Эксперт Карасовский: нехватка практических навыков у молодых специалистов усиливает кадровый кризис в ИБ
изображение: grok
Дмитрий Карасовский, руководитель отдела по информационной безопасности Axiom JDK, прокомментировал для CISOCLUB результаты исследования ISSA и Omdia, согласно которым 68% специалистов считают, что работать в сфере информационной безопасности стало сложнее. По мнению эксперта, на ситуацию одновременно влияют рост числа атак, развитие искусственного интеллекта, кадровый дефицит и усиление регуляторных требований.
Он отметил, что современные специалисты по информационной безопасности вынуждены работать в условиях постоянно усложняющегося ландшафта угроз. Дополнительное давление создаёт быстрое развитие технологий искусственного интеллекта и расширение требований со стороны регуляторов.
«Сегодня специалисты по информационной безопасности работают в условиях, когда растет количество и сложность кибератак, в том числе из-за развития искусственного интеллекта, а также усиливаются регуляторные требования», — заявил Дмитрий Карасовский.
По словам эксперта, отдельной проблемой становится внедрение ИИ без продуманной стратегии. Многие компании используют подобные инструменты фрагментарно, не интегрируя их в существующие процессы безопасности и не учитывая новые риски.
«Усложняет работу сотрудников ИБ-отделов и внедрение ИИ без четкой стратегии. Компании используют его точечно, например, для мониторинга и анализа угроз, без интеграции в существующие процессы и без планов реагирования на угрозы, специфичные для ИИ. Это создает “слепые зоны” в инфраструктуре, которые сложнее контролировать специалистам», — отметил он.
Дмитрий Карасовский подчеркнул, что увеличение числа атак приводит к росту потребности в квалифицированных кадрах. При этом рынок по-прежнему испытывает серьёзный дефицит специалистов, обладающих необходимыми практическими навыками.
«Из-за увеличения количества атак растет необходимость в квалифицированных кадрах. Однако на рынке таких специалистов мало, и ситуация только ухудшается. Мы видим, что на рынок выходят дипломированные специалисты по информационной безопасности, которые плохо понимают, как применять полученные знания на практике», — рассказал эксперт.
По его мнению, молодым специалистам часто не хватает знаний в области администрирования операционных систем, программирования и понимания процессов безопасной разработки.
«Они не умеют работать с командной строкой Linux Windows, плохо знают языки программирования и бизнес-процессы РБПО», — подчеркнул Дмитрий Карасовский.
Эксперт считает, что кадровый дефицит напрямую влияет на уровень нагрузки действующих сотрудников. В результате возрастает вероятность ошибок, последствия которых могут быть сопоставимы с последствиями успешной кибератаки.
«Кадров не хватает, поэтому растет нагрузка на работающих сотрудников. А это повышает риск человеческой ошибки. Постоянный поток инцидентов, сложность атак и выгорание могут привести к ошибкам, сопоставимым по последствиям с хакерской атакой», — заявил он.
При этом Дмитрий Карасовский отметил, что искусственный интеллект способен стать эффективным инструментом автоматизации, если его внедрение будет происходить системно и с учётом существующих рисков.
«Если грамотно подходить к использованию ИИ в работе, он будет не проблемой, а эффективным инструментом для автоматизации рутинных операций. Однако внедрять его нужно системно. Стоит начать с определения для сотрудников правил использования: для каких задач ИИ может применяться (детекция аномалий, автоматизация реагирования, анализ уязвимостей), а для каких — нет», — отметил эксперт.
Он также подчеркнул, что ответственность за качество работы моделей должна оставаться под контролем специалистов по информационной безопасности.
«При этом специалистам все равно нужно контролировать качество работы моделей и учитывать связанные с этим риски», — рассказал Дмитрий Карасовский.
По мнению эксперта, решить проблему кадрового дефицита можно только при активном участии самих компаний в подготовке специалистов и создании условий для профессионального развития сотрудников.
«Компаниям стоит подключаться к обучению и развитию кадров, выстраивать внутренние программы наставничества. Важно предлагать не только вертикальный, но и горизонтальный карьерный рост (например, переход в форензику, киберразведку, пентест). Грамотное распределение нагрузки, автоматизация рутинных процессов и уменьшение количества непрофильных задач помогут снизить риск выгорания у сотрудников», — заключил Дмитрий Карасовский.
