Специалисты в области информационной безопасности сегодня в дефиците. Как компании справляются с такой проблемой? Об этом шла речь на Национальном форуме информационной безопасности.
Михаил Наумов, директор департамента информационной безопасности ПАО «Транснефть»:
– Больше всего нам не хватает технических специалистов: в области ИТ, ИБ, АСУ ТП. Сейчас даже юристов выпускается больше из технических вузов.
В нашей компании проводится единая кадровая политика по подбору высококвалифицированных работников. То есть на должность специалиста информационной безопасности рассматриваются только лица с высшим профильным образованием. Компания создает привлекательный для соискателей образ, предоставляет социальные и другие меры поддержки, в том числе для привлечения людей в регионах.
Если раньше у нас был выбор, потому что специалисты ИБ не так сильно были востребованы, то сейчас обратная ситуация. Мы вынуждены сами искать и привлекать к себе людей.
Считаю, что в области информационной гигиены компаниям стоит вырабатывать определенный этикет. И даже не с институтской скамьи, а со школьной рассказывать детям, как правильно себя вести, чтобы не подвергать опасности информационные системы. И тогда будет проще подбирать и людей.
Дмитрий Васильев, директор департамента информационной безопасности ПАО «Интер РАО»:
– У нас схожая ситуация – мы наблюдаем значительный дефицит кадров в области информационной безопасности.
Мы поняли, что надо учить не только специалистов по инфобезу. Когда мы строим систему безопасности, ее целостность обеспечивает не только человек, который администрирует средства антивирусной защиты. Многое зависит и от других сотрудников. Вовлеченность персонала в понимание того, что можно, чего нельзя, должна быть максимальной. Особенно это касается объектов критической информационной инфраструктуры.
Поэтому мы разделили логически весь персонал на две части. Первая – это те, кто непосредственно занимается инфобезом, и вторая – работники производства и ИТ.
С первой частью все более-менее понятно. Есть профильное образование, курсы повышения квалификации. Есть некоторые недочеты. По каким‑то направлениям нет профессиональных стандартов. Проваливается так называемая независимая оценка знаний – то, что подтверждалось сертификатами ушедших из России компаний по результатам проверки практических навыков и опыта и подтверждало полезность человека в области информационной безопасности. Такого у нас нет.
Есть и большие проблемы со второй частью сотрудников. Специалисты, которые заканчивают институты, где специализировались на АСУ ТП (автоматизированная система управления технологическим процессом – система технических и программных средств, предназначенных для автоматизации управления технологическим процессом. – Прим. ред.), не представляют, что такое информационная безопасность. Не понимают, что, например, пароль – это тоже мера обеспечения информационной безопасности. Что его надо менять. Что может произойти, если будет атака. Такие основы кибергигиены не даются молодым специалистам. И это настораживает в наш век цифровизации и новых рисков, которые в связи с этим возникают.
Какие мы видим выходы из этой ситуации?
Безусловно, это повышение осведомленности сотрудников в области инфобеза. Это не обучение, а инструктажи, объяснения, регулярные киберучения, фишинговые тренировки. На примере конкретных примеров прохождения злоумышленниками пути до целевого объекта мы рассказываем, почему это произошло, что позволило пройти этот путь. И люди начинают понимать и предпринимать зависящие от них меры безопасности.
Это глобальная работа с сотрудниками организации. Так мы компенсируем недостаток навыка и знаний у работников своими силами и средствами.
Считаю, что нужно специалистам с институтской скамьи объяснять, что мы живем в цифровую эпоху, когда киберинциденты могут привести к довольно существенным последствиям.
Когда мы строим систему безопасности, ее целостность обеспечивает не только человек, который администрирует средства антивирусной защиты. Многое зависит и от других сотрудников.
И конечно, ищем сотрудников, мотивируем их, стараемся удержать. Это, кстати, сложно. Когда человек приходит к нам работать и через какое‑то время понимает, что он набрался уже знаний, он начинает поиск нового места. Особенно сложно удержать людей в регионах, учитывая ставший популярным формат удаленной работы. Московские компании, которые работают в области ИТ и информационной безопасности, готовы брать людей на «удаленку». Мы же на это не всегда готовы, поскольку некоторые наши объекты изолированы. И, конечно, на рынке бывают очень привлекательные предложения для сотрудников.
