Привет, Хабр! Одна цифра вместо тысячи слов: специалистов по информационной безопасности в 4 раза меньше, чем требуется отрасли.

Меня зовут Дмитрий Васильев, я директор департамента информационной безопасности Softline. В этой статье я расскажу, какова сейчас ситуация на кадровом рынке ИБ и каких специалистов так долго и тщательно ищут компании.

История из рабочих будней: как мы “захватили” банк

Однажды мы занимались поиском уязвимостей в крупном банке. Стоит сказать, что работа пентестера (специалиста по поиску и эксплуатации уязвимостей) во многом состоит из удачных догадок на базе опыта и экспертизы и проверок разных теорий. В этот раз коллеги составили из открытых источников список учётных записей пользователей, с помощью атаки ASP‑REP вытащили восемь хэшей паролей. Пароли поставили на перебор и таким образом получили доступ к двум учётным записям, одна из которых была привилегированной.

Параллельно начали проверять подключение по сети и обнаружили на одном из компьютеров WEB‑сервер с заводскими учетными данными на административной панели. Антивируса установлено не было. Это, плюс привилегированная учётная запись с расширенными правами, позволило установить скрипт Web Shell и получить доступ на сервер. Далее завели машину на С2-сервер и смогли передвигаться по сети, минуя файрволл. При боковом движении нашли данные ещё одного привилегированного пользователя. Через него захватили контроллер домена, по сути, получив доступ ко всем ресурсам компании. На весь захват ушло около 3 часов.

Конечно, не вся работа специалистов ИБ выглядит как сплошное романтическое (и немного опасное) приключение «на грани», но этого у нас очень много.

Сейчас специалисты по информационной безопасности нужны всем

Причина очевидна: если информационные системы подвергаются атакам, ни компания, ни государственное учреждение не может выполнять свои задачи.

Одним из самых мощных драйверов для сферы ИБ в нашей стране стало принятие в 2017 году федерального закона № 187 «О безопасности критической информационной инфраструктуры» и дальнейшее развитие нормативной базы по этой тематике. Сформировавшийся курс на импортозамещение в ИБ также во многом обусловлен необходимостью обеспечения безопасности критической информационной инфраструктуры и технологической независимости, о чем явно говорится в Указе Президента № 166.

Другой важный и заметный тренд в законодательстве в области ИБ — усиление контроля государства в вопросах обработки и защиты персональных данных, о чём свидетельствует внесение изменений в закон «О персональных данных»: необходимость информирования ФСБ и Роскомнадзора об инцидентах ИБ и связанных с ними утечках ПДН, а также активное обсуждение планов по введению больших оборотных штрафов для операторов за сокрытие фактов утечек персональных данных.

1 мая 2022 года был издан Указ Президента РФ № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации». По некоторым оценкам, он затрагивает до 95% всех предприятий, в том числе тех, кто работает в области здравоохранения, связи, транспорта, энергетики и т. д. Всем этим предприятиям необходимо к 2025 году создать отдел ИБ, назначить заместителя генерального директора по ИБ и поднять безопасность объектов критической информационной инфраструктуры на установленный уровень.

За последние 10 лет в России выросли серьезные игроки в области ИБ, было создано немало качественных разработок. К началу этого года порядка 77% всех решений по ИБ в стране были российскими. Но мало кто ожидал, что после событий февраля оставшиеся 23% могут внезапно «превратиться в тыкву»: железо перестало работать, лицензии были отозваны.

При этом актуальность ИБ только возросла: нагрузка на ресурсы, расположенные на территории РФ, усилилась. Достаточно вспомнить, как в июне чуть ли не каждый день атаковали «Госуслуги».

Вся отрасль столкнулась с проблемой: быстро заместить отечественные решения, причём аналоги должны быть надёжными и производительными, чтобы выдерживать нагрузки. И мало просто создать конкретные продукты — их нужно увязать в инфраструктуру, интегрировать с уже работающими сервисами, да ещё и, по возможности, незаметно для пользователей, без остановки работы.

То есть можно сказать, что востребованность специалистов в ИБ определяется двумя факторами: с одной стороны, они нужны, чтобы компания соответствовала законодательным требованиям в области ИБ; с другой — практические шаги по защите сервиса или инфраструктуры заказчика, противодействие атакам, поиск угроз — вот вещи необходимые здесь и сейчас. По прогнозам Б1 (ex. Ernst & Young) рынок услуг и решений в области ИБ будет одним из самых динамичных в российском ИТ. К 2026 году ожидается общий рост на 11%, а рынок услуг в области информационной безопасности вырастет на 14%.

В Softline мы работаем со всеми отраслями — государственные организации, телеком, финансы, страховые, тяжелая промышленность, энергетика, газ/нефть, средний бизнес — и видим всю картину целиком.

