23 марта 2026 г.

Андрей Курило

Цели кибератак, осуществляемых в последние годы на территории нашей страны, заметно изменились: теперь во главу угла становится нанесение максимального ущерба или обрушения критической инфраструктуры в важный момент. При этом в хакерском сообществе идёт процесс, который можно назвать индустриализацией, практикуется взаимный обмен данными и инструментами, усиливается координация действий и одновременно снижается стоимость организации атак и управления ими, для чего уже активно используется искусственный интеллект. В данной статье мы попытаемся оценить, как на этом фоне отрасль может противостоять угрозам и как дефицит специалистов оказывает влияние на её способность обеспечивать безотказное функционирование ИТ-инфраструктуры государства и бизнеса.

Ситуация в сфере ИБ в начале 2026 года

Ранее существовавшие возможности противодействия киберугрозам, такие как взаимодействие правоохранительных органов разных стран, правила правосудности и экстрадиции — полностью отброшены. То, что мы наблюдаем — ещё не полноценная кибервойна, но уже напоминает активные «партизанские действия» в нашей информационной среде. Статистика по киберинцидентам свидетельствует, что наша информационная инфраструктура каждый день изучается, прощупывается, исследуется. И количество, и качество накопленных злоумышленниками знаний растёт, так же как и количество утекших в результатах удавшихся атак данных о каждом из нас.

Хакеры становятся опаснее

Мы прогнозируем ещё большую плотность, интенсивность, нацеленность и более высокую сложность кибератак в 2026-м году. Под них может попасть любая ИТ-инфраструктура, по которой у хакерского сообщества появились данные об уязвимостях систем защиты. Тут не должно быть иллюзий: сбор таких данных идёт непрерывно, прямо в эту минуту.

Кто занимается защитой на нашей стороне

В сфере кибербезопасности мы наблюдаем следующие тенденции.

Растёт объем регуляторных требований, усложняющих ежедневную практическую деятельность специалистов по ИБ. Растут и угрозы, как качественно, так и количественно. Парадоксальным образом увеличение объёма и сложности задач по ИБ сопровождается заметным сжатием рынка при одновременном росте количества вакансий в этой сфере. И параллельно наблюдается некоторое сокращение персонала, которое можно расценивать как переформатирование сферы ИБ.

Мы замечаем, что фокус кадровых служб смещается на специалистов среднего уровня (middle), способных самостоятельно закрывать большое количество базовых задач и/или выстраивать систему ИБ в организации с помощью аутсорсинга. Такие специалисты должны иметь очень хорошую подготовку.

А вот узких специалистов в службах ИБ становится меньше за счёт их перехода в организации с экспертизой в конкретных нишах — например, специализирующихся на форензике (расследовании инцидентов по безопасности) или обслуживании коллективных SOC. При этом кадровый голод в сфере ИБ одновременно усиливается и за счёт естественного старения и выхода на пенсию высококвалифицированных специалистов старшего поколения.

Как утолить кадровый голод

Измерить, насколько силён описываемый кадровый голод, довольно сложно, но очевидно одно: текущая ситуация требует постоянного повышения уровня организации и качества работы всей системы обеспечения информационной безопасности в организациях, в том числе и даже в первую очередь — вопросов кадрового обеспечения.

Оценки различных экспертов по этому поводу заметно разнятся, но совпадают в одном — специалистов не хватает. Вывод прост: нужны новые квалифицированные специалисты широкого профиля.

Корни кадровой проблемы

Как бы хорошо ни был подготовлен молодой специалист, вне зависимости от вида, формы, способа и методики обучения ему потребуется определённое время для вхождения в проблему и раскрытия своих компетенций и способностей. Это правило не имеет исключений, и по нашему опыту, в среднем на такое «включение» уходит три года. А чтобы сделать из молодого специалиста хорошего крепкого руководителя, требуется примерно 6 лет.

Если впоследствии он переходит на аналогичное по уровню требований к квалификации место в другой организации или компании, то войти в курс дела он сможет уже за 3 месяца.

Это объективная реальность, и именно на этой почве руководство организаций часто допускает стратегические ошибки, делая поспешные выводы о том, что тот или иной специалист «не оправдывает ожиданий». Мы регулярно наблюдаем завышенные ожидания там, где нужны терпение и методичная целевая работа по воспитанию и обучению кадров.