«Интер РАО» – энергокомпания, информационная безопасность – не наша профильная деятельность. Мы не ИБ-компания, не ИТ-компания. Поэтому у нас нет каких‑то жестких требований к специализации сотрудников. Какие‑то функции мы централизуем, но у ИБ-компаний с этим немного проще. Основная наша проблема в том, что институт не выпускает специалистов, которые в одиночку могут «победить» все вопросы безопасности на объекте генерации.
На мой взгляд, очень не хватает сейчас многих образовательных стандартов. Если они появятся, гибкость сотрудников будет выше. Министерству образования имеет смысл общаться с вузами, чтобы что‑то унифицировать. Наверняка это возможно.
Алексей Трипкош, руководитель направления развития РКБ Positive Technologies:
– Мы стараемся донести до рынка важность информационной безопасности, публикуем отчеты о том, что инструментарии хакеров увеличиваются, интерес к взлому российских компаний растет. Всячески популяризируем ИБ. Проводим мероприятия, не только для специалистов по информационной безопасности, но и для СЕО, топ-менеджеров, ИТ-сектора, специалистов по АСУ ТП, на которых мы рассказываем, что ИБ – это важно, интересно и там есть деньги.
Несмотря на то что компании в сфере ИБ продуцируют кадровый голод, мы делаем многое, чтобы с ним бороться. Запускаются курсы, институтские программы. Мы формируем целевые программы, различные тематики и предметы в вузах, проводим стажировки. Это понятные действия. Но что реально важно – нужно работать над автоматизацией. Когда вы хотите, чтобы процесс меньше зависел от персонала, нужно автоматизировать линейные процессы.
В чем вектор развития обучения в ИБ?
Прежде всего, надо работать на местах, с линейными руководителями. Так, чтобы они обучались сами, чтобы не боялись, что кто‑то будет лучше, чем они. Чтобы люди из другого поколения, у которого основная система защиты – игнорирование, интересовались ИБ и росли в этой области.
Нужно развивать программы среднего специального образования для линейного функционала, потому что не всем сотрудникам ИБ нужно заниматься «высокими материями».
И нужна автоматизация. Например, на рынке есть решения, которые могут заменить некоторые продукты в области информационной безопасности. Но нужно, чтобы компании были готовы к их внедрению, было достаточное количество источников данных и полное покрытие и системы работали качественно.
Сергей Вишняков, директор института информационных и вычислительных технологий НИУ «МЭИ»:
– В институте много разных направлений, но главными и базовыми являются направления, связанные с электро-, тепло-, ядерной энергетикой, энергомашиностроением. Также представлены в МЭИ направления по подготовке ИТ-специалистов и специалистов в области информационной безопасности.
В последние годы мы с сожалением наблюдаем тенденцию, когда наши абитуриенты ориентируются прежде всего на направления информационных технологий и информационной безопасности. Отмечаем снижение спроса среди выпускников школ на направления, связанные с инженерной подготовкой в энергетике.
Мы стараемся поддерживать высокие требования, высоко держать планку образовательного процесса. В связи с этим у нас есть определенные сложности. Отсев студентов на некоторых направлениях достигает 50%. Мы большое внимание уделяем качеству подготовки. И мы гордимся результатами, которые показывают наши выпускники. Они очень востребованы.
При этом рынок труда в области информационной безопасности и ИТ несколько перегрет. И мы видим, что наши выпускники ИТ-направлений, прежде всего, уходят работать в другие отрасли: в финтех, ИТ-разработку, но не в энергетику.
Базовые механизмы, которые позволяют реализовывать удовлетворение потребностей отраслевых организаций в выпускниках вузов: целевая подготовка, целевой набор или целевое обучение. Эти разные механизмы с разной законодательной базой призваны готовить специалистов под конкретные рабочие места.
Более 200 целевых студентов учится сейчас в МЭИ по энергетическим направлениям в интересах компаний ТЭКа. И по пальцам можно пересчитать студентов, которые учатся в интересах компаний ТЭКа на направлениях, связанных с ИТ и ИБ. То есть здесь есть еще огромное поле для расширения взаимодействия вуза и профильных компаний и организаций.
С учетом того что рынок труда перегрет, мы призываем работодателей раньше начинать профориентацию наших студентов, закреплять их на потенциальных рабочих местах. Здесь последние годы очень активно развивается такой механизм, как студенческое конструкторское бюро. Во многих вузах применяется этот механизм. Он унаследован еще с советских времен и сейчас претерпевает возрождение.
