Любой руководитель скажет, что информационная безопасность — это дорого. Однако дело не только в стоимости технических решений. Спрос на квалифицированных специалистов в данной сфере, подогретый законодательными актами о защите информации, растет все быстрее. Стимулируют его и новые тенденции — мобилизация офисов и использование облачных вычислений. В итоге информационная безопасность становится доступна далеко не всем желающим.
В России случаи утечки информации обычно не афишируются. Владельцы компаний, столкнувшихся со взломом информационной системы или пострадавшие от прослушки важных переговоров, стараются сделать все возможное, чтобы не допустить проникновения данных об этом в прессу. Ведь тогда вслед за коммерческим ущербом их ждет еще и ущерб репутационный. Однако та информация, которая все же становится достоянием общественности, свидетельствует — убытки исчисляются миллионами. Особенно любят злоумышленники атаковать банки и другие финансовые организации, а также сотовых операторов — то есть компании, которые обязаны защищать персональные данные граждан и имеют дело с платежными картами клиентов.
Однако если мошенники — это угроза в первую очередь для финансовых компаний, то инсайдеры, желающие нажиться на продаже коммерческой информации, могут стать актуальной проблемой для любой фирмы. В России судебные тяжбы из-за утечек пока очень редки. Возможно, именно поэтому случаев мошенничества со стороны своих же сотрудников очень много. По словам Елены Тимошкиной, руководителя группы подбора персонала кадрового центра «Юнити», российские компании при подборе новых сотрудников уделяют большое внимание именно их честности. «Рекомендации и отзывы прошлых работодателей представляют большой интерес для многих клиентов. И вопросы «чистоплотности» порой стоят наравне с профессионализмом, а для некоторых специальностей являются и определяющими», — говорит она.
Но надо заметить, что все же часть работодателей, как правило, еще «не обжигавшихся», предпочитает нанимать сотрудников, основываясь на критериях экономии средств, а не надежности и профессионализма. Неудивительно поэтому, что перекочевывание клиентской базы от конкурента к конкуренту сегодня уже стало нормой. Человеческий фактор в вопросах безопасности информации не берутся сбрасывать со счетов даже самые опытные специалисты, но все же в большинстве случаев акцентируют внимание именно на технических мерах, надеясь минимизировать риски. Тем более что помимо инсайдеров действительно есть немало внешних угроз.
Хакер — лучший «безопасник»
Диаграмма |
Почти половина специалистов по информационной безопасности хранит верность стороне защиты исключительно из моральных убеждений. Опрос, проведенный компанией «Астерос» в рамках форума Positive Hack Days III, касался такой интересной темы, как трудовая мотивация хакеров и специалистов по информационной безопасности.
На вопрос о том, что заставляет их оставаться на «светлой стороне», 45% опрошенных указали именно морально-этические соображения. Для 11% «светлая сторона» ИБ — часть их профессии, поэтому они используют свои знания исключительно по долгу службы. Для 5% респондентов основная мотивация — это закон, возможность работать в легальном поле, а 13% говорят о более высоких доходах. Лишь 5% выразили безоговорочную приверженность «темной стороне» — статусу хакера.
Большинство опрошенных полагают, что хакерский опыт полезен для специалиста по безопасности, а 43% и вовсе считают бывшего хакера лучшим «безопасником». Даже те молодые люди, которые пока не работали в бизнесе, проявляют большой интерес к возможностям профессионального роста. В числе основных стимулов работы в ИБ-компаниях большинство опрошенных называет интересные проекты, непрерывное обучение, возможность развития в профессиональной команде.
Любопытно, что 40% хакеров после пика своей карьеры планируют передавать накопленные знания и видят себя либо руководителями в компаниях, занимающихся безопасностью, либо преподавателями соответствующего профиля. Еще 16% собираются открыть свой бизнес, а 22% вынашивают такие планы, о которых предпочитают не рассказывать публично.
