изображение создано нейросетью
Информационная безопасность давно перестала быть темой для узких специалистов. Сегодня это поле пересечений технологий, бизнеса, регуляторов и обычных пользователей. Кто кого побуждает к действию? Кто тормозит? Где взять людей, которые действительно разбираются, а не просто ходят с дипломом? И можно ли вообще быть в безопасности, если гарантии не дает никто? Об этом говорили участники круглого стола «ИБ 360°», организованного IT-World и сообществом ИТ-Диалог.
Содержание:
Когда регулятор не надзор, а навигатор
Когда речь заходит о кибербезопасности, редко вспоминают эмоции. Но именно с них начался виртуальный круглый стол «ИБ 360°», организованный IT-World и сообществом ИТ-Диалог. «Если не экспертно, то хотя бы эмоционально», — предложил модератор Рустэм Хайретдинов. И разговор сразу свернул с формального пути.
Первый вопрос: государственное регулирование — это головная боль или все-таки спасение для бизнеса? Тема, которую бизнес часто воспринимает как угрозу, а вот вендоры — неожиданно как точку опоры.
Даниил Бориславский
Для производителей решений в сфере ИБ наличие стандартов — это не просто формальность, а способ сделать рынок чище и понятнее. Именно так это видит Даниил Бориславский (Staffcop, СКБ «Контур»). Потребителю нужен ориентир, что-то, чему можно доверять. А когда каждый пишет свою методику «на коленке», ни о какой прозрачности и доверии к продукту говорить не приходится. В этом смысле государственное вмешательство не выглядит злом, а скорее необходимой архитектурой.
Да, есть риск перегнуть и задушить инновации. Но пока, по мнению Даниила, регулирование скорее дисциплинирует, чем мешает. Оно вынуждает строить процессы, а не клеить фичи на скорую руку.
Если для вендоров регулирование — ориентир, то для частного бизнеса оно все чаще становится лабиринтом с кнутом на выходе. В обсуждении это прозвучало четко: правила множатся, а ресурсы, чтобы им соответствовать, не появляются по щелчку. Зато появляются штрафы. И угрозы пострашнее.
Компании сталкиваются с тем, что выполнить все невозможно. А не выполнить — опасно. Иван Козлов, (ГК «Латео») честно назвал ситуацию парадоксальной: «Советуются с нами много, но если не сделаешь, получишь кнута». И это вовсе не метафора. Вскоре за нарушения в работе с персональными данными может появиться уголовная ответственность. Но дело не только в эмоциях. Регулирование действительно помогает сдвинуть внутренние процессы. Александр Васильев, («Невский экологический оператор») объяснил: «Как только в финансовом блоке слышат про оборотные штрафы, тут же появляются бюджеты на безопасность». По-другому в большинстве компаний до сих пор не работает.
Вот только деньги сами по себе не гарантируют эффективности. Слишком часто они уходят не на реальную защиту, а на выполнение формальных требований — чтобы отчитаться, а не защититься. Так рождается вторая реальность: бумажная безопасность, которая требует не меньше усилий, чем настоящая. А иногда и больше.
Алексей Воронцов
Есть еще одна перспектива — взгляд технологических консультантов. Алексей Воронцов (Cloud Networks) обозначил свою роль четко: «Мы не вендоры и не клиенты. Мы между. Те, кто видит обе стороны и работает на стыке интересов». Именно с этой позиции он описал ситуацию, от которой у многих безопасников начинает дергаться глаз.
С одной стороны, государственное регулирование — благо. Без него многие ИБ-отделы так и остались бы с нулевыми бюджетами. Когда появляется угроза штрафов, появляются и деньги. Но у этой монеты есть и другая сторона. Сертификация решений, по сути, заменяет осмысленный выбор. Многие заказчики ориентируются исключительно на наличие сертификата, при этом неважно, что за продукт перед ними. Главное, что бумага есть. В результате компании закупают формально «безопасное» ПО, которое в реальности просто «мигает лампочкой», а на фоне продолжают использовать «старые, западные, протухшие лицензии». Безопасность становится декорацией — в ней играют, но не живут.
