Рынок труда по ИБ ждет жестокая драка за место под солнцем. Вы к ней готовы?

Кадры
Прошлые две недели прошли у меня под знаком американского флага. Мне пришлось дважды летать в Штаты (почему нельзя было остаться между командировками там и не тратить больше суток в самолете оставлю за рамками заметки) — одна командировка была связана с SOC, а вторая — с глобальным мероприятием Cisco. И если про результаты первой я еще напишу (там было много интересных мыслей и разоблачений мифов), то о второй мне хотелось бы написать именно сейчас. Пока свежи впечатления (да и разгребать почту за время отпуска и двух недельных командировок с накрывшим джетлегом не особо хочется).
Год назад я уже задавался философским вопросом: «Кому ты будешь нужен через 5 или 10 лет?» И про замену человека искусственным интеллектом тоже писал (длительные перелеты способствуют философским рассуждениям). Сейчас я хочу вновь вернуться к этому вопросу, но немного с иной точки зрения. Все мы знаем, что выпускники ВУЗов, идущие на свою первую работу, обычно хотят денег — много и сразу. Отчасти, потому что это свойственно молодости, переоценивающей свои навыки и квалификацию. Отчасти, потому что эти выпускники прочитали/услышали, что специалистов по ИБ не хватает. По разным оценкам такая нехватка составляет не менее 1 миллиона человек по всему миру. В России же не хватает по оценкам Минтруда около 50-60 тысяч специалистов по ИБ. Отсюда многие делают вывод, что в условиях дефицита можно требовать много денег. Увы… Читая новости про отсутствующий миллион специалистов по ИБ, все забывают, что речь идет о квалифицированном персонале, а не вообще о тех, кто готов называть себя ИБ-специалистом.
Такая нехватка приводит к тому, что компании (и потребители, и производители) начинают искать выход и находят его в двух направлениях:
  • автоматизация операций, которые раньше выполнял человек; причем не только рутинных
  • аутсорсинг (в том числе и ввиде перехода на облачные технологии).

Обратите внимание, больше специалистов делать никто не хочет (зато хотят запретить им выезд заграницу). Во-первых, это долго (минимум 4 года, а то и все 6, в зависимости от специальности) и рынок не готов столько ждать. Во-вторых, число ВУЗов, готовящих таких специалистов, сокращается. Если сравнить текущий список учебных заведений, входящих в УМО по ИБ, с тем, что было еще несколько лет назад, то разница составит не менее 25% и динамика эта негативная. В-третьих, уровень преподавания в ВУЗах оставляет желать лучшего (почему — это отдельная тема). Отсюда и нежелание заниматься увеличением числа выпускников и рост дефицита безопасников. Но дефицит этот будет компенсироваться не за счет людей.

Рустем Хайретдинов в Facebook последнее время не раз уже писал про замену людей роботами. И если отбросить фантастический флер, которым овеян термин «робот», то это тенденция действительно имеет место в индустрии ИБ. Машинное обучение, аналитика, автоматизация, API… Все это снижает зависимость от человека, возможности которого по борьбе с современными динамично изменяющимися угрозами сильно ограничены. Зачем нужен человек, если программа готова пропускать через себя триллионы событий ежедневно и гораздо быстрее обнаруживать в них признаки аномалий и иной несанкционированной активности, чем человек? Зачем нужен homo sapiens, которому еще и свойственно ошибаться, терять концентрацию, делать неправильные выводы? Аналитические системы и подсистемы (в различных их проявлениях) постепенно вытесняют человека, оставляя ему все меньше функций и дел.

Если посмотреть на современный рынок ИБ, то он уходит в облака и аутсорсинг. У многих продуктов появляется SaaS-версии, которые пока являются интересной, но все-таки опцией. Со временем же эта опция станет доминировать, а потом и заменит свои on-premise решения. Эта тенденция совсем не видна в России (у нас нет SaaS-решений по ИБ), но она очень хороша заметна на Западе. Классические производители программных и аппаратных решений по ИБ стали уходить в облака, предлагая своим заказчикам новые возможности по управлению ИБ. И это связано не только и не столько с желанием заработать, сколько с потребностями самих заказчиков, которые не в состоянии в круглосуточном режиме заниматься своей ИБ.

Сегодня даже межсетевые экраны уходят в облака, полностью переходя на внешнее управление. А ведь совсем недавно именно эти решения были ярким примером решений, которые всегда находятся в руках заказчика. Да, за ними пока остается функция формирования политик, но развертывание МСЭ, изменение конфигураций, обновление ПО, реагирование — все это уходит в облако, высвобождая безопасников внутри компаний. Пока их можно переключать на другие задачи, до которых раньше не доходили руки. Но что потом, когда все задачи уйдут в облако? Кому будут нужны безопасники, которые раньше кичились своей нужностью и дефицитностью? Кто будет платить им большие зарплаты? Бизнес только выигрывает от этого. Ему больше не нужно содержать штат высокооплачиваемых людей, которые не умеют говорить с бизнесом на его языке и которые занимаются непрофильной для бизнеса активностью. Поставьте себя на место финансового директора, который стоит перед дилеммой — оплатить счет на 60 тысяч долларов за новую систему аналитики в ИБ или такую же сумму выделить на фонд оплаты труда безопасника? При этом ФОТ надо выделять ежегодно (да еще и с постоянным увеличением), а оплатить счет только один раз (стоимость ежегодной поддержки будет в разы ниже).

Что, все вот так плохо? И да, и нет. Я немного сгущаю краски, беря самый пессимистичный сценарий развития событий. Да, для него есть все предпосылки, но все-таки и 100%-вероятным его считать нельзя. С другой стороны, то, что происходит на мировом рынке, говорит именно о таком исходе. Подготовить нужное количество квалифицированных людей сегодня просто невозможно — гораздо эффективнее попробовать заменить их на «роботов», что я и наблюдаю, посещая различные мероприятия (Gartner, RSA, Cisco, InfoSecurity и т.п.).

До России это все пока не докатилось и, как я уже писал, в условиях импортозамещения докатится еще не скоро (увы, надо признать, что рынок отечественных разработок по ИБ далек от своего западного коллеги и отказа от людей нам ждать не приходится). Но и расслабляться не стоит. Технологии развиваются стремительно и совсем скоро мы можем получить письмо по электронной почте от HR-робота, что в наших услугах компания больше не нуждается 🙁

Есть ли у вас план на такой случай? 
Я не буду делать никаких выводов — каждый их сделает сам. Просто задумайтесь, не откладывая решение этого вопроса «на потом». Скоро на рынке труда будет жестокая драка за место под солнцем и никакие прошлые заслуги и регалии не помогут.
Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. Unknown

    Алексей, интересно мнение, на сколько реально заменить ИИ специалиста по внедрению в организации СУИБ по ISO 27001?

    Ответить
  2. Алексей Лукацкий

    А что есть внедрение? Это набор действий, предусматривающих выбор, внедрение, настройку средств защиты и оргмер. Что-то можно автоматизировать, что-то нет.

    Ответить
  3. Unknown

    Для России в нынешней модели политической и законодательной структуре это не актуально…а эти две составляющие если и будут меняться то минимум лет пять до принятия решения о смене и еще минимум лет пять до внедрения…так что лет десять…все будет стабильно.

    Ответить
  4. Алексей Лукацкий

    10 лет пролетит очень быстро

    Ответить