Мы открыли уже три студенческих конструкторских бюро. По некоторым из них есть выпуск студентов, которые начиная со 2‑го курса бакалавриата работали. И были интегрированы в технологический процесс компаний. Это не только энергетика, но и направления, связанные с ИТ и ИБ. Также мы развиваем все виды сотрудничества с компаниями в области безопасности в электро- и теплоэнергетике.
На базе МЭИ реализуются технологические инициативы. Открыт полигон совместно с нашими партнерами из ИТ и ИБ отраслей, где отрабатываются самые современные технологии, протоколы передачи данных, для организации цифровой подстанции в режиме реального времени с реальными угрозами, с учетом реальных режимов работы подстанций и оборудования.
У нас есть опыт взаимодействия в построении программ магистратуры – создание совместной магистерской программы по разработке ИТ-систем с компанией – разработчиком отечественной платформы ТурбоХ. И мы готовы развивать такое сотрудничество. Это хороший механизм, позволяющий готовить специалистов, плотно интегрированных в отрасль в определенных компаниях, в том числе энергетического сектора.
На рынке есть решения, которые могут заменить некоторые продукты в области информационной безопасности. Но нужно, чтобы компании были готовы к их внедрению, было достаточное количество источников данных и полное покрытие и системы работали качественно.
Еще один важный тренд – введение цифровых компетенций в программы высшего образования. Здесь мы работаем над внедрением цифровых компетенций во все образовательные программы. Перешли на собственно устанавливаемые образовательные стандарты. И во все стандарты по всем направлениям подготовки введены цифровые компетенции.
То есть мы откликаемся на требования времени и расширяем базисную подготовку.
Кроме того, в МЭИ реализуется проект «Цифровая кафедра». Мы реализуем две программы дополнительного профессионального образования, которые фактически охватывают всех выпускников технических специальностей нашего вуза. Обязательным элементом этих программ является модуль по информационной безопасности. Более того, мы готовим еще одну программу, уже специально в области ИБ, сейчас она в стадии согласования Федеральной службой по техническому и экспортному контролю.
Дальнейшие варианты развития – прежде всего в области создания новых программ и присвоения двух квалификаций (одна из которых в области энергетики и вторая – в области ИТ или ИБ). Мы готовы вести эту работу самостоятельно, в партнерстве с другими образовательными организациями, с компаниями реального сектора экономики, энергетики.
Могу упомянуть опыт реализации программ научных исследований и программ углубленной подготовки студентов «Эталон», когда студенты с 1‑го курса обучаются по определенной индивидуальной программе, участвуют в проектной деятельности. И здесь тоже есть большой потенциал для развития и подготовки кадров с акцентом на информационные технологии и информационную безопасность.
То есть предлагаем большой спектр сотрудничества с организациями и в области программ и интегрирования студентов на будущие рабочие места.
Галина Шевцова, директор Института информационных наук и технологий безопасности, заведующая кафедрой «Информационная безопасность» ФГБОУ ВО «Российский государственный гуманитарный университет»:
– Сейчас более 270 образовательных организаций разной ведомственной принадлежности реализуют или имеют право на реализацию образовательных программ в области информационной безопасности.
В том числе 130 высшего, 100 среднего специального и 40 дополнительного профессионального образования.
Вузы, которые находятся в ведении Минобрнауки, получают контрольные цифры приема по специальностям. Сейчас вузовская тематика жестче, чем бизнес. Помимо того что мы преподаем, мы должны развивать свои компетенции, должны взаимодействовать и получать отклик от работодателей. При этом вузы будут сокращаться. Мы сейчас видим, что те образовательные кластеры, которые сейчас запускаются, – это некая коллаборация. А кто‑то отпадет вообще и будет неконкурентен.
Если посмотреть на объемы контрольных цифр приема по специальностям и направлениям за счет ассигнований федерального бюджета на 2024/2025 учебный год, то можно заметить, что они снижаются по сравнению с 2023/2024. И выпуск 2029–2032 составит 75 503 / 73 260 человек. То есть специалистов, которых уже сейчас не хватает, будет на 2243 человека меньше.