Но у этой проблемы есть и обратная сторона — завышенные зарплатные ожидания у молодых специалистов (junior) и специалистов среднего уровня с опытом работы (middle).

Там, где служба ИБ может себе это позволить (например, в «Сбербанке»), есть правило кадровой политики и ротации: пришёл на работу — садись на первую линию SOC, а года через полтора посмотрим. Такая схема работы с кадрами практиковалась в СССР и в Советской Армии, но ныне она в основном «хорошо забыта».

Отстающие «старики»

Вторая проблема — старение как практикующих специалистов, так и преподавателей высшей школы. В целом эта категория специалистов страдает излишней академичностью, иногда демонстрирует устаревшие знания, многие пришли в специальность из смежных дисциплин и не имеют опыта практической работы.

При этом у нас до сих пор не создано адекватной обстоятельствам системы повышения квалификации или замены преподавателей высшей школы. Привлечь сильных преподавателей «с рынка» пока получается плохо, хотя нельзя утверждать, что в этом направлении ничего не делается. Мы позитивно оцениваем инициативу Минцифры по привлечению фирм, специализирующихся в сфере IT и ИБ, к созданию современной лабораторной базы в вузах в обмен на определённые финансовые преференции, и приглашению преподавателей из числа действующих экспертов для реализации учебных программ.

Старое «железо»

Третья большая проблема — недостаточная и часто устаревшая лабораторная база в профильных вузах, особенно в регионах. Лишь немногие вузы в стране могут похвастаться лабораторной базой, отвечающей современным требованиям к подготовке высококлассных специалистов в сфере ИБ.

С этой проблемой связан ещё один болезненный вопрос — сопровождение этой лабораторной базы силами специалистов самих вузов, где, как правило, нет для этого ни соответствующих штатных единиц, ни подготовленных лаборантов и ассистентов.

Дефицит практики

Практика студентов в профильных организациях предусмотрена государственными стандартами обучения, но организации идут на это весьма неохотно. Часто они уклоняются от отвлечения ресурсов на организацию работы со студентами по учебным программам вузов. Конечно, тут не следует путать учебные практики и стажировки, в которых фирмы прямо заинтересованы, так как в этом случае их цель заключается в подборе кадров или даже продвижении своих продуктов на рынок. На это средства у них обычно находятся.

Не по специальности

Последняя проблема, которая стоит упоминания — невысокий процент выпускников, получивших образование в сфере ИБ, идёт работать по специальности. В лучшем случае это только 50–60% от общей численности молодых специалистов, получивших соответствующий диплом.

Что нужно делать

Мы уже отметили позитивную и многообещающую инициативу Минцифры по привлечению к преподаванию в вузах и оборудованию профильных лабораторий действующих практиков. Мы считаем, что для подготовки кадров нужно шире использовать аутсорсинг и аутстаффинг от специализированных организаций. Но контроль над ведущейся работой должен оставаться у заказчика, а HR-риски (налоги, отпуска и т. п.) — у подрядчика.

Применяя такую форму организации работ, важно не упускать из виду три соображения.

  1. Переложить все риски ИБ на аутсорсера невозможно. Ответственность за возникший инцидент в любом случае остаётся на службе безопасности организации, которая его допустила. А привлечь аутсорсера к ответственности за пропущенную атаку юридически крайне сложно.

  2. Риск потери компетенции — ещё один существенный риск, возникающий при чрезмерном упоре на аутсорс. Через некоторое время собственник может обнаружить, что оставшиеся в штате специалисты по ИБ не понимают, что говорит аутсорсер, и что никто в организации не может своевременно и грамотно отреагировать на сигнал об обнаруженной атаке.

  3. Любой самый именитый и заслуженный аутсорсер должен обязательно пройти аудит ИБ по требованию заказчика. Это существенно снизит риск самой распространенной и опасной атаки нашего времени: атаки через поставщика (chain-of-supply attack).

По нашему глубокому убеждению, сочетание описанных мер и принципов работы, а также лучших практик от лидеров отрасли, конечно, не сведёт риск ущерба к нулю, но позволит бизнесу и объектам критической инфраструктуры сохранять устойчивость и достойно отвечать на вызовы в 2026-м году.

Источник: Андрей Курило, советник по вопросам информационной безопасности «САЙБЕР Бизнес Консалтинг»