Хвастунова Ольга
обозреватель (BIS Journal)
Новейшие зарубежные политики подготовки кадров подразделений IT-безопасности кредитно-финансовой сферы
Характерным трендом последних лет является то обстоятельство, что многие компании по всему миру активно вкладывают деньги в улучшение своей информационной безопасности, чтобы защитить себя от хакерских атак, масштабы и частота которых продолжают увеличиваться. По оценке исследовательской компании Gartner, только в этом году расходы в мире на поддержание ИБ составят около $70 млрд, на 7,9% превысив уровень 2013 года. При этом особенно высокими темпами будут увеличиваться расходы на предотвращение утечек информации, которые возрастут на 18,9%.
НИКАКИХ ДЕНЕГ НЕ ЖАЛКО
Рост расходов на информационную безопасность отмечают и аналитики исследовательской компании Forrester Research. Ими были опрошены более 2000 специалистов в области компьютерной безопасности, представляющих самые разные фирмы. 46% из них прогнозировали увеличение бюджетов на защиту данных в корпоративной сети в течение 2014 года. В прошлом году эти затраты составили примерно 21% от общих расходов на безопасность предприятий. При этом 45% предприятий планируют тратить больше денег на повышение уровня знаний своих специалистов по информационной безопасности.
С другой стороны, в ходе опроса, проведённого британской аудиторской и консалтинговой компанией E&Y (Ernst & Young) среди 1900 представителей высшего руководства фирм, выяснилось, что 93% компаний сохраняют значительный объём инвестиций в средства безопасности или наращивают его. Тем не менее, 83% опрошенных не удовлетворено работой внутренних служб, а 31% респондентов сообщили: за последний год количество инцидентов выросло как минимум на 5%.
По данным обзора информационной безопасности за 2014 год, выпущенного компанией Pricewaterhouse Coopers (PwC) под названием «Global State of Information Security Survey 2014», в Северной Америке в 65% организаций имеется штатный руководитель такой службы – CISO (Chief Information Security Officer). В Европе этот показатель ещё выше – 68%. В то время как в Азиатско-Тихоокеанском регионе и странах Южной Америки он достигает 74% и 75% соответственно.
Проведенная в последнее время серия кибератак, направленных, прежде всего, против американских банков, продемонстрировала степень серьёзности угроз, которым подвергается весь мировой финансовый сектор. Так, число атак, в которых против банков применялись так называемые «финансовые трояны», за последний год выросло в 3 раза. В докладе корпорации Symantec, опубликованном в конце прошлого года, отмечается, что только антивирусными средствами этой компании были обнаружены «троянские» вирусы, применявшиеся против более чем 1400 финансовых организаций. Основной мишенью стали американские банки, на долю которых приходится более 71,5% всех случаев.
В связи с этим вполне логично, что в повышении уровня информационной безопасности больше других заинтересованы представители банковского сектора. Как прогнозируют специалисты аналитической компании International Data Corporation (IDC) , затраты на информационные технологии должны были вырасти на 4,2% в 2014 году и составить $430 млрд. Ожидается, что размер этих инвестиций превысит $500 млрд к 2020 году. И если 5 лет назад на нужды защиты информации выделялось около 8% IT-бюджетов, то сегодня этот показатель находится уже на уровне 10–11%, при всём ужесточении контроля целевого расходования этих средств.
Постоянно растущая сложность угроз, с одной стороны, и, с другой, необходимость обеспечивать банкам доступ к информационным ресурсам ставят перед ними множество вопросов. Как определить угрозу? Как обеспечить непрерывную защиту среды, не заставляя службу ИБ работать 24 часа в сутки? Как должна строиться IT-инфраструктура финансовой организации, чтобы соответствовать требованиям законодательства?
По мнению Ричарда Арчдикона, руководителя департамента стратегий безопасности компании HP Enterprise Security , в современных условиях невозможно обеспечить тотальную безопасность, поэтому вместо старого, универсального подхода, подходившего на все случаи жизни, необходимо выработать новый, более прагматичный. Должна учитываться та ситуация, что риск-менеджеры и руководители служб информационной безопасности вынуждены решать всё более сложные задачи: быть частично техническими специалистами, частично юристами и по совместительству психологами. Они также обязаны знать особенности соблюдения законодательства в различных странах, так как даже такие простые правила, необходимые для финансовых операций, как уровень защиты паролем, могут значительно различаться.
ТОТАЛЬНЫЙ КАДРОВЫЙ ГОЛОД
Таким образом, современный подход в области подготовки и отбора кадров для служб информационной безопасности, по мнению западных экспертов, заключается в том, чтобы на должности сотрудников и руководителей этих служб подбирались люди, которые обладают знаниями во многих сферах обеспечения безопасности. В то же время, налицо дефицит специалистов, обладающих подобными компетенциями.
