании и сильная команда ИБ-специалистов не исключает человеческого фактора и ошибок со стороны линейного персонала, способных привести к инциденту. Поэтому необходимо уделять особое внимание повышению киберграмотности сотрудников.

Например, мы недавно запустили комплексное платформенное решение для повышения осведомленности сотрудников значимых объектов КИИ в области информационной безопасности и защиты персональных данных, которое позволяет обучить персонал компаний ключевым навыкам обеспечения безопасности и повысить уровень их киберграмотности.

Помимо этого, стоит осознанно подходить и к отбору сотрудников в организацию, для этого сейчас на рынке доступны эффективные методики. Например, все более востребованным становится подход на стыке ИТ-рекрутмента и образования, основанный на подборе и найме целых команд ИТ и ИБ-специалистов через обучение или, так называемые, школы стажеров.

Эффективность такого подхода к подбору и обучению персонала в том, что компании получают мотивированную команду специалистов с актуальными знаниями и навыками, погруженную в бизнес-процессы организации и готовую включаться в проекты «здесь и сейчас». Уже в период обучения стажеры проходят все этапы адаптации, учатся командной работе на реальных кейсах и налаживают взаимодействие. Это позволяет сократить временные затраты на поиск и адаптацию новых сотрудников, а также повышает вероятность того, что специалист останется в компании надолго.

Заключение

В заключение хотелось бы отметить, что хоть мы и ощущаем острую нехватку ИБ-специалистов, по данным ряда аналитиков, российский рынок кибербезопасности продолжает активно расти и в перспективе ближайших 5 лет сможет достичь того уровня, который существовал при использовании иностранных средств защиты информации.

На сегодняшний день подготовка персонала для обеспечения безопасности объектов КИИ имеет широкие перспективы. Крупные государственные и корпоративные заказчики все больше осознают важность информационной безопасности и необходимость инвестировать в подготовку высококвалифицированных кадров, способных эффективно защищать информационные ресурсы на объектах КИИ.