Времена перебежчиков прошли
Как ни печально признавать, поводом усилить меры безопасности в большинстве случаев становятся именно уже произошедшие инциденты. Порой по итогам взлома сайта компании или внутренней системы хранения информации взломщика нанимают на работу с целью определить дыры в защите и «залатать» их. В настоящее время такие услуги предлагают уже не хакеры-одиночки, а профессионалы рынка. По словам Александра Варского, специалиста по информационной безопасности и бывшего члена хакерской группы, в России существует примерно пять крупных игроков, которым доверяют, и они почти монополизировали рынок услуг так называемых тестов на проникновение.
Среди профессионалов, конечно, не все являются бывшими хакерами, но и вчерашние взломщики, и сегодняшние защитники информации стоят дорого. Рынок специалистов по информационной и коммерческой безопасности — это рынок соискателя. Средняя зарплата по рынку колеблется от 120 тыс. до 180 тыс. руб. Кроме того, специалисты идут в профессию не только за деньгами. Сегодня специалист выбирает, интересен ли проект, которым он будет заниматься. Особенно дорого кандидаты стоят в таких сферах, как электронная коммерция, банки, платежные системы.
Алексей Петров, ИТ-директор холдинга «Инфра инжиниринг», отмечает, что услугами штатного специалиста по информационной безопасности пользуются компании, где штат превышает 500 человек. В компаниях с меньшим числом сотрудников эту функцию частично выполняет обычный системный администратор или же организация заключает контракт с внешней компанией. При количестве сотрудников менее 50 человек задача может быть возложена на одного из руководителей.
«Для эффективной защиты компании со штатом до тысячи человек достаточно трех-четырех сотрудников отдела информационной безопасности, входящего в структуру службы безопасности компании», — считает Екатерина Сидорова, генеральный директор микрофинансовой компании «Финотдел». При подборе таких сотрудников в финансовых компаниях и банках обращают внимание на наличие у кандидата профильного образования и курсов повышения квалификации. Кроме того, специалист по информационной безопасности, помимо технических инструментов защиты и специальных программ, должен знать законодательство в этой области, поскольку компании периодически проверяют на выполнение отраслевых стандартов.
Трудности у компаний связаны с тем, что (как и во многих сегментах ИТ-отрасли) наиболее привлекательными работодателями сегодня являются специализированные компании: вендоры, разработчики ПО и провайдеры ИТ-услуг. Кандидаты отдают им предпочтение по причине более высокого уровня оплаты труда, интересных задач и возможности роста.
Как пример Тимошкина приводит условия одного из заказов на подбор эксперта по информационной безопасности для крупного системного интегратора. Начальный уровень оплаты труда составлял 120 тыс. руб., при этом предполагалась ежеквартальная премия в 30% по результатам закрытия проекта. В социальный пакет были включены ДМС, бассейн и корпоративный транспорт. Но надо заметить, что подобные вакансии, исключительные по своей привлекательности, предполагают и более высокий уровень требований. В данном случае работодатель искал человека с опытом в подобной должности от трех лет. Кроме того, требовались навыки работы с решениями CheckPoint, хорошее знание программных, технических и организационных средств обеспечения безопасности, российских и международных стандартов и нормативно-правовой базы.
«Требования к сотрудникам информационной безопасности в нашей стране очень высокие, ведь в России хорошая инженерная школа, и многим факультетам ИБ в лучших университетах скоро исполнится уже по 15 лет», — согласен Варской. Однако действительно классные сотрудники — на вес золота. Времена перебежчиков в поисках больших денег прошли. Сейчас в моде работать на одну компанию — долго, с возможностью роста. Информационная безопасность — одна из немногих областей, где можно все время расти в профессиональном плане, даже будучи руководителем всей службы, ибо технологии развиваются. Специалист всегда вынужден получать новые знания, и он их получает без отрыва от работы.
Еще сложнее найти свободных и высококвалифицированных специалистов по государственной тайне, что актуально для госорганов, компаний, добывающих полезные ископаемые, а также использующих космические и военные технологии. Каждому такому специалисту нужна лицензия ФСБ. Необходим к тому же набор специальных знаний не только о программном обеспечении, но и о пользовании профильным техническим оборудованием, в том числе для защиты переговоров. Такие специалисты практически не размещают своих резюме на профильных рабочих сайтах, их ищут по рекомендациям или через агентства.