По прогнозам экспертов, в 2012–2017 годах в целом по миру потребность в специалистах в области ИБ будет возрастать ежегодно на 13,2%. Уже сегодня в этой отрасли работает 4,2 млн человек. В странах Северной и Южной Америки спрос на профессионалов в области ИБ, как ожидается, будет расти на 12% ежегодно, и уже в следующем году составит 164 000 рабочих мест. По данным Европейской Комиссии , к 2020 году в европейской IT-отрасли будет занято около 900 000 специалистов. При этом только в Великобритании к 2017 году необходимо подготовить дополнительно 745 000 таких работников.
В то же время, анализ официальных статистических данных по выпускникам вузов, проведенный экспертами Международного консорциума по сертификации систем информационной безопасности (International Information Systems Security Certification Consorcium – (ISC) 2 ) позволил сделать интересные выводы. Оказывается, число тех, кто в 2013 году, получив диплом по компьютерной специальности, пришел работать в IT-отрасль США, составило всего 7 635 человек. Из них только 0,6% заняли должности, связанные с обеспечением информационной безопасности.
Особенный дефицит ощущается в заполнении вакансий высококвалифицированных специалистов, способных решать наиболее сложные задачи, а также в низовом звене специалистов информационной безопасности, так как число выпускников по этим специальностям крайне мало. Так, по оценке эксперта информационной безопасности Джеймса Гослера, экс-сотрудника Центрального разведывательного управления США, в 2012 году по всей стране не более 1 000 человек обладали необходимыми навыками для успешного решения таких задач.
В то время как государственным учреждениям и бизнес-структурам требуется не менее 30 000 специалистов для поддержания IT-безопасности на уровне современных требований. В свою очередь, эксперты (ISC) 2 считают, что количество таких специалистов должно быть на порядок выше.
Такой разброс в оценках экспертов объясняется просто: они говорят о разных сотрудниках. Понятно, что Дж. Гослер имел в виду, прежде всего, сотрудников подразделений информационной безопасности, хорошо подготовленных в техническом отношении, и так называемых этических хакеров, досконально знающих особенности систем ИБ-обеспечения. А специалисты (ISC) 2 ведут речь о сотрудниках, отвечающих за выполнение требований регуляторов и организующих повседневную деятельность служб информационной безопасности.
ДИЛЕТАНТЫ ОСТАНУТСЯ ЗА БОРТОМ
С другой стороны, существует серьезная обеспокоенность по поводу уровня подготовки кадров в учебных заведениях. Так, эксперты (ISC)2 отмечают недостаточную подготовленность выпускников компьютерных факультетов университетов и колледжей к решению на современном уровне задач, ставящихся работодателями. В первую очередь, это связано с низким качеством вузовских программ по компьютерным дисциплинам. Работодатели в ведущих компаниях, в частности, отмечают, что выпускники вузов слабо подготовлены к работе на уровне современных требований в области информационной безопасности, так как на эту проблематику отводилось менее 5% учебного времени.
К примеру, эксперт по вопросам IT-рисков и безопасности крупнейшего швейцарского банка UBS AG , отмечает, что большинство выпускников, получивших дипломы британских вузов по компьютерным специальностям, уделяли недостаточно времени изучению основополагающих принципов информационной безопасности. В качестве выхода западные эксперты предлагают наладить более эффективное сотрудничество между образовательными учреждениями, правительственными ведомствами (прежде всего, спецслужбами) и бизнесом.
Учитывая растущие риски информационной безопасности, обусловленные расширением масштабов распространения мобильных и облачных технологий, можно прогнозировать рост спроса на специалистов, обладающих практическими навыками в этой области. А также выстраивание более тесных связей между образовательными учреждениями и работодателями, что будет иметь решающее значение для обеспечения кадрами, способными снижать эти риски.
По мнению американских экспертов в IT-безопасности, в США необходимо сформировать такую систему подготовки кадров, которая будет способна оперативно реагировать на запросы бизнеса. Для достижения этой цели частным компаниям предлагается более тесно взаимодействовать с вузами в вопросах целевой подготовки будущих выпускников, в том числе за счет предоставления им возможности стажировки. В частности, компания Dell SecureWorks уже работает в этом направлении с такими высшими учебными заведениями как Georgia Institute of Technology , Rochester Institute of Technology и Purdue University .
Тем не менее, по мнению исполнительного директора (ISC) 2 Хорда Типтона , этих мер недостаточно. Он считает, что и правительственные структуры, и бизнес должны прилагать больше усилий для подготовки будущих кадров на еще более ранних этапах обучения, начиная практически со школьной скамьи.
МАССИРОВАННАЯ ПОДГОТОВКА
Позитивные примеры эффективного сотрудничества имеются и между другими государственными и деловыми структурами. Федеральное бюро расследований с 2002 года развивает партнерские соглашения с Национальным институтом стандартов и технологий США (The National Institute of Standards and Technology – NIST) , который выступает спонсором семинаров по компьютерной безопасности и предоставляет онлайн-поддержку бизнеса через программу InfraGard. На эти семинары, организуемые по всей стране, приглашаются эксперты, которые знакомят участников с главными угрозами и уязвимостями в данной области. И, кроме того, доводят до них информацию, касающуюся средств и методов, используемых для решения возможных проблем с безопасностью.
