Для решения сложных проблем ИБ различным отраслям необходимо увеличить число специалистов по кибербезопасности. Следует устранить барьеры на пути построения карьеры и расширить возможности получения образования, с тем чтобы талантливые люди из разных слоев общества имели возможность восполнить растущий дефицит квалифицированных кадров в области информационных технологий и кибербезопасности. Чтобы компенсировать нехватку квалифицированных специалистов, автоматизированные решения должны стать более технологичными.

Документально подтверждено, что нехватка профессионалов в области кибербезопасности влияет на возможности организаций управлять безопасностью своих все более сложных информационных сетей. Исследование McAfee и Центра стратегических и международных исследований (Center for Strategic and International Studies — CSIS) за 2016 год Hacking the Skills Shortage («Нехватка специалистов как уязвимость»), показало, что нехватка кадров в сфере кибербезопасности — не только региональная или даже национальная проблема. Она имеет глобальный характер. 82 % респондентов по всему миру сообщили о нехватке специалистов по кибербезопасности в своей организации, а 71 % опрошенных признали, что из-за дефицита кадров организации становятся более уязвимыми для злоумышленников.

Ожидается, что в ближайшие годы эта проблема только обострится. Согласно исследованию глобальных кадровых ресурсов в сфере информационной безопасности Global Information Security Workforce Study, проведенному в феврале 2017 года организацией (ISC)2, к 2022 году нехватка специалистов может достичь 1,8 миллиона человек. Для устранения нехватки кадров политики должны работать над созданием условий, позволяющих большему проценту населения приобрести технические специальности, особенно в сфере кибербезопасности.

Особенно остро вопрос нехватки специалистов по кибербезопасности стоит в государственных учреждениях. По словам Тони Скотта (Tony Scott), бывшего федерального директора по информационным технологиям США, в госучреждениях было открыто около 10 000 вакансий для сотрудников по кибербезопасности, однако квалифицированных специалистов для заполнения этих должностей не хватило. Учитывая ту жизненно важную роль, которую играют в защите Соединенных Штатов такие государственные учреждения, как Министерство обороны и Министерство внутренней безопасности, а также разведывательные ведомства, подобный дефицит квалифицированного персонала вызывает беспокойство и требует внимания со стороны политиков.

В мае 2017 года президент Дональд Трамп издал распоряжение, касающееся кибербезопасности, которое требует от министра торговли и министра внутренней безопасности оценить масштабы и достаточность усилий правительства в сфере образования и подготовки молодых американских специалистов в сфере кибербезопасности. К ним относятся образовательные и учебные программы, а также программы стажировки на всех уровнях — от начального до высшего образования.

Значение для McAfee

Одна из наших главных инициатив компании McAfee — обеспечить рост числа высококвалифицированных специалистов по кибербезопасности на всех уровнях. Мы стремимся к сотрудничеству с заинтересованными сторонами из государственного и частного секторов, чтобы преодолеть продолжительный системный дефицит персонала в области кибербезопасности путем проведения информационно-разъяснительной работы и установления партнерства со школами и университетами. Наше активное участие в преодолении дефицита квалифицированного персонала также позволяет нам создавать прочные связи в сообществах, в которых мы работаем, что, в свою очередь, помогает нам привлекать и удерживать кадры, необходимые нам для развития и процветания компании.

Будучи ведущей компанией в области кибербезопасности, McAfee стремится делать все возможное, чтобы уменьшить и полностью преодолеть дефицит квалифицированных кадров. Мы считаем, что для замены человеческих ресурсов, требующихся для выполнения рутинных задач, следует использовать интеллектуальную автоматизацию, предусмотренную для интегрированной среды. Интеллектуальная автоматизация поможет оптимизировать средства обороны организаций, а создать ее можно с помощью подстраиваемой политики, обеспечивающей интеллектуальную, контекстно-управляемую автоматизацию, которая позволяет людям делать то, что они делают лучше всего, — думать и действовать.