И в этой декорации государство иногда выглядит как еще один фактор риска. Не регулятор, а почти нарушитель, от которого тоже надо защищаться.
Егор Леднев (RooX) предложил взглянуть на проблему через человеческий фактор, ведь именно люди в ИБ-отделах принимают решения. Он разделил всех безопасников, с которыми сталкивался в проектах, на три типа. Первые — бюрократы с абстрактными требованиями, не привязанными к задачам проекта. Вторые — «запретители», которые просто говорят «нельзя» и исчезают, не объяснив, что именно нужно. А вот третьи — редкие, но ценные: включенные, конструктивные, способные предложить решение, а не просто палки в колеса. Именно третий тип, по мнению Егора, как раз и соответствует духу ГОСТа по безопасной разработке: «Это не про ограничения, это про понимание. Не про диктат, а про внятный путь, как сделать хорошо и правильно».
Как регулирование может работать, а может мешать
В обсуждении нормативки прозвучала попытка примирить бумажную и реальную безопасность. Документы, созданные не ради галочки, а как результат анализа рисков, могут стать полноценной частью защиты. Не обузой, а архитектурным элементом системы ИБ.
Все зависит от подхода: если бумага создается как результат анализа рисков, а не как обоснование перед регулятором, она становится частью настоящей защиты. Не просто текстом, а основой архитектуры ИБ в компании. Но тут есть и другая грань, когда регулирование «обгоняет рынок». Требования заданы, но ресурсов на их выполнение нет. Так произошло, например, с указом 250: нормы есть, а выполнение остается на критически низком уровне. В таких случаях правило теряет статус ориентира и начинает восприниматься как источник давления — и даже отторжения.
В практике Кирилла Строганова (ОБИТ) — множество клиентов, которые формально не подпадают под жесткое регулирование. Ни тебе критической инфраструктуры, ни персональных данных. Но именно в этом бизнесе и происходит то, чего все боятся: инциденты, заражения, утечки.
Здесь проявляется уязвимость всей экосистемы. Потому что, как напомнил Кирилл, ИТ-ландшафт связан: «Скомпрометировал одну систему — пролез в другую». Если защита базового бизнеса хромает, она становится точкой входа в куда более чувствительные зоны. Читайте также
Безопасность цифрового рубля и трансформация платежного рынка: круглый стол IT-World Цифровой рубль, пожалуй, самая актуальная и обсуждаемая тема сегодня в профессиональном финтех сообществе. Что стоит за переносом массового запуска проекта, какие рыночные сегменты займет цифровой рубль, как он трансформирует платежное пространство и какие риски несет – все эти темы обсуждали спикеры круглого стола IT-World.
Отсюда — призыв к следующему шагу: отраслевому регулированию. Оно пока слабо проработано, но именно такой подход мог бы дать шанс внедрять ИБ-гигиену там, где пока на нее просто закрывают глаза. Не жесткими мерами, а хотя бы за счет поддержки. Потому что слабое звено может оказаться где угодно, даже в тех, кто по документам вообще «ни при чем».
Почему инвестировать в безопасность все еще не очевидно для бизнеса
Зачем платить за защиту, если никто не может дать гарантий? Ни вендоры, ни интеграторы, ни консультанты — никто не обещает, что «если вы все сделаете правильно, вас не взломают». А если гарантии нет, логика предпринимателя проста: почему бы не сэкономить? «Наша общая боль в том, что никто в индустрии не дает гарантий, — резюмировал модератор Рустэм Хайретдинов. — Даже сертифицированные решения, даже аттестации не защищают на 100%».
Именно поэтому безопасность так часто остается в списке «второстепенных» расходов — особенно там, где деньги приносит не ИТ. За сайт, мобильное приложение или кассовое ПО бизнес готов платить: отдача видна сразу. А вот безопасность воспринимается скорее как страховка на случай конца света. Платить вроде бы нужно, но в ее необходимость по-прежнему мало кто верит.
