ENGО какой высокотехнологичной сфере ни зайдет речь, руководители подразделений и главы компаний тут же начнут жаловаться на кадровый голод. Когда же начинается разговор о кибербезопасности, жалобы дополняются цветистыми эпитетами и угрюмым выражением лица.
Голодные игры
«Еще в момент создания НСПК мы осознали, что банковские специалисты по пластиковым картам и специалисты, необходимые платежной системе — это, если копнуть, абсолютно разные компетенции. И когда речь заходит о безопасности, разрыв многократно увеличивается», — сетует генеральный директор «Национальной системы платежных карт» Владимир Комлев.
Соответственно, разработчики столкнулись с жесточайшим дефицитом кадров.
«Например, для нас очень важен такой достаточно узкий сегмент безопасности, как системы фрод-мониторинга. И когда мы выстраивали свою систему, то поняли, что заполнившие рынок готовые решения, даже успешно работающие на стороне банка, нам не подходят принципиально, — жалуется глава компании. — Нужна собственная разработка».
По его словам, похожая печальная картина наблюдается и у коллег из других платежных систем, в том числе и транснациональных.
«Платежная система — это всегда штучный товар, и чем она уникальней, тем сильней кадровые проблемы», — резюмирует Владимир Комлев.
Заместитель начальника Главного управления безопасности и защиты информации Банка России Артем Сычев развивает тему:
«Кадровый вопрос в сфере кибербезопасности крайне болезнен. До последнего времени практиковался подход по привлечению лиц, ранее занимавшихся госбезопасностью, либо криптографов. Но сложность использующихся банками технологий по информационной безопасности возросла настолько, что нужен совершенно другой уровень подготовки».
То есть, продолжает Артем Сычев, нужны технологи, которые не просто понимают, как работает та или иная система, а готовы ее усовершенствовать с точки зрения безопасности. И таких специалистов сейчас на рынке труда практически нет.
Второй момент связан с цифровыми доказательствами действий злоумышленников. Для того, чтобы найти таковые и правильно оформить, также нужны соответствующие специалисты — форензики. И их тоже практически единицы.
«Третий ракурс — мало эти доказательства собрать, их надо представить правоохранительным органам и впоследствии — в суд, — считает эксперт. — Такая работа требует совмещения профессий безопасника и юриста. А подобной специальности пока нет в принципе».
Остаться в живых
Из-за критического кадрового голода корпорации вынуждены делать то, что крайне не любят: платить за обучение специалистов из собственного кармана.
«В июле прошлого года мы подписали соглашение с 6 ведущими вузами страны, организовали чтение лекций нашими лучшими специалистами, а ряду вузов помогаем в создании технического обеспечения образовательных программ, — повествует заместитель председателя правления Сбербанка России Станислав Кузнецов. — Кроме того, мы участвуем в соревнованиях специалистов по всему миру, а в ноябре этого года проведем уже собственные соревнования. И участие на данный момент подтвердили более 300 профильных компаний, точнее — команд, со всего мира».
Кроме того, Сбербанк не жалеет денег на мероприятия по укреплению внутрикорпоративной киберкультуры. Например, в месяц проводятся два-три учения, когда сама служба кибербезопасности рассылает условную «закладку», и далее отслеживается: кто из сотрудников соблюдает инструкции, а кто закладку открывает.
Кроме «вбивания в головы» пошаговых подробных инструкций, применяются различные «наглядные» приемы. Например, можно перед аудиторией посадить условных хакера и жертву.
«За минуту хакер взломал защиту жертвы и добыл заданную информацию. И зал из 800 человек понял, насколько реальны риски взлома», — рассказывает Станислав Кузнецов.
Заместитель президента Банка ВТБ Ольга Дергунова со своей стороны отмечает:
«Высококалиброванные специалисты — это всегда существенная кадровая проблема, их всегда требуется больше, чем может предоставить рынок труда. Когда будем расширяться, предложу читать руководителям направлений внутренние спецкурсы и буквально формировать претендентов под свои задачи».
Безусловно, не все упирается в деньги. Так, часть ритуальной бюрократической волокиты взял на себя ЦБ. Здесь уже прописали квалификационные требования к специалистам по безопасности, а сейчас готовится образовательный стандарт для этой профессии.
С одной стороны, работодателю станет понятней, кого набирать и какие квалификационные требования выставлять. А с другой — станет внятней заказ вузам, каких специалистов готовить.
«Но, в любом случае, проблема с кадрами не разрешится, пока не будет произведено достаточное инвестирование — в вузы и подготовку кадров, — констатирует Артем Сычев. — К сожалению, кроме Сбербанка на межбанковском рынке это мало кто понимает».
Форсаж
Как отмечает соучредитель АО «Лаборатория Касперского» Наталья Касперская, в обсуждаемой сфере бытует мнение, что Сбербанк самыми высокими зарплатами в сегменте вербует лучшие кадры и остальные игроки остаются «на безрыбье». Но, на самом деле, пример банка-локомотива показывает, что много специалистов в будущем и не потребуется.
«Число сотрудников подразделения по кибербезопасности Сбербанка если и будет расти, то незначительно, — признает Станислав Кузнецов. — У нас есть четкое понимание, как развиваться и добиваться обеспечения полной защиты наших ресурсов. И мы работаем по определенному плану, представляя, что должны сделать в этом году, что в следующем, а что — через год».
Так, в этом году Сбербанк по большинству позиций закончит строить операционный центр киберзащиты, который в автоматизированном режиме возьмет на себя анализ миллионов событий различного толка, как-либо сопряженных с рисками. Центр будет систематизировать данные по событиям, чтобы впоследствии управлять ресурсами для сокращения рисков. Также завершается работа над центром фрод-мониторинга, который обеспечивает защиту не только банковских ресурсов, но и клиентов. Вскоре этот центр перейдет в автономный режим самообучения.
Кроме того, банк защищает свою инфраструктуру на различных уровнях как в автоматизированном, так и живом режиме.
«Соответственно, увеличение возможно только на штат круглосуточных дежурных смен, — подчеркивает зампредправления и добавляет, — где речь идет о собственной инфраструктуре, мы никогда не будем привлекать внешних специалистов. Мы обязаны защищать собственное ядро. Там, где мы занимаемся анализом фрода, участвуем в проверках, расследованиях и экспертизах, привлечение других компаний и экспертов не исключается».
И, судя по интонации представителя банка, число «наемников» тоже невелико. То есть на поверку «человекоемкость» данного рынка труда не столь уж и велика.
Обитель зла
Между тем, зная инертность российских вузов, да и образовательных структур в целом, нетрудно предположить следующее. Если конвейер по производству кибербезопасников заработает, то в перспективе остановится после нажатия кнопки «СТОП» далеко не сразу. И страну ждет перепроизводство специалистов, как это случилось с юристами в 90-е. Но избыточное число юристов либо безопасно для остальных граждан пополнило ряды продавцов Макдональдса, либо умерено опасно занялось игрой «коллекторы против антиколлекторов».
В нашем же случае появится армия хакеров, наученных работать с базами данных и денежными транзакциями, что страшнее. И те, кто успеет трудоустроиться, будут бороться с теми, кто останется за бортом. Никому скучать не придется — в том числе и обычным гражданам.
Автор: Игорь Чубаха