За последние годы число участников программы InfraGard значительно выросло и в настоящее время превышает 40 000 человек. Недавно к программе присоединилось Министерство национальной безопасности США (Department of Homeland Security – DHS) , которое взяло на себя обязательства по проведению семинаров и конференций по IT-безопасности с участием представителей различных правительственных ведомств и бизнес-структур.
На средства, выделенные по этой линии, недавно созданная организация Совместное партнёрство по проблемам критической инфраструктуры (Critical Infrastructure Sector Partnership – CISP) может проводить до 5 региональных конференций в год, не считая мероприятий на местах. Главной целью реализуемой партнёрством программы является дальнейшее расширение информационного потока, адресованного частному сектору. Не только за счёт расширения членства в InfraGard, но и за счёт вовлечения в рабочие процессы руководителей местных объектов критической инфраструктуры и ключевых ресурсов, что позволит улучшить их информированность о ключевых инициативах в области безопасности.
Кроме того, аналогичная деятельность ведётся и в рамках Национального союза по расследованию киберпреступлений и подготовке кадров (National Cyber-Forensics and Training Alliance) . Ещё одна американская неправительственная организация, занимающаяся проблемами IT-безопасности – Американский совет по вопросам кибербезопасности (US Council on Cyber Security) – разработала программу «Американский кибервызов» (US Cyber Challenge) , в рамках которой планируется отобрать 10 000 перспективных студентов и дать им соответствующую профессиональную подготовку. Проводя целевые конкурсы в университетах, колледжах, школах и летних лагерях, а также организуя ярмарки соответствующих рабочих мест, Американский совет по вопросам кибербезопасности рассчитывает сделать профессию специалиста IT-безопасности более популярной.
ПРОБЛЕМА, ПРЕВРАТИВШАЯСЯ В КЛЮЧЕВУЮ
В Великобритании спецслужба GCHQ (Центр правительственной связи) , занимающаяся радиоэлектронной разведкой, аккредитовала ряд британских университетов, которые будут готовить дипломированных специалистов в области информационной безопасности. Выпускать дипломированных специалистов разрешено университетам Ланкастера, Лондона, Оксфорда, Эдинбурга и Королевскому колледжу Холлоуэй . Предварительную аккредитацию получили также университеты Кренфилда и Суррея.
Выпускники университетов получают магистерские степени. Учебными планами предусматривается проведение занятий по так называемому этическому хакерству, в ходе которых студенты будут пытаться взломать информационные системы, одновременно обучаясь их защите. Кроме того, ими будут отрабатываться вопросы проведения расследований утечек информации с целью установления, какая именно информация попала в руки злоумышленников в результате кибератаки.
Обучение будет проводиться на основе принципов стратегии IT-безопасности, принятой правительством страны в 2011 году. Согласно документу, увеличение числа специалистов, получающих специальное образование в области информационной безопасности, позволит повысить уровень защиты IT-инфраструктуры Великобритании от хакеров и онлайн-мошенников. Разведслужба GCHQ собирается противостоять киберугрозам в тесном взаимодействии с другими государственными ведомствами, частными компаниями и научными кругами.
По мнению Джона Колли, управляющего директора (ISC) 2 по Европе, Ближнему Востоку и Африке , проводя подобный курс, Великобритания следует по пути, проложенному США. Однако одних этих мер, как он считает, недостаточно. Прежде всего, необходимо ввести обязательный курс обучения информационной безопасности, главным образом для специалистов IT-отрасли. Следующим шагом должно быть усиление кадрового состава сотрудников служб IT-безопасности в низовом звене. И, наконец, одним из важнейших направлений должна стать деятельность по популяризации профессии специалиста в информационной безопасности.
Таким образом, практика последних лет показывает: подготовка специалистов в области IT-безопасности стала одной из ключевых проблем обеспечения успешной деятельности государственных и бизнес-структур. В условиях возрастающей активности киберпреступников эта проблематика становится особенно актуальной для банков и финансовых организаций. Все более популярным становится подход, согласно которому специалиста в области информационной безопасности, способного в последующем заниматься обучением сотрудников своей службы, можно подготовить только в рамках целенаправленного очного обучения.
Почти повсеместно достигнуто понимание того, что в рамках соответствующих программ будущим специалистам необходимо досконально изучить особенности правового и нормативного регулирования деятельности по обеспечению ИБ, научиться анализировать основные угрозы и риски, связанные с безопасностью информационных ресурсов компании, овладеть различными методами и способами защиты информации.
Сторонников точки зрения, гласящей, что справиться с задачей обеспечения информационной безопасности компании может практически любой человек, знакомый с информационно-коммуникационными технологиями и способный установить и настроить необходимые программные и аппаратные средства, становится всё меньше.
В противоположность, всё большее распространение получает взгляд на проблему защиты информации и обеспечения информационной безопасности как комплексную проблему, для решения которой от сотрудников требуется не только знание технологий, но и основ менеджмента, юриспруденции, социологии и психологии.