Что происходит со сферой информационной безопасности в России
Нехватка квалифицированных кадров. По данным Минцифры, дефицит кадров в IT-отрасли в России составляет 500–700 тыс. человек. При этом сфера информационной безопасности, по разным оценкам, испытывает нехватку максимум в 100 тыс. человек, а конкуренция за кадры быстро растет.
С другой стороны, по словам руководителя Центра информационной безопасности Университета Иннополис Сергея Петренко, не все специалисты, выпускающиеся сегодня из вузов, имеют тот уровень квалификации, который нужен компаниям.
Отток специалистов. С 2022 года в России наблюдается миграция IT-специалистов. При этом, подчеркивает Сергей Петренко, почти каждый пятый IT-специалист, уехавший из России с начала 2023 года, вернулся в страну.
Новые технологии и импортозамещение. С 2020 года в России реализуется государственная программа «Информационное общество». Она нацелена на защиту от информационных угроз, обеспечение качественными и доступными услугами связи и доступа к информационно-телекоммуникационной сети.
Кроме того, согласно указу президента, российские банки должны отказаться от иностранного программного обеспечения и перейти на российский системный софт до 2025 года. При этом, по словам Сергея Петренко, сейчас банки используют 95% западного софта, и 65% — такого же «железа».
Какие специалисты нужны индустрии
Как отмечает Сергей Петренко, сегодня особенно востребованы DevSecOps инженеры — лидеры-разработчики, которые отвечают за развертывание программного обеспечения, координируют программистов, сисадминов и специалистов по компьютерной безопасности.
«Сегодня большинство отечественных компаний перешли к внутреннему развитию ИТ-систем. Поэтому стало важным повысить качество, безопасность и скорость разработки ПО за счет формирования внутренних команд разработки и построения собственного производственного ИТ-процесса. Такие команды включают от 500 до 30 тысяч штатных и внешних специалистов; каждая из них использует свой набор методов для автоматизации развертывания приложений в различных средах. Сегодня, для перехода к практикам DevSecOps, в эти команды нужно включить специалистов по архитектуре и разработке ПО, технологов, тестировщиков и DevSecOps-инженеров», — рассказал Сергей Петренко.
DevSecOps инженеры определяют требования по безопасности ПО и контролируют их соблюдение, управляют уязвимостью программных систем, разрабатывают шаблоны безопасной архитектуры приложений, внедряют стандарты безопасного программирования и лучшие практики разработки безопасного ПО и решают другие задачи. Для этого специалисты должны уметь проводить статический анализ кода, все виды динамического анализа, анализ бинарного кода, работать с сервисом защиты веб-приложений WAF (Web Application Firewall) и другое.
Как готовить новых специалистов
Знаниям и навыкам DevSecOps инженера сегодня обучают на онлайн-курсах, которых, по мнению Сергея Петренко, недостаточно для подготовки высококвалифицированных кадров. Для этого нужны новые образовательные программы в вузах.
«Начиная со 2–3 курса желательно выстраивать индивидуальную траекторию обучения с помощью целевых кафедр из ведущих секторов цифровой экономики РФ и прохождения практики на предприятиях. Важно, чтобы студенты участвовали в грантах и реальных проектах на предприятиях цифровой экономики России по приоритетным направлениям развития. Среди них — инженерное ПО, системы управления, системы планирования ресурсов предприятия и другие», — рассказал Сергей Петренко.
Также для качественной подготовки специалистов эксперт предлагает менять модель подбора и удержания ИБ-специалистов в компаниях. Для этого следует подбирать команды под задачи заказчика через обучение стажеров, переобучать джунов и адаптировать мидлов под новые стеки и технологии, создавать индивидуальные образовательные программы под задачи компаний-заказчиков, а также повышать узнаваемость и ценность HR-брендов компаний.
Подробнее о том, какие специалисты нужны отрасли в современных реалиях, Сергей Петренко рассказал на конференции «Безопасность информационных технологий Санкт-Петербург 2023», состоявшейся в ИТМО 5 и 6 октября. Организаторы конференции — межрегиональная общественная организация «Ассоциация руководителей служб информационной безопасности» и ИТМО. На мероприятии обсудили тренды цифровизации, квантовые технологии и технологии машинного обучения и искусственного интеллекта, киберпреступность и другие актуальные проблемы информационной безопасности. В один из дней прошла научная секция «Безопасность сложных технических систем со встроенным искусственным интеллектом». Среди спикеров конференции — сотрудники ИТМО и IT-компаний в сфере информационной безопасности: «Лаборатория Касперского», «Киберпротект», «СерчИнформ» и других.