Опыт «Ростеха»: дефицит кадров, всеобщая кибергигиена и новые угрозы

Про общую ситуацию на рынке

Сегодня вендоры предлагают свои продукты почти по всем классам решений для защиты. В России, согласно ряду оценок, работают не менее 300 разработчиков в сфере ИБ, а общий объём сегмента ещё в 2024 году достиг 300 млрд рублей. Такая конкуренция даёт возможность выбора между производителями.

Обратной стороной является недостаточно высокая скорость адаптации продукта под потребности заказчиков. Предлагаемые решения могут быть попросту неактуальны или с трудом адаптироваться под инфраструктуру компании.

Кроме того, даже если вендор оперативно добавляет в своё решение какую-то новую функцию, реагируя на обновление рынка, клиент не всегда может выбрать этот сервис. Это связано с тем, что у компании уже есть инструменты, которые она использует, и переход на новое решение только из-за одного обновления в большинстве случаев будет слишком сложным или дорогостоящим.

Именно поэтому вендорам крайне важно находиться в постоянном диалоге со своими клиентами и вносить изменения в продукт максимально оперативно. Аккумулируя новые функции в своём продукте, он сможет предложить рынку актуальное унифицированное решение.

Про отечественные решения и киберугрозы

Усиление санкций в 2022-м не вызвало турбулентности на российском ИБ-рынке, потому что процесс импортозамещения плавно реализовывался с 2014 года. Например, все компании, входящие в экосистему «Ростеха», к настоящему моменту используют исключительно продукты отечественных разработчиков.

Особую роль здесь сыграл наш внутрикорпоративный интегратор. Команда «РТ-Информа» имеет богатейшие компетенции по импортозамещению компонентов критической информационной инфраструктуры. Проактивные идеи в сочетании с умением прямо и оперативно взаимодействовать с разработчиками ИТ- и ИБ-решений позволили корпорации выстроить собственную цифровую крепость и стать технологически независимыми в этой сфере.

При этом характер киберугроз за последние годы изменился, и весьма существенно. Ранее хакеры преимущественно похищали или шифровали данные компаний с целью получения выкупа. Кто-то платил требуемую сумму, чтобы продолжить работу, кто-то отказывался и обнаруживал свои данные в даркнете. Регистрировались и единичные попытки промышленного шпионажа.

Теперь хакерами движут в основном не корыстные интересы, а стремление нанести российским компаниям максимальный урон. Сегодня под ударом находятся государственные компании и структуры, объекты ТЭК.

Принадлежность к оборонно-промышленному комплексу — желаемая мишень для киберпреступников. Всего в корпорации и её организациях, подключённых к центру ГосСОПКА, за неполный 2025 год зафиксировано свыше 1,5 тыс. атак. Количество киберинцидентов составило несколько миллионов. По данным компании «РТ-Информационная безопасность», в их числе были как попытки внедрения вредоносного ПО или несанкционированной авторизации в системах, так и DDoS и другие виды атак.

Иногда хакеры стремятся не только вывести из строя критическую информационную инфраструктуру. Целью атак также может быть похищение конфиденциальных данных, например, об актуальных проектах организации или заключенных ею контрактах.

Про регулирование рынка

Основным риском для информационной сферы является её слишком стремительное развитие. Сейчас весьма затруднительно прогнозировать будущий облик рынка, особенности хакерских тактик и работы ИБ-команд. При этом сами угрозы безостановочно эволюционируют. Например, прямо сейчас повсеместное использование искусственного интеллекта влияет на развитие информационных технологий в стране. ИИ используют все — от школьников и студентов для написания учебных работ до сотрудников компаний для подготовки официальной документации. В то же время регламентов по применению ИИ в России пока по-прежнему нет.

Использование этих технологий облегчает и работу с большими массивами данных. Соответственно, с помощью ИИ пишется, например, техническая документация для ИТ-систем. Вопрос регулирования подобного использования ИИ находится пока на стадии обсуждения.

Запрещённые ресурсы и их использование сотрудниками

Сотрудники госструктур сегодня сталкиваются с большим количеством обоснованных запретов на использование социальных сетей и разного рода веб-платформ на рабочем месте. Это оправданно: несоблюдение информационной гигиены работниками повышает риски организаций стать мишенью для кибермошенников.