Основные моменты

Обмен специалистами между государственными и частными компаниями

Мы должны разработать творческие подходы, позволяющие государственным и частным компаниям обмениваться специалистами, особенно при возникновении существенных событий в области кибербезопасности. Кибербезопасность — это быстро изменяющаяся сфера, и то, что действует сегодня, завтра может устареть. Мы знаем, что противники постоянно совершенствуются и меняют курс, часто реагируя на новые оборонительные возможности, разрабатываемые частными компаниями. Нереалистично думать, что специалисты по кибербезопасности из государственного сектора смогут поспевать за такими стремительными изменениями информационной среды без помощи частных компаний. Мы должны разработать механизм для специалистов по кибербезопасности — особенно для аналитиков или тех, кто готовится ими стать, — позволяющий им переходить из государственных компаний в частные и обратно, чтобы государственные организации могли постоянно обновлять свои знания.

Одним из способов осуществления этой идеи могло бы стать налаживание сотрудничества Министерства внутренней безопасности с компаниями и другими организациями, например, университетами, с целью набора специалистов по кибербезопасности — операторов, аналитиков и исследователей, — которые будут наделены правами свободного перемещения между государственным и частным сектором. Эти специалисты, особенно из частных компаний, могли бы быть всегда на связи, чтобы помогать соответствующим организациям и государству своевременно реагировать на серьезные взломы. Специалисты по кибербезопасности из государственных и частных компаний могли бы извлекать для себя пользу от регулярных ротаций на две-три недели каждый год. Такой обмен позволит специалистам делиться практическим опытом в области технологий, бизнес-процессов и управления персоналом. Министерство внутренней безопасности должно скорректировать свой план найма и удержания специалистов по кибербезопасности, включив в него гибкую структуру государственно-частного типа, включающую в свой состав сертифицированных специалистов. Если Министерство внутренней безопасности не готово действовать, то Конгресс США должен создать авторитетную комиссию экспертов из государственного и частного сектора, которая исследует возможности организации гибкого коллектива специалистов по кибербезопасности и управления этим коллективом. Гибкий подход к комплектованию штата сотрудников с целью устранения дефицита квалификации может стать образцовой моделью, напоминающей принцип комплектования войск Национальной гвардии США.

Расширение программы CyberCorps

Программа CyberCorps Scholarship for Service (SFS) Национального научного фонда (NSF) разработана для увеличения и усиления кадрового состава специалистов государственных органов по обеспечению доступности, целостности и безопасности информации, занимающихся защитой систем и сетей правительственных учреждений. На сегодняшний день федеральное правительство взяло на себя твердые обязательства по поддержке программы SFS, выделив на нее 45 млн долларов США в 2015 году, 50 млн долларов США в 2016 году, 70 млн долларов США в 2017 году и 40 млн долларов США в бюджетной заявке администрации на 2018 финансовый год. Инвестиции в размере 40 миллионов долларов США идут на оплату стипендиальной программы обучения более 1500 студентов. Учитывая масштабы и глубину дефицита квалификации и навыков в области кибербезопасности, политикам следует значительно увеличить ее финансирование. Инвестиции в размере 180 млн долларов США могли бы обеспечить приблизительно 6400 стипендий, что послужило бы краткосрочным решением проблемы нехватки квалифицированных специалистов по кибербезопасности.

Создание программы для муниципальных колледжей

Муниципальные колледжи, как правило, привлекают самых разных студентов, от недавних выпускников средних школ до демобилизованных военнослужащих и других взрослых студентов с опытом работы, желающих изменить свой карьерный путь. Колледжи могли бы предлагать курсы обучения по информационным технологиям и кибербезопасности, финансируемые за счет государственных и частных инвестиций. Заинтересованных студентов могли бы обучать и преподаватели колледжа, и специалисты-практики из частных компаний. По окончании учебы студенты могли бы получать сертификат о прохождении двухлетнего обучения по кибербезопасности, а затем продолжить обучение по четырехлетней программе образования или сразу же пойти работать. Также как и в программе CyberCorps, выпускники могут быть трудоустроены в федеральных ведомствах, где они должны будут отработать на гарантированной государственной должности столько же времени, сколько длилась их стипендиальная программа. Такая программа должна не заменить, а скорее, дополнить существующую и чрезвычайно полезную программу SFS CyberCorps.

