Нехватка специалистов по кибербезопасности

Краткая справка

Для решения сложнейших проблем безопасности, с которыми организации сталкиваются в наше время, предприятия отрасли ИБ, правительство и научное сообщество должны существенно увеличить число специалистов по кибербезопасности в общей структуре кадровых ресурсов. Необходимо устранить барьеры на пути построения карьеры и расширить возможности для получения образования, с тем чтобы талантливые люди из разных слоев общества имели возможность восполнить растущий дефицит квалифицированных кадров в области информационных технологий и кибербезопасности. Чтобы компенсировать нехватку квалифицированных специалистов, автоматизированные решения должны стать более технологичными.

Документально подтверждено, что нехватка профессионалов в области кибербезопасности влияет на возможности организаций управлять безопасностью своих все более усложняющихся информационных сетей. Исследование McAfee и Центра стратегических и международных исследований (CSIS — Center for Strategic and International Studies) за 2016 год, Hacking the Skills Shortage (Нехватка специалистов как уязвимость), показало, что нехватка кадров в сфере кибербезопасности — не только региональная или даже национальная проблема. Она имеет глобальный характер. 82 % респондентов со всего мира сообщили о дефиците специалистов по кибербезопасности в своей организации, а 71 % признали, что из-за недостатка кадров организации становятся более уязвимыми для злоумышленников.

Ожидается, что в ближайшие годы эта проблема только обострится. Согласно исследованию глобальных кадровых ресурсов в сфере информационной безопасности Global Information Security Workforce Study, проведенному в феврале 2017 года организацией (ISC)2, к 2022 году нехватка специалистов может достичь 1,8 миллиона человек. Для устранения этой нехватки лица, определяющие политику, должны работать над тем, чтобы побудить большее количество людей к выбору технических специальностей, особенно в сфере кибербезопасности.

Особенно остро вопрос нехватки специалистов по кибербезопасности стоит в государственных учреждениях. По словам бывшего федерального директора по информационным технологиям США Тони Скотта (Tony Scott), в госучреждениях было открыто около 10 000 вакансий для сотрудников по кибербезопасности, однако квалифицированных специалистов для заполнения этих должностей не хватило. Учитывая ту жизненно важную роль, которую играют в защите Соединенных Штатов такие государственные учреждения, как Министерство обороны и Министерство внутренней безопасности, а также разведывательные ведомства, такой дефицит квалифицированного персонала вызывает беспокойство и заслуживает внимания со стороны лиц, определяющих политику.

В мае 2017 года президент Дональд Трамп издал распоряжение, касающееся кибербезопасности, которое требует от министра торговли и министра внутренней безопасности оценить масштабы и достаточность усилий правительства в сфере образования и подготовки молодых американских специалистов в сфере кибербезопасности. К ним относятся образовательные и учебные программы, а также программы стажировки на всех уровнях — от начального до высшего образования.

Значение для McAfee

Одна из наших главных корпоративных инициатив — обеспечить рост числа высококвалифицированных специалистов по кибербезопасности на всех уровнях. Мы стремимся к сотрудничеству с заинтересованными сторонами из государственного и частного секторов, чтобы преодолеть продолжительный системный дефицит персонала в области кибербезопасности путем проведения информационно-разъяснительной работы и установления партнерства со школами и университетами. Наше активное участие в преодолении дефицита квалифицированного персонала также позволяет нам создавать прочные связи в сообществах, в которых мы работаем, что, в свою очередь, помогает нам привлекать и удерживать кадры, необходимые нам для развития и процветания компании.

Будучи ведущей компанией в области кибербезопасности, McAfee стремится делать все возможное, чтобы не просто уменьшить, а полностью преодолеть дефицит квалифицированных кадров. Мы считаем, что для замены человеческих ресурсов, требующихся для выполнения рутинных задач, следует использовать интеллектуальную автоматизацию, предусмотренную для интегрированной среды. Интеллектуальная автоматизация поможет оптимизировать средства обороны организаций, а создать ее можно с помощью политики, подстраиваемой под нужды конкретной организации и обеспечивающей интеллектуальную, контекстно-управляемую автоматизацию, которая позволяет людям делать то, что они делают лучше всего, — думать и действовать.

