24/04/2020

Одной из самых обсуждаемых тем в сфере информационной безопасности в течение последних двух лет является острая нехватка квалифицированных специалистов. Данная проблема актуальна как для государственных структур, так и для коммерческих организаций.

 

О ДЕФИЦИТЕ СПЕЦИАЛИСТОВ

В связи с расширением области применения цифровых технологий возрастает интенсивность разработки и внедрения новых приложений и услуг, а также расширяется поддерживающая инфраструктура. Соответственно растет численность подразделений информационных технологий (ИТ) и параллельно потребность в специалистах в сфере информационной безопасности (ИБ).

Кроме того, последние несколько лет происходит активное освоение преступностью открывшихся возможностей, связанных с использованием цифровых технологий. Растет уровень организованности и квалификации киберпреступников, совершенствуются применяемые ими инструменты. С точки зрения киберугроз, среда, в которой функционируют автоматизированные системы, становится гораздо агрессивнее. Одновременно растет объем защищаемой информации. Дистанционные банковские сервисы, заказ гостиниц и билетов через интернет, агрегаторы такси, сбор и коммерческое использование информации о посещаемых сайтах и поисковых запросах, возможность распознавания лиц на основе записей камер наблюдения, электронный документооборот и т.д. – все это порождает огромные объемы персональных данных и другой чувствительной информации, нуждающейся в защите. Риски, связанные с кибератаками, вошли в пятёрку глобальных рисков рейтинга Всемирного экономического форума в 2019 году. Многие эксперты считают киберугрозы даже более опасными, чем терроризм и глобальные экологические проблемы. Данные процессы естественным образом приводят к ужесточению требований регуляторов и росту объема отчетности. Как следствие, растут затраты времени на обеспечение не только реальной, но связанной с ней «бумажной» безопасности.

Если бы все ограничивалось указанными количественными факторами, то у нас уже был бы дефицит специалистов ИБ, как минимум такой же, как наблюдается в сфере ИТ.

Но, на самом деле, все гораздо сложнее, так как одновременно с количественным расширением отрасли, в настоящее время, происходит качественный переход, связанный с изменением места и роли ИБ в современном (в т.ч. банковском) бизнесе. Применяемые меры обеспечения ИБ уже не могут быть ограничены выполнением контрольных функций и администрированием средств защиты. Рост электронной коммерции, переход к дистанционному предоставлению финансовых и государственных услуг, высочайшая степень автоматизации приводят к 100% зависимости  бизнес-процессов от достоверности информации, содержащейся в автоматизированных системах, и возможности ее обработки. Характер угроз ИБ, в современных условиях, напрямую зависит от решений бизнес-подразделений по внедрению тех или иных бизнес-процессов.В частности, в кредитно-финансовой организации практически любое изменение бизнес-процессов связанно с изменением работы автоматизированных систем, и, следовательно, требует анализа со стороны ИБ. Специалисты ИБ должны участвовать в создании/изменении каждого сервиса/услуги от бизнес-идеи до ее реализации, контролировать безопасность каждого обновления.

При этом на конкурентоспособность компании влияет не только недооценка угроз, но и избыточные ограничения. В этих условиях простое следование стандартам безопасности уже не позволяет обеспечить адекватность решений – необходимо уметь оценивать и принимать риски.

Данные процессы отражаются также в нормативном регулировании сферы ИБ. Выполнение требований новых законодательных инициатив в области защиты персональных данных, безопасности критической информационной инфраструктуры, учету рисков ИБ при определении достаточности капитала Банков подразумевает, что обеспечение ИБ – это задача всей организации, а не только подразделения ИБ. 

Реализация такого подхода к обеспечению ИБ порождает потребность в новых категориях специалистов, которые пока не предусмотрены профессиональными  стандартами. Имеющиеся профессиональные стандарты в области ИБ не покрывают всех потребностей практики.  В отличие от сферы ИТ, где имеется широкий спектр образовательных стандартов для самых разнообразных видов работ, в сфере ИБ их явно недостаточно.

 

ПОСТРОЕНИЕ ОБРАЗОВАТЕЛЬНОГО ПРОЦЕССА

Чтобы эффективно решать проблему дефицита специалистов в области защиты информации, необходимо представлять, какие виды работ выполняют сотрудники подразделения ИБ. Перечислим основные из них:

  • внедрение средств защиты, их настройка и поддержка;
  • выполнение функций операторов программно-аппаратных комплексов, работа  с персоналом, информирование и обучение;
  • контроль соблюдения требований ИБ, выявление внутренних нарушителей;
  • обеспечение соответствия требованиям регуляторов, подготовка нормативно-методических документов;
  • согласование в части ИБ внутренних нормативных документов, подготовленных другими подразделениями; организация и совершенствование системы управления ИБ;
  • поиск уязвимостей, тестирование на проникновение, анализ кода разрабатываемых приложений на безопасность; 
  • обработка инцидентов, противодействие кибератакам;
  • оценка состояния ИБ, выявление угроз и анализ рисков, взаимодействие с бизнес-подразделениями. 

Для каждого из перечисленных видов работ требуется наличие специфических знаний и опыта, а также разных личных качеств. Поэтому обеспечить безопасность организации может только команда профессионалов. Для подготовки таких специалистов нужны разные стандарты и разные формы образования, предполагающие подготовку специалистов как в области компьютерных наук, телекоммуникаций, технической защиты, нормативного регулирования, так и тех, кто способен проводить аналитическое исследование бизнес-процессов и связанных с ними информационных потоков с точки зрения ИБ.