Конечно, потом мы догоним этот показатель – будут двойные квалификации. Но это как переподготовка, 250 часов. Вопрос в том, будут ли такие специалисты действительно специалистами?
Сейчас мы реализуем стандарт 3++ (в области ИБ). Это магистратура, бакалавриат и специалитет, на который мы будем переходить с 2025 года. Останется также аспирантура, которая будет готовить кадры для научно-преподавательской деятельности. Но преподавателей тоже не хватает. И это тоже большая проблема.
В 2025 году мы должны уже набрать студентов по новому стандарту, по новым специальностям. С различными специализациями. А стандарт – закрытый формализованный документ, и все, что там будет прописано, мы в принципе не сможем менять.
Рынок гибок. Все время что‑то новое должно добавляться. И добавляться оно может только в вузовском компоненте. А он совершенно не гибок.
Для работы нового стандарта должно быть разработано огромное количество методических материалов. И если мы что‑то меняем, представляете, какой объем работы в связи с этим возникает.
К нам выходят с предложениями. И если 10 лет назад я обращалась в различные структуры с просьбой взять на стажировки, на практику наших студентов, то сейчас ситуация обратная. Ко мне приходит работодатель и говорит, что ему очень нужны кадры. На сегодня 4‑й курс бакалавриата у меня разобран весь. Они работают начиная со второго курса.
У меня несколько соглашений с коммерческими компаниями. Это выпускники прошлых лет, с помощью которых мы открыли проектный центр.
Мы начинали с Дней карьеры, Дней открытых дверей. Дальше мы поняли, что есть студенты, которые готовы участвовать в конкурсах, хакатонах. Стали отбирать их и обнаружили, что у нас высокий уровень подготовки. Мы стали проводить научные (конференции, выполнение НИР) и учебные (проведение лекций, практических семинаров с трудоустройством по совместительству) мероприятия.
Мы стали вставлять отдельно предметы под отдельных людей из бизнеса, которые у нас ведут занятия. Аналогично поступили с научными мероприятиями. Сейчас мы вышли на уровень научно-исследовательских работ, которые нам оплачивает бизнес. НИР мы делаем совместно со студентами (их работа оплачивается дешевле, и для бизнеса это привлекательный момент). Запустили центр, который полностью оплачен компанией, где проводятся исследования преподавателями, аспирантами и студентами.
Мы вовлекли абсолютно весь коллектив, выявляем актуальные темы, которые нам заявляют представители бизнеса. И организовали стартап-клуб, который эти темы коммерциализирует. Вышли на патентование разработок.
Для участия в хакатонах, конкурсах на темы ИТ/ИБ, которые проводятся на площадке института, уже не хватает моих студентов (у меня выпуск около 100 человек в год). Поэтому мы сделали его общероссийским, привлекаем ребят из других вузов, и они со второго курса начинают работать в проектном центре. Так мы выпускаем специалистов с опытом работы, полностью подготовленных, причем под заказчика. А это очень важно, чтобы это взаимодействие было очень плотным.
Дмитрий Правиков, заведующий кафедрой безопасности критически важных объектов РГУ нефти и газа им. И.М. Губкина:
– С одной стороны, представители отрасли говорят, что им нужен «универсальный солдат» в области ИБ. С другой – представители вендоров считают, что нужна специализация. С моей точки зрения, ситуация – как поется в песне, «ты и я, мы оба правы». Потому что в данном случае это две траектории карьерного развития, на которые должны смотреть вузы.
Конечно, для предприятий топливно-энергетического комплекса, у которых информационная безопасность не является профильным бизнесом, действительно нужен «универсальный солдат». И в первую очередь – обеспечить защиту в соответствии с требованиями регулятора и теми актуальными вызовами, которые подкидывает жизнь. Вместе с тем, определенные функции ИБ, как правило, в крупных компаниях вынесены во внутренние интеграторы.
Но если мы говорим о подготовке специалистов, давайте решим, на кого, на чьи запросы мы ориентируемся в первую очередь. А они разделяются 50х50: те, кто выступает за универсальные, и те, кто за узкие компетенции.
У нас в университете за ИБ отвечает несколько кафедр. Поэтому есть возможность разделить эти функции и предполагаемую карьерную траекторию между ними. На одних учатся студенты, которые будут защищать предприятия в целом. А на других – ребята, которые пойдут в специализированные компании, где нужны специальные знания и навыки.