Основные моменты

Обмен специалистами между государственными и частными компаниями

Мы должны разработать творческие подходы, позволяющие государственным и частным компаниям обмениваться специалистами, особенно при возникновении значительных событий в области кибербезопасности. Кибербезопасность — это быстро изменяющаяся сфера, и то, что действует сегодня, завтра может устареть. Мы знаем, что противники постоянно совершенствуются и меняют курс, часто реагируя на новые оборонительные возможности, разрабатываемые частными компаниями. Нереалистично думать, что специалисты по кибербезопасности из государственного сектора смогут поспевать за такими стремительными изменениями информационной среды без помощи частных компаний. Мы должны разработать механизм для специалистов по кибербезопасности — особенно для аналитиков или тех, кто готовится ими стать, — позволяющий им переходить из государственных компаний в частные и обратно, чтобы государственные организации могли постоянно обновлять свои знания.

Одним из способов осуществления этой идеи могло бы стать налаживание сотрудничества Министерства внутренней безопасности с компаниями и другими организациями, например, университетами, с целью набора специалистов по кибербезопасности — операторов, аналитиков и исследователей, — которые будут наделены правами свободного перемещения между государственным и частным сектором. Эти специалисты, особенно из частных компаний, могли бы быть всегда на связи, чтобы помогать соответствующим организациям и государству своевременно реагировать на серьезные взломы. Специалисты по кибербезопасности из государственных и частных компаний могли бы извлекать для себя пользу от регулярных ротаций на две-три недели каждый год. С помощью такого обмена специалисты смогут делиться практическим опытом в области технологий, бизнес-процессов и управления персоналом. Министерство внутренней безопасности должно скорректировать свой план найма и удержания специалистов по кибербезопасности, включив в него гибкую государственно-частную группу сертифицированных специалистов. Если Министерство внутренней безопасности не готово действовать, Конгресс США должен создать авторитетную комиссию экспертов из государственного и частного сектора, которая исследует возможности организации гибкого коллектива специалистов по кибербезопасности и управления этим коллективом. Как в случае с Национальной гвардией, гибкий подход к комплектованию штата сотрудников с целью устранения дефицита квалификации может стать образцовой моделью.

 

Расширение программы CyberCorps

Программа CyberCorps Scholarship for Service (SFS) Национального научного фонда (NSF) разработана для увеличения и усиления кадрового состава специалистов государственных органов по обеспечению доступности, целостности и безопасности информации, занимающихся защитой систем и сетей правительственных учреждений. На сегодняшний день федеральное правительство взяло на себя твердые обязательства по поддержке программы SFS, выделив на нее 45 млн долларов США в 2015 году, 50 млн долларов США в 2016 году, 70 млн долларов США в 2017 году и 40 млн долларов США в бюджетной заявке администрации на 2018 финансовый год. Инвестиции в размере 40 миллионов долларов США идут на оплату стипендиальной программы обучения более 1 500 студентов. Учитывая масштабы и глубину дефицита квалификации и навыков в области кибербезопасности, разработчикам программы следует значительно увеличить ее финансирование. Инвестиции в размере 180 млн долларов США могли бы обеспечить приблизительно 6 400 стипендий, что послужило бы краткосрочным решением проблемы нехватки квалифицированных специалистов по кибербезопасности.

 

Создание программы для муниципальных колледжей

Муниципальные колледжи, как правило, привлекают самых разных студентов, от недавних выпускников средних школ до граждан, отслуживших в вооруженных силах, и других взрослых студентов с опытом работы, желающих изменить свой карьерный путь. Колледжи могли бы предлагать курсы обучения по информационным технологиям и кибербезопасности, финансируемые за счет государственных и частных инвестиций. Заинтересованных студентов могли бы обучать и преподаватели колледжа, и специалисты-практики из частных компаний. По окончании учебы студенты могли бы получать сертификат о прохождении двухлетнего обучения по кибербезопасности, а затем продолжить обучение до четырех лет или сразу же пойти работать. Как и в случае с программой CyberCorps, выпускники могут быть трудоустроены в федеральных ведомствах, где они должны будут отработать на гарантированной государственной должности столько же времени, сколько длилась их стипендиальная программа. Такая программа должна не заменить, а скорее, дополнить существующую чрезвычайно полезную программу SFS CyberCorps.

