На SOC-Форуме 2022 прошла секция «Дебаты», целью которой было обсудить острые вопросы взаимодействия вендоров и сервис-провайдеров. Дебаты мастерски провел Владимир Дрюков, директор центра противодействия кибератакам Solar JSOC «Ростелеком-Солар».

 

«Криворукие»  инженеры или плохой код?

Участники секции были условно разделены на две команды. Одна команда — вендоров или программистов, в которую вошли Антон Иванов, директор по исследованиям и разработке, Лаборатория Касперского; Игорь Сметанев, директор по стратегическому развитию, R-Vision; Павел Кузнецов, директор по продуктам (CPO), Гарда Технологии.

Вторая команда — сервис-провайдеров или инженеров, куда вошли Алексей Мальнев, руководитель Центра мониторинга и реагирования на инциденты ИБ Jet CSIRT, «Инфосистемы Джет»; Иван Мелехин, руководитель центра мониторинга и противодействия кибератакам IZ: SOC, Информзащита; Алексей Новиков, директор экспертного центра безопасности (PT Expert Security Center), Positive Technologies.

Эти два лагеря специалистов ИБ часто спорят между собой в реальной жизни. Инженеры говорят, что программисты плохо пишут код, а программисты утверждают, что инженеры «криворукие» и не умеют их продуктами пользоваться.

В рамках дебатов было проведено три раунда диалогов.  В результате зал должен был выбрать, какая из команд показалась более убедительной, и какой из команд аудитория отдала бы условную субсидию в 20 «олимпиардов» — инженерному составу или на развитие кода.

У нас нет возможности останавливаться на всех вопросах, которые прозвучали в ходе дебатов, поэтому мы остановимся лишь на некоторых. Сразу же скажем, что в условном противоборстве, Владимира Дрюков присудил победу дружбе, провозгласив, что победила дружба (хотя итоги голосования зала были несколько иные).

Что важнее: инвестиции в кадры или в разработку?

В этом году резко обострились две важных проблемы, которые существовали, впрочем, и ранее.

Первая – это нехватка кадров. В текущей ситуации наблюдается мощный кадровый отток. В каждой компании это сказывается по-разному. По наблюдениям Владимира Дрюкова, «в "Ростелеком-Солар" программисты сильно нервничают и пытаются релоцироваться, инженеры ведут себя поспокойнее, но отток все равно наблюдается».

При этом кадровая проблема обостряется, потому что уезжают именно те, кто востребован в других странах, в западных компаниях. Возможно это не лучшие, но значимые кадры для современной кибербезопасности, отметил Владимир Дрюков.

Вторая проблема — уход западных вендоров, который обнажил существование ряда технологических лакун и привел к пониманию необходимости инвестирования и создания собственных технологий.

Ведущий обратился к участникам дебатов с вопросом, что в моменте и в дальней перспективе важнее — инвестировать в кадры, в инженерный состав или в разработку и создание собственных продуктов.

«Сейчас идет активное импортозамещение, выпал целый класс решений, который много лет использовался, например, межсетевые экраны. Все в поиске замены таких сложных решений, для работы с которыми потом потребуются специалисты. Для того чтобы появились квалифицированные кадры, сначала должны появиться и внедриться продукты, чтобы на них начать обучать эти кадры. Если инвестировать сначала в инженеров, то с чем они сейчас будут работать? Ситуация такова, что не только ушли вендора, но нас еще заблокировали от технологического стека по многим параметрам, поэтому без достойных инвестиций в разработку не обойтись», — прокомментировал вопрос Антон Иванов.

По словам Игоря Сметанева, зарплатные ожидания стали меньше. Это означает, что крупные игроки наподобие Сбербанка и Ростелекома не будут у небольших технологических компаний переманивать кадры. Соответственно качество кадров и требования по зарплатам придут в состояние равновесия и возникнет возможность привлекать больше ресурсов для того, чтобы делать более качественные продукты.

«Более качественные предложения на рынке труда позволят более качественно распределять ресурсы внутри компании-разработчика», — подчеркнул эксперт.