Александр Васильев
И все же инструменты влияния есть. Один из них — оцифровка последствий. Не рассказывать, как страшен фишинг, а показать, сколько стоит неделя простоя, потеря клиентской базы или штраф за утечку.
«Если оцифровать ущерб, то бизнес сам все поймет, — отметил Александр Васильев, — иногда проще закрыть компанию, чем пережить такой инцидент». Именно так у ИБ-отделов появляется шанс быть услышанными. Не пугать, а объяснять. Не абстрактной статистикой, а конкретными суммами: в той валюте, в которой мыслит бизнес.
Киберинциденты, как известно, шокируют бизнес — но редко надолго. «После истории со СДЭКом у нас было море обращений: “Сделайте, чтобы не как у них”. Но до проекта не дошел никто, — признался Рустэм Хайретдинов, — болит очень недолго». И это, пожалуй, срез всей проблемы: безопасность вспоминают по факту. И очень быстро забывают, если гром не грянул над твоей головой.
Пока ИБ-функция защищает «конфиденциальность», бизнес страдает от «доступности». Простои, остановки, сбои в работе критичных сервисов — вот чего реально боятся руководители. «Мы слишком часто защищаем не от того, чего боится бизнес, — отметил Рустэм. — Он боится недоступности. А мы все про утечки».
Это расхождение не просто культурное. Оно стоит бюджета, внимания и авторитета. Пока безопасность говорит о «триаде» (конфиденциальность, целостность, доступность), бизнесу нужно одно: чтобы все работало.
Решение, которое прозвучало в дискуссии, простое и сложное одновременно: строить защиту не ради принципов, а ради процессов. В основе должна быть непрерывность, устойчивость и реальное понимание, какие риски ведут к каким потерям. Не по учебнику, а в конкретной компании, в конкретной ситуации. Только тогда ИБ перестанет быть «просьбой о финансировании» и станет элементом нормальной операционной модели.
Ольга Копейкина
Вопрос, как убедить бизнес тратить на безопасность, вновь вышел на первый план, но теперь с другого конца. Цифры, угрозы, регламенты важны, но далеко не всегда работают. Иногда срабатывает не модель угроз, а простая метафора: дверь без замка. И да, никто не гарантирует, что воры не придут. Но оставлять вход открытым — глупо.
«Мы ведь не ставим замок на дверь с мыслью, что к нам точно залезут, — объяснила Ольга Копейкина (AKTIV.CONSULTING). — Но жить без замка странно. С ИБ та же логика». ИБ по-прежнему говорит на языке уязвимостей, а бизнес на языке вероятностей и денег. И тут важно не только уметь переводить одни понятия в другие, но и правильно выбрать интонацию. Не запугивать, а объяснять. Не нагнетать, а демонстрировать. Показывать, сколько стоит простой, сколько — инцидент, и что дешевле: потерять все или немного вложиться в защиту.
Параллельно прозвучала и другая важная мысль: быть на шаг впереди — не значит быть непробиваемым. Это значит быть не самой легкой мишенью. Иногда достаточно выстроить защиту так, чтобы взламывать было невыгодно. «Нет смысла бежать быстрее медведя. Надо бежать быстрее коллег», — заметил Иван Козлов. И бизнесу такая логика ближе, чем модели угроз. Отсюда и необходимость отраслевых ориентиров, чтобы понимать, где ты на фоне других. Не уходить в дебри матмоделей, а просто знать: что является нормой, а что — опасным отставанием.
Хочешь пробить проект — добавь слово «безопасность»
Безопасность давно перестала быть просто функцией. Ее начали использовать как политический аргумент, как рычаг и как страшилку. На круглом столе прозвучало это без прикрас: «Хочешь закошмарить бизнес — напиши, что проект устраняет риски безопасности». И, как ни странно, это до сих пор работает.
Роман Цыганков
Но не у всех. Роман Цыганков («Автозавод Санкт-Петербург») предложил более честный подход. Вместо манипуляций — разбор приоритетов. Вместо дежурных лозунгов — прямой разговор с бизнесом. Что критично? Где находится то самое «яйцо Кащея»?
