«В стране нет общенациональных стандартов оценки уровня подготовки специалистов»
Каким должен быть специалист по информационной безопасности обсудили участники круглого стола «А бизнес против!?», который прошел на Федеральной территории «Сириус» в рамках конференции «Кадры и образование по ИБ в России: настоящее и будущее».
Тон дебатам задали модераторы дискуссии Дмитрий Гусев, заместитель генерального директора АО «ИнфоТеКС», и Мария Сигаева, директор центра кадровой экспертизы PT Career HUB компании Positive Technologies. Так ли все хорошо в системе подготовки кадров и стоит ли подождать год-другой для решения всех проблем, о чем рапортуют представители регуляторов и ФУМО ВО и СПО?
Во сколько оценивается подготовка молодого специалиста, только что покинувшего стены учебного заведения, его потенциальными работодателями и когда он будет готов приступить к самостоятельной работе? По словам Павла Кузнецова, директора по продуктам ООО «Гарда Технологии, в организации принято концептуальное бизнес решение принимать на работу специалистов уровня middle, с опытом практической работы, поскольку существует разрыв между качеством подготовки выпускников и их обязанностями по работе.
«Человек заинтересованный, искренне стремящийся к знаниям, находящий знания везде, на практике, в интернете, в среднем будет готов к самостоятельной работе через год. С опытом работы до года или без опыта практической работы выпускников вуза уровня junior брать не получается. Разрыв очень высок», — утверждает Павел Кузнецов.
Руководитель Управления безопасности приложений АО «Тинькофф Банк» Николай Исламов согласился с коллегой, отметив, что подготовка молодых специалистов для самостоятельной работы занимает в банке до полутора лет. У «Тинькофф» налажено взаимодействие с вузами, есть финтех школа, учебные программы, в т. ч. на территории «Сириуса». Выпускников программ приглашают на стажировку, однако человек становится полноценным членом команды после получения опыта практической работы. Достижения оцениваются по итогам внутренней аттестации. Экономическая выгода, которая видна с первых дней, отражается в отчете PNL, где учитываются не только расходы на подготовку специалиста, но и прибыль от неполученных штрафов регуляторов, предотвращенных или недопущенных хакерских атак и иных рисков.
О подходе интегратора рассказал Денис Дубицкий, руководитель направления Аттестации и Специальных проектов Т1. Компания использует разные подходы к обучению для имеющих или обучающихся по ИБ, есть практика преподавания сотрудниками компании в организациях высшего, среднего специального и дополнительного образования. Оттуда идет выбор потенциальных кандидатов. Спикер отметил, что знаком с рынком труда и дефицитом кадров в ИБ. «Иногда находятся «бриллианты» — выпускники вузов и колледжей с пониманием и умением в рамках практических занятий, внеклассной работы или самоподготовки. Было бы желание, — подчеркнул Денис Дубицкий. — Однако опыт показывает, что претендовать на должность и уровень запрашиваемой зарплаты могут 1-4 человека из группы человек в 25». У компании есть возможность привлечения кандидатов к работе внутри проектов для получения практического опыта, подчеркнул спикер.
Отвечая на вопрос модераторов о критериях оценки уровня знаний молодых кадров, Антон Сергеев, советник МИЭМ НИУ ВШЭ, отметил, что в стране нет общенациональных стандартов оценки уровня подготовки специалистов. В 2015 г. нечто похожее на контроль качества подготовки было собрано в системе СПО. Это система профессиональных чемпионатов мастерства по всем направлениям подготовки кадров и гармонизированный экзамен выпускников колледжей в рамках стандарта спецификаций. На сегодня это — единственный общенациональный стандарт для оценки практики, когда выпускник СПО по направлениям инфобеза, помимо диплома, в течение шести часов выполняет работу по защите с использованием средств защиты информации. Этот опыт уже скопирован такими странами как Казахстан и Китай.