При этом требовать от 17-летнего выпускника школы, чтобы он раз и на всегда решил, чем будет заниматься, было бы наивно. Поэтому необходимо не только иметь комплекс профессиональных стандартов, перекрывающий все возможные потребности в специалистах, но и обеспечить для специальностей, входящих в укрупненную группу направлений и специальностей в области ИБ в рамках их образовательных стандартов, специализацию по отдельным видам выполняемых работ и общих трудовых функций, входящих в профессиональные стандарты, с учетом общего направления базовой подготовки учащихся. Студент старших курсов должен иметь возможность выбрать ту специализацию, которая ему интересна, и в которой он сможет максимально реализоваться. То есть, должна быть возможность выбора дисциплин или блоков дисциплин в рамках специальности. Тем более, что на практике, в основном, нужны не «универсальные безопасники», а специалисты максимально компетентные в своей узкой области.

Подход, основанный на универсальной базовой подготовке и возможности выбора дополнительных дисциплин, позволит также не пытаться определить на много лет вперед точное число специалистов по каждому узкому направлению. На последней стадии подготовки появится возможность подстройки под имеющийся спрос. Кроме того, должна быть возможность получить еще одну специализацию уже после окончания обучения, пройдя обучение по соответствующему набору дисциплин.

Следует также учитывать, что подготовка и утверждение стандарта образования, базирующегося на определенных профессиональных стандартах,  – это длительный процесс, а срок обучения специалиста (магистра) – это еще 5 (6) лет. Поэтому, даже если сделать фантастическое предположение о том, что кто-то напишет идеальный профессиональный стандарт, с учетом которого будут созданы новые или уточнены имеющиеся образовательные стандарты, в такой быстро меняющейся области, как обеспечение ИБ, к моменту выпуска специалистов по этому стандарту он уже устареет.  Следовательно, нет другого выхода как, доверять ВУЗам и преподавателям определять содержание профильных учебных курсов непосредственно перед их включением в расписание или даже в процессе чтения. При этом важно научить специалиста думать, привить исследовательские навыки, а не просто записать в программу набор знаний, которые вскоре устареют.

Здесь будет уместным привести мнение судьи Конституционного суда Константина Арановского о том, что одна из главных проблем российского высшего образования — подконтрольность вузов административному началу, когда «академическая свобода» университетов уступается в угоду обслуживания «системы, которая выдает разрешения на профессию». Ключевым условием работы вуза является автономность учреждения, отметил Арановский, и без нее нельзя рассчитывать на высокий уровень образования и качество дипломов. Сейчас же в учебной работе «ценят не преподавание и не учебу, а учебно-методические комплексы», которые в первую очередь нужны не для образовательного процесса, а для служб, «чтобы те хорошо себя чувствовали и оставались при важном деле на выгодных позициях».

Подробнее на РБК.

При построении системы образования в сфере ИБ нужно также учитывать, что квалифицированные специалисты такого профиля необходимы не только для обеспечения конкурентоспособности и безопасности компаний. Информационная безопасность – важнейшая составляющая обеспечения безопасности государства.

В тоже время сложившаяся ситуация высокого спроса на специалистов ИБ со стороны коммерческих компаний приводит к оттоку специалистов из учебных заведений и, как следствие, к еще большему дефициту квалифицированных специалистов. Поэтому необходимы программы поддержки базовых вузов, осуществляющих подготовку по данному направлению, создание условий для работы профессорско-преподавательского состава. Нормативная учебная нагрузка на преподавателей должна позволять им развиваться,не отставая от технологий и передовых идей, вести активную научную работу.

 

ЭФФЕКТИВНОЕ ИСПОЛЬЗОВАНИЕ КАДРОВЫХ РЕСУРСОВ

Совершенствование подготовки специалистов по ИБ – важная и очевидная задача. Но решать проблему дефицита кадров можно не только механически реагируя на происходящее: выросла потребность – расширяем подготовку. Необходимо также создавать условия для максимально эффективного использования имеющихся кадровых ресурсов.

Очевидно, что мы не можем повлиять на возрастание роли цифровых технологий и значения ИБ, но вполне можем работать по следующим направлениям:

  • совершенствование и унификация нормативного регулирования (нормативное регулирование не должно представлять из себя лабиринт, зачастую невыполнимых требований; стандарты и требования должны быть инструментом который упрощает работу специалистов ИБ).
  • Международное сотрудничество в области противодействия киберпреступности и эффективное расследование киберпреступлений (создание безопасной среды для всех – экономически более эффективно, чем «рытье окопов и колючая проволока вокруг каждого здания»).
  • Развитие защищенных облачных платформ и снятие нормативных ограничений на их использование (для защиты облачной платформы нужно гораздо меньше ресурсов, чем в сумме для построения защищенных систем в каждой отдельной организации).
  • Разработка и внедрение эффективных средств защиты (в том числе, для надежной идентификации и аутентификации, средств автоматизации и других инструментов, повышающих производительность труда специалиста по ИБ).

Таким образом, решение проблемы дефицита кадров не заканчивается разработкой новых образовательных стандартов – необходима работа по всем направлениям: совершенствование образовательного процесса, привлечение квалифицированных кадров к преподавательской работе, создание условий для переподготовки кадров, выстраивание эффективной системы безопасности.