«Все защитить невозможно. Поэтому мы идем от конкретного: производственный контур, клиентские данные. Вот это и есть настоящая зона риска». Читайте также
Что получает малый и средний бизнес от внедрения ИИ? Искусственный интеллект уже не просто модный тренд, а насущная необходимость для бизнеса любого масштаба. Благодаря развитию Open Source-моделей и доступности технологий, ИИ-инструменты становятся реальностью даже для малых и средних компаний. В материале IT-World — реальные кейсы от студентов AI Talent Hub, которые показывают, как с помощью ИИ автоматизировать процессы, экономить ресурсы и ускорять рост бизнеса.
Безопасность, по его словам, нельзя рассматривать как монолит. Она должна собираться по частям, как сложный механизм. По шагам, с понятной логикой и с прямой пользой для бизнеса. Но и такой подход требует зрелости. Как от ИТ-директора, так и от топ-менеджеров. Даниил Бориславский напомнил: на страхе далеко не уедешь. Да, можно продать проект, можно выбить деньги, но крепкие отношения с бизнесом так не построишь. «Я за то, чтобы показывать, где безопасность помогает экономить, где ускоряет процессы, где дает конкурентное преимущество. Страх — штука краткосрочная».
И кажется, бизнес постепенно начинает это понимать. Все чаще в корпорациях звучит не «зачем нам ИБ», а «как встроить ее в процессы так, чтобы она не мешала, а помогала».
Пентест как ограбление по сценарию
Если угрозы долго не реализуются, у бизнеса возникает закономерный вопрос: а может, опасности и нет? Именно в этом — корень системного недоверия к безопасности. В банковской сфере, как пошутил модератор Рустэм Хайретдинов, никто не отменяет инкассаторов, даже если 10 лет ни одного ограбления. А вот в ИБ — пожалуйста: «Зачем нам все эти броневики, если у нас тишина?»
Именно поэтому в какой-то момент на рынке расцвела целая индустрия пентестов, отчасти как замена реальным инцидентам. Проверка на прочность, в которой уязвимость ищут не злоумышленники, а партнеры. Такая «контролируемая атака» вроде бы должна внушать доверие. Но вызывает новые вопросы: это реальный инструмент повышения устойчивости или просто симуляция угрозы для обоснования новых затрат?
«Как только ты почувствовал себя в безопасности — это первый признак, что пора проверяться», — напомнил Роман Цыганков.
В 2022 году многие компании буквально захлестнуло волной атак. Шок прошел быстро. Уже к концу года 500 попыток взлома в неделю воспринимались как фоновый шум. Наступило то самое опасное чувство: «вроде все нормально». Именно в такие моменты регулярная проверка становится не формальностью, а актом выживания.
Но и здесь есть подводные камни. Александр Васильев обратил внимание на опасную практику: когда один и тот же подрядчик и строит защиту, и сам же ее тестирует. Это как дать сценарий ограбления начальнику охраны и попросить его же организовать налет. Проверка теряет смысл. «Тот, кто ставит забор, не должен быть тем, кто проверяет, можно ли через него перелезть», — подчеркивает он.
Кирилл Строганов
Пентест — это не демонстрация угроз, а техосмотр. Не повод для паники, а способ обнаружить, что где-то ржавчина. И если бизнес хочет сэкономить на реальных инцидентах, проще заплатить за симулированный. Потому что в этом сценарии есть главное преимущество: он кончается не штрафами, а отчетом.
«Кто-то нас ломать будет? Зачем?!» — так реагируют, по словам Кирилла Строганова, даже владельцы крупных предприятий. Их можно понять: слово «взлом» вызывает образ маски-шоу, а не осмысленного аудита. Убедить провести проверку иногда проще через метафору «чекапа организама». Аргумент «мы ведь здоровье проверяем» срабатывает удивительно эффективно, особенно если подается на человеческом языке с объяснением бизнес-рисков. Проблема, правда, глубже. Даже после пентеста часто начинается фаза отрицания: «Нам просто не повезло с подрядчиком» или «у нас безопасник слабый». Как ни поверни — крайним становится тот, кто принес плохие новости.