Информационная безопасность как отрасль многогранна и насчитывает 5 ключевых доменов, в рамках которых задачи весьма разнообразны.

Если говорить в общем, то специалисты по ИБ оценивают общую ситуацию в компании — активы и связанные с ними риски, процессы, персонал и многое другое. Дальше разрабатывается комплексное решение, Или рассматриваются сервисы, которые предлагает компания-интегратор. Решение внедряется и поддерживается на постоянной основе, модернизируется.

Соответственно, квалифицированные специалисты нужны на всех этапах. У нас как у системного интегратора это…

• Аудит. Огромный блок работы связан с проверкой всех систем заказчика на соответствие требованиям.

• Консалтинг. Мы разрабатываем комплексные меры безопасности, оцениваем ситуацию на стороне заказчика. Здесь требуются подкованные ребята с широким кругозором, которые понимают в ИБ и смотрят на перспективу.

• Разработка. Учитывая ситуацию, сейчас особенно востребованы инженеры, которые могут работать на отечественных решениях. Разумеется, мы сами переобучаем наших специалистов, но часто в проекте времени очень мало, нужны люди, которые готовы прийти и начать делать.

Буду капитаном Очевидностью и скажу, что для успешной работы в ИБ нужно две вещи: это профильное образование и практический опыт. В безопасность сложно переходить из других отраслей, недостаточно пройти курс на 500 часов, потому что он даст конкретные навыки, но не общее понимание действий. А у нас очень много задач, где нужно не просто писать код, а видеть общую картину, знать, что произойдёт, если сделать так, а не иначе. В то же время, одной теории недостаточно для успешной работы — необходимо владеть инструментами, иметь реальный опыт.

Если говорить о конкретных специальностях, то в ИБ их достаточно много. Приведу несколько описаний самых востребованных вакансий.

СПЕЦИАЛИСТ В SOC (Security Operations Center, Центр информационной безопасности).

Что делать: проводить мониторинг, выявлять и предотвращать угрозы, противодействовать атакам на системы заказчиков.

Что нужно знать: необходимо понимать, как происходят атаки и как с ними справиться.

Стек технологий: кругозор по продуктовой линейке СЗИ, понимание функциональных возможностей каждой из них, знание наиболее распространенных тактик и техник хакеров. Специалист должен из миллионов событий, поступающих в SOC, сфокусировать свое внимание на наиболее уязвимых местах инфраструктуры заказчика и направить существующие инструменты SOC на предотвращение именно этих векторов атак.

 ----------------------------------

ПЕНТЕСТЕР

Что делать: искать и эксплуатировать уязвимости заказчиков.

Что нужно знать: понимать, как происходят атаки. Творческая позиция, которая требует огромного технического бекграунда. Требуется провести сбор информации об объекте, поиск точек входа, получить доступ к системе, при необходимости оставить бэкдоры. Для этого мы пытаемся, находясь за пределами компании, изучить о ней всё, что возможно. Это романтическая профессия, белое хакерство — работа похожа на то, что нам показывают в фильмах.

И это всегда исследование, причём новое и оригинальное. Потому что не бывает такого, чтобы информация совпадала с предыдущим заказчиком один к одному.

Стек технологий: пентест, Red Teaming, анализ защищенности.

  ----------------------------------

АНАЛИТИК СЕРВИСА ETHIC

Что делать: OSINT, изучение Dark NET.

Что нужно знать: у нас в Softline есть сервис Ethic, в рамках которого мы ищем недостатки в информационной безопасности у заказчика. Ребята проводят сбор и анализ информации из публичных общедоступных источников, подключаются к Даркнету, смотрят, какая всплывает информация о заказчике: это бывают учётные записи, иногда целые базы данных, выложенные на закрытых хакерских форумах. Далее специалисты анализируют полученные данные и выдают в виде заключения или образцов баз данных заказчику.

Стек технологий: OSINT, оперативная разработка.

----------------------------------

 АНАЛИТИК

Что делать: анализировать инциденты, которые произошли на стороне клиента. Основная задача — автоматизировать механизмы отражение атак и не допустить их повторения в будущем. Эту работу можно сравнить с компьютерной стратегией: есть объект, который нужно защитить, есть ресурсы, и нужно придумать, как из этих экономических или боевых единиц выстроить защиту от самых разных угроз. Так же и здесь, управляя различными элементами информационной безопасности, специалист придумывает логику, по которой они будут отрабатывать ту или иную атаку.

Что нужно знать: требуется не просто умение работать с конкретными продуктами, а понимать общую логику хакеров.