Среднее образование

Крайне важно распространять среди учащихся средних школ информацию о том, что специалист по кибербезопасности — интереснейшая профессия, которая может оказать огромное положительное влияние на общество. Согласно последним данным компании Microsoft, ученицы европейских школ начинают проявлять интерес к научно-техническим дисциплинам в возрасте около 11 лет, но к 15 годам этот интерес начинает ослабевать. Это говорит о том, что нам необходимо поощрять и вдохновлять девушек в этот переломный момент.

Нам следует увеличить набор преподавателей, но важно помнить, что кибербезопасность — уникальное направление подготовки и поэтому требует уникального подхода к преподаванию. Специалисты-практики имеют богатый и разнообразный опыт, который придает новый импульс дискуссии о том, как стать эффективным специалистом по кибербезопасности, а исключительное понимание сути вещей может быть получено из реального практического опыта в этой области.

Существенное увеличение разнообразия

Профессия специалиста по кибербезопасности во многих секторах в значительной степени выигрывает от разнообразия. По данным доклада Women in Cybersecurity («Женщины в сфере кибербезопасности») Центра кибербезопасности и образования, а также Форума женщин-руководителей по информационной безопасности, управлению рисками и конфиденциальности, число женщин в этой сфере во всем мире составляет всего 11 %. В Северной Америке женщины составляют лишь 14 % от общего числа специалистов по кибербезопасности. Процент афроамериканцев здесь еще ниже. По данным Бюро статистики труда, они составляют лишь 3 % среди всех аналитиков по информационной безопасности в США. Обучение и набор большего числа женщин и представителей цветного населения могли бы способствовать уменьшению нехватки специалистов.

Кроме того, нам удастся привлечь больше женщин и людей, неравнодушных к проблемам общества, если мы сможем лучше объяснять им, каким образом работа в сфере кибербезопасности помогает людям. Например, среди женщин-выпускников инженерных специальностей наибольшее количество отдали предпочтение биомедицинской инженерии и природообустройству — то есть, тем областям, в которых студенты могут провести прямую связь между своей деятельностью и помощью людям. Кибербезопасность — это, несомненно, сфера, служащая защите людей и расширению их возможностей. Если мы создадим привлекательный «имидж» этой области деятельности, то привлечем целевую аудиторию исключительно одаренных женщин, способных пополнить ряды специалистов, дефицит которых сегодня составляет 1,5 миллиона и продолжает увеличивается.

Автоматизация рутинных функций

Окончательная и более долгосрочная стратегия решения проблемы дефицита квалифицированных кадров в области кибербезопасности заключается в поддержке систем, отличающихся повышенным уровнем автоматизации, особенно передовых технологий, включающих в себя машинное обучение и искусственный интеллект. Автоматизированная архитектура способствует преодолению дефицита квалификации, уменьшая объем рутинной работы специалистов по кибербезопасности и информационным технологиям и помогая им сосредоточиться исключительно на определении тех способов устранения проблемы, которые требуют вмешательства человека и проведения анализа человеком. Внедрение все более сложных автоматизированных решений станет не только необходимой, но и эффективной мерой. Нам еще далеко до ликвидации нехватки квалифицированных кадров в области кибербезопасности, хотя наша технология совершенствуется быстрыми темпами. Мы должны работать над обеими важнейшими задачами одновременно: обучать больше специалистов по кибербезопасности и усложнять выполняемые ими роли, автоматизируя рутинные задачи.

Томас Ганн (Thomas Gann)

Директор по вопросам общественной политики

Адрес электронной почты

Кент Лэндфилд (Kent Landfield)

Главный специалист по разработке политики стандартов и технологий

Адрес электронной почты

Крис Хатчинс (Chris Hutchins)

Управляющий директор по вопросам общественной политики в регионе EMEA

Адрес электронной почты