 

Среднее образование

Крайне важно распространять среди учащихся средней школы информацию о том, что специалист по кибербезопасности — интереснейшая профессия, которая может оказать огромное положительное влияние на общество. Согласно последним данным компании Microsoft, ученицы европейских школ начинают проявлять интерес к научно-техническим дисциплинам в возрасте около 11 лет, но к 15 годам этот интерес начинает ослабевать. Это говорит о том, что нам необходимо поощрять и вдохновлять девушек в этот переломный момент.

Мы должны увеличить набор преподавателей, но важно помнить, что кибербезопасность — уникальное направление подготовки и поэтому требует уникального подхода к преподаванию. Специалисты-практики имеют богатый и разнообразный опыт, который придает новый импульс разговору о том, как стать эффективным специалистом по кибербезопасности, а исключительное понимание сути вещей может быть получено из реального практического опыта в этой области.

 

Существенное увеличение разнообразия

Профессия специалиста по кибербезопасности во многих секторах в значительной степени выигрывает от разнообразия. По данным доклада  Women in Cybersecurity (Женщины в сфере кибербезопасности) Центра кибербезопасности и образования, а также Форума женщин-руководителей по информационной безопасности, управлению рисками и конфиденциальности, число женщин в этой сфере во всем мире составляет всего 11 %. В Северной Америке женщины составляют лишь 14 % от общего числа специалистов по кибербезопасности. Процент афроамериканцев здесь еще ниже. По данным Бюро статистики труда, они составляют лишь 3 % среди всех аналитиков по информационной безопасности в США. Обучение и набор большего числа женщин и представителей небелокожего населения могли бы способствовать уменьшению нехватки специалистов. Интересно, что многие качества, которые общество традиционно считает «женскими», очень ценны в кибербезопасности, например, способность к сотрудничеству, умение работать в коллективе и творческий подход.

Кроме того, нам удастся привлечь больше женщин и людей, неравнодушных к проблемам общества, если мы сможем лучше объяснять им, каким образом работа в сфере кибербезопасности помогает людям. Например, среди женщин-выпускников инженерных специальностей наибольшее количество отдали предпочтение биомедицинской инженерии и природообустройству — то есть, тем областям, в которых студенты могут провести прямую связь между своей деятельностью и помощью людям. Кибербезопасность — это, несомненно, та сфера, которая служит защите людей и расширению их возможностей. Если мы создадим привлекательный «имидж» этой области деятельности, то привлечем целевую аудиторию исключительно одаренных девушек и женщин, способных пополнить ряды специалистов, дефицит которых сегодня составляет 1,5 миллиона и продолжает увеличивается.

 

Автоматизация рутинных функций

Окончательная и более долгосрочная стратегия решения проблемы дефицита квалифицированных кадров в области кибербезопасности заключается в поддержке систем, отличающихся повышенным уровнем автоматизации, особенно передовых технологий, включающих в себя машинное обучение и искусственный интеллект. Автоматизированная архитектура способствует преодолению дефицита квалификации, уменьшая объем рутинной работы специалистов по кибербезопасности и информационным технологиям и помогая им сосредоточиться исключительно на определении тех способов устранения проблемы, которые требуют вмешательства человека и проведения анализа человеком. Внедрение все более сложных автоматизированных решений станет не только вынужденным шагом, но и повысит эффективность работы. Нам еще далеко до ликвидации нехватки квалифицированных кадров в области кибербезопасности, хотя наша технология совершенствуется быстрыми темпами. Мы должны работать над обеими важнейшими задачами одновременно: обучать больше специалистов по кибербезопасности и усложнять выполняемые ими роли, автоматизируя рутинные задачи.