«Если пентест успешный — безопасник плохой. Если провальный — подрядчик плохой. Выхода нет», — заметил Алексей Воронцов.
Но у проверки может быть и вторая, гораздо более полезная жизнь — в виде демонстрации. Пригласить руководство, устроить киберучение, показать, как работает SOC, как реагируют сотрудники в реальном времени. Безопасность, вынутая из абстракции и показанная в действии, производит впечатление. Особенно на тех, кто подписывает бюджеты. Так пентест перестает быть «проверкой на вылет» и превращается в инструмент доверия. Да, он не гарантирует, что завтра все будет спокойно. Зато показывает, что именно мы делаем сегодня, чтобы завтра не случился коллапс. И это уже не страх, а стратегия.
Казалось бы, дружественный взлом — всего лишь инструмент. Но как только разговор заходит о промышленных объектах, у всех участников резко меняется тон. И становится ясно: в ИБ, как и в хирургии, есть места, где резать нельзя. И если в банке максимум — это час простоя банкомата, то на нефтеперерабатывающем заводе ошибка может закончиться пожаром. Или хуже. «Сначала сгорит завод, а потом и весь окружающий город — вы готовы под этим подписаться?» — так однажды встретили команду пентестеров на реальном объекте. Ответ был честный: «Нет, спасибо».
Так что пентест — это не просто методика. Это еще и вопрос ответственности. И чем ближе к физическому миру, тем выше ставка.
Егор Леднев подхватил тему, отметив, что сама по себе проверка ничего не гарантирует и никого не спасает. Это просто способ убедиться, что все работает — как тест на заводе, где отсматривают брак. Проверка нужна, но драйвером безопасности она не становится. «Драйвер — не тест. Драйвер — изменение среды», — объяснил он.
Так было в 2022-м, когда резко стало понятно: мир вокруг стал другим. Безопасность оказалась важной не потому, что кто-то провел пентест, а потому что изменилась сама модель угроз. Все, что раньше казалось «где-то далеко», стало частью повседневности. И вот тогда — да, пентесты начали делать чаще. Но не они запустили процесс. Они лишь зафиксировали факт: жить по-прежнему уже нельзя. Читайте также
Пять историй про управление доступом Компания RooX больше 10 лет специализируется на проектах по управлению доступом для крупного и среднего бизнеса. Продукт компании — система RooX UIDM, которая объединяет функции IAM и IDM. Для многих компаний RooX UIDM заменит два решения: систему управления пользователями и систему управления аутентификацией. Генеральный директор RooX Алексей Хмельницкий поделился историями внедрений, которые раскрывают потенциал системы управления доступом при различных вводных.
Удобство против безопасности
Существует старая байка: сумма удобства и безопасности — величина постоянная. Если прибавил в защите, готовься потерять в комфорте. И каждый, кто когда-либо запрещал флешки, соцсети или упрощенные пароли, знает, чем это заканчивается: саботаж, жалобы и тихое бурчание в стиле «эти параноики опять все сломали».
Данные — это «новая нефть», которую критически важно защищать
Но если смотреть честно — безопасность действительно неудобна. Особенно если она внедряется «сверху», без объяснений и без вариантов. Ольга Копейкина призналась: да, пользователи рыдали. Кричали. Обзывали. Но ровно до того момента, пока им не показали, как можно иначе — безопасно, но при этом по-человечески. «Когда даешь альтернативу, и она работает — плач Ярославны быстро заканчивается», — резюмировала она.
Ключевой вывод: сопротивление безопасности не связано с чьим-то злым умыслом. Просто люди не любят, когда им мешают работать. Особенно если взамен не предлагают ничего внятного. Хотите запретить флешки — дайте им защищенную почту. Запретили легкие пароли — объясните почему. Или, как в одном кейсе, предложите выбирать: либо сложный пароль на месяц, либо простой, но с заменой каждые два дня. После пары циклов замены пользователи выбрали запоминать. Роман Цыганков добавил важный штрих: любое ограничение воспринимается как посягательство на рутину. Даже если речь вовсе не о безопасности. А рутина — почти священна. Люди не любят, когда ее нарушают.