Как показывает статистика, навыки выпускника колледжа порой выше навыков выпускника бакалавриата и магистратуры. Статистка по ИТ и ИБ-направлениям и опыт коллег показывают отсев кандидатов на уровне 80%. При этом процент трудоустройства выпускников колледжей растет. Но есть сдерживающие факторы — квалификационные требования специальностей ИБ по ФГОС от 2009 г., которые определяют выпускника СПО по направлениям 10.00.00 как специалиста уровня «техник». Поэтому молодые люди вынуждены поступать в университеты на заочное обучение и идти на работу как студенты для соответствия требованиям ФГОС при работе в госорганизациях.
Участники круглого стола отметили, что ранее регуляторы заявляли готовность пойти на пересмотр требований к уровню подготовки специалистов в области ИБ, оставив требования к высшему образованию только для сотрудников, работающих с КИИ.
Бурную дискуссию участников круглого стола и присутствующих в зале вызвал вопрос «Кто нужен разработчикам, интеграторам и эксплуатантам?». В предлагаемых регуляторами учебных программах по ИБ вызывает недоумение деление на направления, идет защита одной и той же инфраструктуры, разница в конечных бизнес-решениях (банки, вендоры) и рисках. Но программы разные, хотя отличаются минимально. Отдельный сегмент — ИБ АСУ ТП и методы криптографической защиты информации, которые имеют свою специфику и выходят за рамки дискуссии.
Компания Positive Technologies создала свою матрицу компетенций с использованием зарубежного опыта требований к специалистам по ИБ и разложила на ней один из девяти отечественных профстандартов, рассказала Мария Сигаева. Оказалось, что он «размазывается» по всем блокам и частично не закрывает требования к работам по ИБ.
О схожей позиции под другим углом зрения рассказал и Денис Дубицкий. По его мнению, нужны разные специалисты по защите в зависимости от инфраструктуры. Необходимо моделирование угроз для определения, какие угрозы актуальны для объекта. «Можно вложить много ресурсов, но не закрыть один канал и поставить под угрозу всю систему», — отметил Денис Дубицкий. Выпускников надо готовить под конкретные задачи, если есть специалисты, преподаватели и соответствующие практики.
В споре о том, что насколько целесообразно давать выпускнику университета фундаментальное техническое образование и стоит ли закладывать специализацию в вузе, приняли активное участие присутствующие в зале слушатели.
Евгений Хасин, заместитель директора Департамента обеспечения кибербезопасности Минцифры России, считает, что нужен специалист с базовым техническим ИТ-образованием, полученным в первые два года обучения, который будет специализироваться по одному из ИБ направлений. Необходим практико-ориентированный подход не как широкий спектр знаний, а как усвоение фундаментальных принципов и готовность создавать новые решения и двигать инфобез как науку и практику, отметил представитель Минцифры.
За исключение «ненужных» для инженера ряда технических и гуманитарных дисциплин из программы подготовки высказался Антон Сергеев. Он отметил, что за первые два года подготовки по фундаментальной программе студенты, поступившие на ИБ направления, не получают знаний по выбранной специальности и бросают учебу. По его мнению, при возвращении на программы специалитета ситуация не изменится и количество часов практической работы не увеличится. И если федеральные университеты, которых мало в общем числе вузов, еще смогут пробить свои программы, то региональные учебные заведения пойдут по программам ФГОС и в подготовке специалистов ничего не поменяется.
В защиту классического подхода к подготовке специалистов с высшим образованием выступил Артем Сычев, советник генерального директора Positive Technologies. Он отметил необходимость подготовки всесторонне развитого специалиста, способного вести диалог с разной аудиторией в различных ситуациях, а не просто получившего образование по ИБ, которому не нужна физика для ловли хакеров. Это касается всех направлений обучения.
Отдельный вопрос — обучение специалистов по ИБ для работы в отраслях, где требуется знание специфики работы в конкретной сфере. В ряде отраслей эта проблема успешно решена. Где-то стоит готовить инженеров узкого профиля с последующим погружением в вопросы ИБ, считают участники дискуссии.
Участники круглого стола предложили создать рабочую группу из представителей отрасли ИБ, которая в тесном сотрудничестве с регуляторами и ФОИВ будет формулировать запрос на направления подготовки и специальности по направлению «Информационная безопасность».