В «Ростехе» запрещено использовать в служебных целях отдельные бренды смартфонов, некоторые почтовые сервисы и мессенджеры иностранной разработки. За соблюдением данных требований мы строго следим. Нарушения могут повлечь как дисциплинарные взыскания, так и увольнение.

Про дефицит ИБ-кадров

Имеющиеся риски и проблемы отрасли усугубляет нехватка квалифицированных сотрудников, особенно в отдельных направлениях информационной безопасности. Так, специалистов по форензике в России готовят только на двух курсах, поэтому их не просто мало, а критически не хватает.

Вообще любому современному ИБ-специалисту недостаточно быть экспертом в своём направлении. От него требуется максимально широкий кругозор, а в багаж профессиональных знаний стоит включить современные технологии, особенности управления и даже юриспруденцию.

Для примера возьмём специалиста по информационной безопасности в оборонно-промышленном комплексе. Защита данных является основной, но далеко не единственной сферой применения его навыков. Специалист должен разбираться в особенностях защиты так называемой закрытой информации, а также учитывать, что работает на режимном объекте и знать все тонкости обеспечения установленного регламентами режима.

ИБ-эксперты в ОПК также занимаются экспертизой новых правовых актов с точки зрения информационной безопасности. Их задачей является проверка соответствия каждой выдвигаемой инициативы действующим требованиям.

В «Ростехе» мы постоянно работаем над решением кадровой проблемы в сфере информационной безопасности по двум основным направлениям: создаём привлекательные условия для сотрудников и проводим необходимое обучение, чтобы максимально задействовать уже занятых в корпорации. Нам требуются представители более 40 ИT-специальностей, включая наиболее востребованные на рынке. В общей сложности «Ростеху» нужно около 2,5 тыс. подобных специалистов.

Особенность найма в госкорпорацию состоит в том, что в первую очередь мы опираемся на собственных специалистов, уже обученных согласно внутренним регламентам и положительно проявивших себя в различных структурах «Ростеха».

Поиск перспективных специалистов мы начинаем ещё в вузах. Например, с МГТУ им. Н.Э. Баумана, МГУ имени М.В. Ломоносова и другими ведущими учебными заведениями страны нас давно связывают партнёрские программы. Компактность рынка информационной безопасности в России позволяет студентам проявить себя ещё во время производственной практики. Неудивительно, что некоторые получают предложение о трудоустройстве до получения диплома.

Про киберучения

В обучении ИБ-специалистов «Ростеха» важную роль играют киберучения. Так, в прошедшем году мы совместно с ГК «Солар», чьи решения мы постоянно используем для обеспечения информационной безопасности, провели их во время корпоративного чемпионата. Во время этих учений Blue team получила возможность проверить навыки сразу по двум десяткам направлений — от поиска следов кибератаки в логах до реагирования и расследования киберинцидента. От команды требовалось действовать на основе реальной практики, что обеспечило особенно высокую эффективность формата.

Оптимизировать свою работу нам помогают и ИБ-учения, которые для нас регулярно инициируют спецслужбы. Такой формат всегда служит стресс-тестом для команды. Однако именно он позволяет нам постоянно сохранять готовность к кибератакам, которые возможны в любой момент.

Киберучения мы применяем не только для коллег из ИБ-команд. В «Ростехе» их регулярно проходят и те, кто работает непосредственно с производственными системами. Это важно, ведь базовые навыки кибергигиены помогают защитить от возможных атак и самого сотрудника, и данные для его служебного использования. Курсы, семинары и другие онлайн-форматы обучения постоянно проводят «Академия Ростеха» и центр компетенций «РТ-Информационная безопасность». Слушатели этих программ получают актуальную информацию об особенностях работы с персональными данными, распространённых схемах мошенничества и по другим направлениям.

Результат постоянного повышения киберграмотности сотрудников виден на практике: за последнее время мы не обнаружили попыток проникновения в инфраструктуру «Ростеха» с помощью подобных схем. Уровень осведомлённости сотрудников остаётся высоким.

И в конце хотелось бы рассказать о ключевом тренде в ИБ-отрасли, на мой взгляд.