Поэтому задача безопасника — не просто внедрить решение, а продать его. Настроить систему — это лишь половина дела. Настроить культуру — совсем другой уровень. Без нее даже самые продвинутые технологии будут вызывать раздражение. Или в лучшем случае их просто обойдут.
У каждого безопасника есть два подхода: «убалтывать» или «нагибать». И в зависимости от ситуации в ход идут оба. Но одних объяснений мало. Людям нужно показать последствия. Например, напомнить, что в документах черным по белому написано: если что-то утекло с вашего рабочего места — отвечаете лично вы. А рядом — инструкция: вот тебе инструмент, чтобы этого не случилось. Простая логика, простое принятие.
Иван Козлов
Иван Козлов, впрочем, уточнил: настоящая борьба идет не с пользователями, а с топ-менеджментом. «Юзерам просто говорят, что теперь вы работаете вот так. А бизнесу нужно показывать выгоды».
Одна из самых наглядных форм такого «показать» — инсценировка собственной уязвимости. Например, в проекте по security awareness, где руководителям продемонстрировали, как легко они сами кликают по фишинговым письмам.
Вывод простой: чтобы безопасность не только внедрялась, но и принималась, важно не просто защищать, а объяснять, зачем это нужно. Тогда сопротивление хотя бы превращается в понимание. Или на худой конец в молчаливое согласие.
Неудобно? Уходим к конкурентам
Одно дело — внедрять безопасность внутри компании, где у тебя хотя бы формально есть власть. И совсем другое — когда твои пользователи по ту сторону экрана, и любая неудобная кнопка становится билетом к конкуренту. «Внешнему пользователю вы не можете сказать: теперь у вас второй фактор — поздравляем, — напомнил Егор Леднев. — Он просто уйдет».
Егор Леднев
Здесь вся магия не в силе, а в гибкости. Сделаешь безопасность неудобной — ее просто не будет. Точнее, она останется на бумаге. А на практике люди начнут обходить все, что мешает им работать: делиться аккаунтами, записывать пароли на бумажках или просто уходить в тень.
Поэтому настоящая защита — это не броня, а адаптивный костюм. Все зависит от контекста, подчеркивает Егор. Если речь о CRM с конфиденциальными данными — нужен строгий сценарий входа: пароль, токен, сертификат. А вот для внутреннего портала с новостями избыточные меры ни к чему. Достаточно базовой аутентификации.
Пять историй про управление доступом
Именно поэтому адаптивность становится не просто удобством, а признаком зрелости. Причем дело не только в самой аутентификации. Важно продумать всю жизненную цепочку доступа: что делать, если фактор утерян, как восстановить доступ, как защититься от компрометации через бэкапы или обходные механизмы. Плохие системы ломаются не при атаке, а при первом сбое восстановления. Потому что взлом часто происходит не через главный вход, а через форточку восстановления доступа, о которой никто не подумал.
Так что настоящая безопасность — это не просто строгость. Это гибкость плюс сценарий «а что если». И если этого сценария нет, никакая длинная сложная аутентификация не спасет. А если есть, то пользователю и удобно, и безопасно. И он, что важно, не мечтает о побеге к конкурентам.
Профиль есть, знаний нет. Где искать безопасников
Ни одна ИБ-дискуссия не обходится без темы кадров. Их не хватает, они «не те», а те, что есть — уже заняты. Проблема хроническая и, судя по тону участников, местами даже безысходная.
Рустэм Хайретдинов
«Мы ищем специалиста уже четвертый месяц. Приходит студент с резюме на три страницы, не может объяснить ни одного слова, которое в нем написал. И при этом «деньги ему не нужны», — поделился Александр Васильев, — Парадокс в том, что образование вроде бы есть, профильное, по ИБ. А знаний нет. Нормативка не знакома, практических навыков ноль, мотивации — с натяжкой». Читайте также
Вячеслав Касимов: «DDoS — не про разрушение, а про репутацию. Порой это страшнее» Что общего у хорошего специалиста по безопасности и уличного фокусника? Оба работают так, чтобы никто ничего не заметил. Вячеслав Касимов, директор департамента информационной безопасности МКБ, рассказывает, как строится защита от внешних атак, почему важно тестировать даже продуманные до мелочей схемы, можно ли доверять ИИ и почему «нулевые утечки» не всегда свидетельствуют о зрелости системы безопасности, а иногда просто создают иллюзию надежности.
И тут в голосе заказчиков все чаще звучит нотка старшего поколения: «А мы, между прочим, работаем по 12 часов и не жалуемся!» «У них life-work balance! В 18:00 они просто перестают отвечать на звонки», — усмехнулся Рустэм Хайретдинов. Да, звучит как стариковское брюзжание. Но боль за этим настоящая. Когда ты ищешь специалиста, который не просто «разбирается в ИБ», а сможет взять ответственность за защиту компании — хочется видеть не только диплом, но и включенность.
А что делать, если таких нет? Тут у всех три сценария: либо аутсорс, либо автоматизация, либо воспитание своих. Последний — самый дорогой по времени. А первые два — часто компромисс. И все равно остается проблема: нормативку не напишет ни робот, ни внешний подрядчик без глубокого погружения в контекст. Егор Леднев аккуратно, но четко парирует: проблема не в поколении, а в подходе. «Студент — не приговор. Это лотерея. Кто-то через полгода уже решает задачи на уровне опытных коллег, а кто-то сыпется на первом кейсе», — уверен он. Поэтому резюме вообще ничего не значит. Только практика, только личный опыт. И готовность рисковать, брать и пробовать. Где-то не получится, но где-то вырастет настоящий профессионал. И, как бы банально это ни звучало, искать не тех, кто «хочет работать по специальности», а тех, кто не может по-другому.
«Студенты? Да, если готовы учить. Юристы? Отлично заходят в нормативку. Айтишники сильны в работе с СЗИ. А вот для КИИ лучше всего подходят… инженеры. Люди, которые понимают производственные процессы и знают, где может болеть, куда ни один «офисный безопасник» даже не заглянет», — уверена Ольга Копейкина.
Все это требует времени, усилий и да — риска, что выученный кадр уйдет в банк за зарплатой x2. Но альтернативой станет бесконечный поиск «идеального» кандидата, которого давно переманили конкуренты. Потому что здесь бодаются и вендоры, и заказчики, и консалтинг — все на свете. И в этой битве выигрывают не те, у кого больше бюджета, а те, кто умеет смотреть нестандартно.
В конце концов, не каждый специалист приходит уже с готовым комплектом навыков. Но если есть желание, чуть упрямства и грамотный наставник — из юриста вырастет нормативщик, из конструктора — КИИ-шник, а из Бабы-Яги — хранитель ИБ-леса, знающий, где у системы тонко.
Есть еще одна важная деталь: молодые спецы выгорают от рутины. Даже если пришли с горящими глазами, их можно быстро потерять, если в компании все упирается в «бюджета нет». И тогда у людей один путь — к интеграторам и консультантам, где проекты меняются, задачи нестандартные и драйв не уходит. А у предприятий остается выбор: либо развивать специалистов внутри, либо делегировать задачи тем, кто уже этот круг собрал под своим крылом.
Так и формируется замкнутый рынок: крупные держат команду, средние — надеются на аутсорс, остальные — ищут, учат, теряют и ищут снова. Потому что держать ИБ в порядке — это не про один диплом и не про одного героя. Это про системный подход, ресурсы и понимание, что за безопасность всегда нужно платить: либо деньгами, либо временем, либо нервами.
***
А напоследок — немного неформальности. Модератор Рустэм Хайретдинов поблагодарил всех участников и пригласил встретиться лично — 4 апреля в Петербурге на конференции «Киберконтур-2025». Там, где можно будет обсудить то, о чем «не скажешь со сцены» — но обязательно скажешь кулуарно. Ведь, как известно, настоящая ИБ всегда живет между строк. Присоединяйтесь!