 ----------------------------------

СПЕЦИАЛИСТ ПО КОНСАЛТИНГУ

Что делать: понимать боли и проблемы клиентов и помогать их решить. Иногда заказчики приходят с конкретными запросами: нам нужен фаерволл. Но чаще всего нужно «просто» обезопасить ИТ-инфраструктуру и данные. И здесь подключается консалтер — он должен разобраться, что действительно важно для Бизнеса, какие есть риски и как их уменьшить. Понять и оценить проблематику – половина дела, нужно помочь заказчику построить процессы ИБ, работающие на практике.

Что нужно знать: достаточно понять, что мы защищаем, от чего защищаем и как защищаем. Ответ на вопрос «что» дает понимание взаимосвязей бизнеса и ИТ, применяемых ИТ-технологий. Знание ключевых угроз и векторов атак отвечает на вопрос «от чего». Понять «как защищаем» помогают различные стандарты и фреймворки, а также знания технологий и принципов работы средств защиты. И дело не только в «технике»: слышать собеседника и структурированно излагать идеи – залог успеха.

Стек технологий: общепринятые стандарты и фреймворки ИБ.

  ----------------------------------

СЕЙЛЗ-МЕНЕДЖЕР (менеджер по продажам)

Что делать: продавать решения клиентам.

Что нужно знать: технологии, решения и способы их внедрения. Раньше, как и многие на рынке, мы набирали в сейлз ребят со стороны, тех, кто просто хорошо говорит. Но со временем компетенции заказчиков начали вырастать, и сейчас в продажи мы берём грамотных технических специалистов. Техническая составляющая — одна из необходимых базовых компетенций такого специалиста, но не единственная. Помимо глубоких технических знаний необходимы навыки коммуникации. При взаимодействии с клиентами недостаточно только глубоко вникнуть в проблематику, нужно развернуто проговорить выигрыши и результаты от внедрения того или иного решения при решении задачи. С техническим специалистом на языке техники, с бизнесом — на языке бизнес-показателей. Специалист должен стремиться осваивать инструменты продвижения решений и методологии продаж, уметь показывать ценность продвигаемых решений, работать с возражениями, всегда быть в курсе появления новых возможностей и решений в индустрии информационной безопасности. Тем самым технический специалист в значительной степени корректирует свой карьерный трек и вектор своего профессионального развития.

Стек технологий: информационные технологии, решения по информационной безопасности, методологии продаж, переговорные навыки, публичные выступления, маркетинг.

Карьерная пирамида в ИБ

Поскольку ИБ — это очень широкое и разветвлённое направление, говорить о карьерной лестнице здесь сложно. Скорее уж пирамида.

Стартовый уровень — джуниор-менеджеры. В большинстве направлений ИБ джуны выступают в роли таких подмастерьев — они работают с наставниками, выполняют несложные задачи и постепенно набирают опыт.

Дальше по каждому направлению в крупных компаниях существуют формализованные и понятные грейды: какими навыками нужно обладать, чтобы перейти на следующую ступень. То есть перед человеком стоит чёткая картинка того, как он может расти вверх. Какие требования будут к нему предъявляться, какие ему нужны знания, какой уровень ответственности.

Помимо вертикального роста распространено горизонтальное перемещение. Зачастую, приходя в компанию, подобную нашей, на одну должность, человек изучает смежные темы, взаимодействует с коллегами и находит для себя более интересный или новый проект, переходит в соседнюю команду.

В перспективе информационная безопасность станет ещё более важной и востребованной сферой.

Сейчас в ИБ мы сталкиваемся с жёстким дефицитом кадров. Хорошая новость для рынка — в вузах открываются новые факультеты информационной безопасности, то есть со временем специалистов станет больше.  Но до этого ещё как минимум 5-6 лет, а к тому моменту, вероятно, число информационных систем только возрастёт.

Уже сейчас очевиден тренд на автоматизацию — поскольку специалистов мало, повторяющиеся и рутинные задачи стараются передать ИИ. Поэтому, разумеется, те, кто занимается автоматизацией решений, широко востребованы во множестве компаний, как в ИТ-сфере, так и в смежных.

Нельзя не отметить, что, вероятно, со временем борьба за кадры приведёт к тому, что мелкие компании не смогут позволить себе специалистов по ИБ, потому что более крупные будут их перекупать. Среди лидеров и по зарплатам, и по интересным проектам, безусловно, банки, телеком и крупные интеграторы. Это будет значительный «толчок» для развития сервисов по подписке.

Крупные компании, такие как Softline, уже сейчас развивают всё больше интересных и значимых проектов для государственных и коммерческих заказчиков. И чтобы выполнять их на высоком уровне, постоянно расширяют и укрепляют команду. У нас в ИБ сейчас более 20 направлений, и всегда есть вакансии — выбираем лучших :)