Для эффективного импортозамещения у нас не хватает базового технологического стека, считает Павел Кузнецов. Это долгосрочная история: необходимо собрать элементную базу, на ней создать аппаратные комплексы и т. д.

«Поэтому с точки зрения вопроса, куда нужно вкладывать средства в моменте, кажется, что не в решения, потому что это "забег в долгую" на 15-20 лет, пока у нас появятся свои процессоры. Но с другой стороны, если не начать вкладывать в это уже сейчас, мы эту 20-летнюю дистанцию не пробежим. Надо вкладываться в продукты, в том числе вкладываясь в людей, которые эти продукты будут создавать и наполнять контентом», — прокомментировал эксперт.

«Наверное, очень печально, что клиентам, у которых не стало межсетевого экрана, ждать, когда разработают отечественные, — высказал свое замечание Алексей Новиков. — Эти задачи необходимо решать до 2025 года, т. е. здесь и сейчас».

По мнению эксперта, если необходимо решать только технические задачи, можно использовать open source.

При самостоятельной разработке продуктов без инженеров и технических специалистов не обойтись, потому что реально они понимают, как этот продукт должен функционировать и как его надо использовать

«Инженеры нужны, потому инциденты случаются, атакуют прямо сейчас и хороший инженер может дать прикурить гильдии программистов, быстро создав решение для работы над конкретным кейсом более качественно, быстро и оптимально», — считает Алексей Новиков.

Иван Мелехин предложил вернуться к изначальному вопросу: кому отдать грант инженерам или разработчикам?

«Давайте посмотрим, что творится на рынке, посмотрим отчеты вендоров о росте их выручки и т. д. По моим ощущениям в настоящий момент вендора сели на трубу с баблом и оно их заливает», — высказал свое мнение эксперт.

Такая ситуация сложилась в связи с тем, что все обязаны импортозаместиться.

«И когда говорят — давайте еще дадим денег программистам — это все равно, что заливать пожар бензином, у них и так денег очень много в текущих условиях», — считает Иван Мелехин.

Даже если организации купят в рамках импортозамещения новые замечательные продукты, а дальше что? Их нужно внедрять, поддерживать, эксплуатировать. И на это может потребоваться больше ресурсов, поскольку они еще не такие зрелые как решения ушедших компаний.

«Во многих странах десятилетиями вкладывают в образование, для того чтобы через какое-то время появились специалисты и они уже шаг за шагом усовершенствовали технологический стек. Безусловно, если смотреть фундаментально, нужно развивать человеческий ресурс», — заявил Алексей Мальнев.

Эксперт отметил, что компании делятся на доноров и паразитов с точки зрения кадрового рынка.

«Есть подход, когда некоторые компания вкладываются в студентов, стажеров, практикантов, способствуют их многолетней подготовке. Другие компании просто «хапают» с рынка этих людей, переплачивая им. Эти компании обладают хорошими ресурсами, но не хотят вкладывать средства в свои школы, институты, что очень печально. И данная тенденция больше свойственна для вендоров. Сервис-провайдеры, которые должны решать задачи "здесь и сейчас", в большей степени являются донорами кадрового рынка», — рассказал Алексей Мальнев.

21 ноября, 2022

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

28.03.2024
Аитов: Ограничения Samsung Pay на использование карт «Мир» можно обойти
28.03.2024
Киберпреступления — 35% всех преступлений в России
28.03.2024
Почему путешествовать «налегке» не всегда хорошо
28.03.2024
«Тинькофф»: Несколько платёжных систем лучше, чем одна
27.03.2024
Samsung Pay перестанет дружить с «мировыми» картами
27.03.2024
Канадский университет восстанавливает работу после ИБ-инцидента
27.03.2024
Crypto Summit 2024. Трейдинг, майнинг и перспективы развития рынка ЦФА
27.03.2024
РКН начал работу по контролю за «симками» иностранцев
26.03.2024
Регулятор порекомендовал банкам и МФО списать долги погибших в теракте
26.03.2024
Хакеры не оставляют Канаду в покое

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных