Повышение квалификации в информационной безопасности

В новом интервью с экспертами из CyberED мы глубоко погружаемся в тему повышения квалификации в информационной безопасности.

В рамках интервью Егор Богомолов, CEO “Singleton Security”, CEO “CyberED”, поделится мыслями о том, как современные образовательные программы помогают стремительно развивать карьеру без необходимости высшего IT-образования. Он подробно расскажет о том, какие направления в ИБ востребованы и как выбрать эффективные курсы.

Иван Спиридонов, ведущий специалист компании «Информзащита», преподаватель “CyberED”, расскажет, как легко перейти из IT в кибербезопасность, какие навыки необходимы для пентеста, и почему универсальные специалисты особенно ценятся на рынке.

Алёна Корнюхина, руководитель департамента образовательных продуктов “CyberED”, объяснит какие софт-скиллы и хард-скиллы необходимы для успешного обучения, и как правильно выбирать образовательную платформу для получения максимальной пользы.

В интервью мы также коснемся вопроса выбора сертификаций и их влияния на зарплату, узнаем что лучше: работа в государственном секторе или коммерции, спросим как найти работу уже во время обучения. Эксперты расскажут, что такое Bug Bounty и почему участие в нем может стать важным шагом для новичков. Не обойдем стороной и обсуждение того, как постоянно обновлять свои знания, чтобы оставаться конкурентоспособным специалистом в мире ИБ. А также обсудим другие темы.

1. Насколько важно наличие высшего IT-образования для успешной карьеры в информационной безопасности сегодня?

Егор: Высшее IT-образование не является обязательным для успешной карьеры в информационной безопасности, но в некоторых компаниях наличие такого образования может быть важным для выполнения регуляторных требований. Например, государственные структуры и регулируемые компании обязаны иметь сотрудников с высшим образованием в области информационной безопасности. В таких местах у людей с дипломом могут быть преимущества при трудоустройстве.

Однако знания, которые дают в университетах, часто отличаются от тех, что требуются для задач кибербезопасности в бизнесе. Поэтому важнее всего то, какие гарантии вы можете дать как профессионал: как развивали свои навыки, где их получили и как оттачивали. Это — определяющий фактор успешной карьеры. Поэтому дополнительные образовательные программы по кибербезопасности могут стать значительным плюсом за счет упора на практику.

Иван: Я вообще не сторонник того, что государственное образование, особенно в таких быстро развивающихся сферах, как IT, может как-то помочь в становлении хорошим специалистом, и речь идет не только об информационной безопасности. Сильно лучше ситуация обстоит с организациями дополнительного профессионального образования и зарубежными курсами и сертификациями, хотя и вышеперечисленное не является панацеей в случае, если нет желания к саморазвитию. В свое время я, обучаясь по профилю бизнес-аналитика, именно благодаря курсам узнал о таком направлении, как тестирование на проникновение, после прохождения которого занимался исключительно самообразованием в этом направлении, что позволило мне дойти до уверенного грейда мидл-специалиста. Как раз на этом этапе наступает повторная острая необходимость в поддержке со стороны сильного ментора, когда экспертные знания, может, и лежат где-то на задворках интернета, но на их поиск могут уйти огромные ресурсы — как временные, так и человеческие.

Алена: Важно, если для человека необходима внешняя социально одобряемая оффлайн-система, чтобы знакомиться с людьми, осваивать новое, искать информацию. В целом, сейчас любой может в режиме онлайн найти способ освоить даже фундаментальные навыки или найти некое сообщество, в котором он может это сделать, и это необязательно будет университет. Функции университета постепенно рассеиваются и оседают в других формах: специализированные форумы, закрытые сообщества, образовательные программы при крупных экосистемных компаниях.

2. Можно ли перейти из IT в информационную безопасность без специального образования, и какие шаги для этого необходимы?

Егор: Многие специалисты приходят в кибербезопасность из фундаментального IT, и это даёт им преимущество в профессиональном росте. Работа в информационной безопасности связана со сложными техническими системами, и чем лучше вы понимаете, как они устроены, тем легче будет развивать свои навыки как в оборонительной, так и в наступательной безопасности.

Иван: Когда я переходил в направление ИБ, у меня уже был неплохой IT-бэкграунд: год проработал системным администратором, после чего еще два года кодил на Пайтон, занимался биг датой. Это сильно помогло как при обучении (чтобы что-то защищать или ломать, надо это научиться строить), так и при дальнейшем трудоустройстве. С другой стороны, за время своей работы я видел и такие кейсы, когда люди, совершенно незнакомые с IT, вливались в ИБ и становились сильными специалистами. IT-бэкграунд может и снизить порог вхождения, но, как я уже упомянул, главное — желание и готовность развиваться; без этого никуда.

Алена: Насколько мне известно от тех, кто учился на информационную безопасность, они часто не получали практических навыков, соответствующих их текущей деятельности. Поэтому, конечно, можно перейти в ИБ из IT. Для этого специалист должен найти подходящие образовательные программы, стажировки и стартовую точку.

3. Какие специальности и курсы в области информационной безопасности наиболее востребованы на российском рынке?

Егор: На российском рынке самые востребованные специальности делятся на три основные направления: наступательная кибербезопасность, защитная кибербезопасность и безопасность процесса разработки.

В наступательной кибербезопасности востребованы пентестеры и прочие специалисты Red Team. В защитной кибербезопасности — аналитики SOC, SecOps и специалисты по цифровой криминалистике. В области безопасной разработки нужны программисты с навыками безопасной разработки и application security-инженеры. Также нужны аналитики и менеджеры, участвующие во всех этапах разработки.

Иван: Со своей Offensive-колокольни могу сказать, что сейчас, в связи с большим наплывом специалистов узкого профиля типа веб-пентестера/внутрянщика/тестировщика мобильных приложений, компании ищут универсалов — спецов, которые могут выполнять широкий спектр задач. Как пример: Purple Team Operators — спецы, которые могут и в атаку, и в митигацию найденных уязвимостей, и в автоматизацию проведения найденных цепочек атак.

Алена: По нашим наблюдениям, программы переподготовки по компьютерной криминалистике и пентесту мобильных приложений вызывают меньший интерес.

Все прочие образовательные программы по оборонительной и наступательной кибербезопасности в среднем в нашей практике за последний год пользуются равным спросом, а значит востребованы среди специалистов и на российском рынке.

4. Какие софт-скилы и хард-скилы должны быть у специалиста до начала обучения по ИБ?

Егор: Перед началом обучения важно понимать основы виртуального мира: как работают сети, протоколы, программы. Если у вас есть опыт в программировании, вы понимаете, как устроены сетевые взаимодействия и операционные системы — вам будет проще. Эти базовые знания — необходимый минимум. Если их нет, то придется быстро добирать.

Из софт-скиллов самое важное — это управление временем и своим образовательным треком. В разработке или администрировании вы работаете с одним стеком технологий и сосредоточены на нем. В кибербезопасности же нужно разбираться во всех стеках сразу. Да, в каждой компании свой стек, но специалист по безопасности должен быть универсальным бойцом. В информационной безопасности необходимо уметь работать со всеми стеками одинаково, а значит, быть готовым учиться много и постоянно.

Иван: По хард-скиллам сильно зависит от выбранного направления. Что касаемо софт-скиллов, стандартный набор — аналитический склад ума, тайм-менеджмент, этичность, умение работать в команде. От себя добавлю скрупулезность, так как, чтобы не остаться базовым специалистом, сидящим на зп, а преуспеть в сфере ИБ, важна исследовательская черта — сильное желание копаться в исследуемых информационных системах.

Алена: По хард-скилам — полезно, если у человека есть бэкграунд в IT или опыт работы системным администратором. Или хотя бы умение работать с компьютером на уровне продвинутого пользователя. Самостоятельно разбираться в сложном материале и гуглить инструкции — это самый важный навык, который облегчит обучение.

Что касается софт-скилов, скорее важны «internal skills»: упорство, любовь к обучению, настойчивость в преодолении трудностей, когда нет мотивации, но есть воля преодолеть непонимание. Это желание исследовать и находить ответы на вопросы, не останавливаясь, пока не найдешь ответ. Это и ощущение удовлетворения от решения сложных задач.

5. Какие ключевые навыки и компетенции развиваются у специалистов после прохождения курсов по информационной безопасности?

Егор: Кроме знаний и навыков, которые предоставляют образовательные центры, они также помогают выстроить профессиональный трек развития в кибербезопасности. Курсы не делают вас готовым специалистом, потому что без решения реальных задач это невозможно. Однако эффективные программы обучения предлагают компетентных тренеров, которые ставят перед вами испытания, готовящие к реальным вызовам.

Это важный плюс: такие программы ускоряют обучение и дают актуальные навыки для дальнейшего роста. Они показывают потенциальному работодателю ваш путь: не просто сертификат, а реальное обучение, практику и вложенное в это время. В кибербезопасности важно объяснить вашей будущей команде, что вы уже умеете и какой опыт получили.

Ещё один важный момент — курсы дают доступ к профессиональному сообществу. Одна из главных проблем новичков — отсутствие окружения, где можно учиться у других и строить свой образовательный трек. Курсы помогают попасть в среду, где люди объединены общими целями и готовы расти вместе.

Иван: Если не привязываться к конкретным направлениям и получаемым в них профессиональным навыкам, я бы выделил готовность адаптироваться к быстро меняющимся условиям в области информационной безопасности, что в дальнейшем становится залогом успешной карьеры.

6. Каковы шансы найти работу в информационной безопасности после повышения квалификации, и какие факторы на это влияют?

Егор: Шансы высоки. Многие находят работу уже во время обучения. Важные факторы здесь — ваш бэкграунд и начальные знания. В обучение приходят как новички, так и опытные специалисты, и от этого зависит, сколько времени потребуется на освоение нового материала и поиск работы.

Иван: Если верить коллегам, которые занимаются поиском персонала, в текущих реалиях крайне тяжело найти хорошего специалиста в области ИБ, а в частности в Offensive-направлении. Я думаю, если прилагать должные усилия во время обучения, никаких проблем с трудоустройством возникать не должно. Даже если вы только начинаете свой путь в ИБ, какой работодатель не захочет заполучить себе в компанию начинающего специалиста на развитие? Сейчас это очень частая практика не только в сфере ИБ.

Алена: Шансы велики. Сейчас есть множество программ для начинающих специалистов и различные программы, например, такие как Bug Bounty. Новичков часто пугает, что они не умеют искать работу или у них нет терпения расти от невысоких зарплат до высоких, которые обещают специалистам. Если вы преодолеете это внутреннее сопротивление, то шансы будут достаточно высоки.

Есть также профильные форумы и сообщества для специалистов. Они не всегда предпочитают общаться голосом или вживую, но с удовольствием общаются в чатах. Через них тоже можно найти работу или получить рекомендацию.

7. Кто чаще оплачивает курсы по информационной безопасности — работодатели или сами студенты, и как это отражается на мотивации?

Егор: Чаще всего курсы оплачивают работодатели. Если курс оплачен компанией, сотрудники, как правило, относятся к обучению серьезно. Однако те, кто оплачивает обучение сам, обычно более мотивированы быстрее окупить вложенные средства, что повышает их стремление к знаниям.

Иван: Чаще платит работодатель, и это порой влияет на мотивационную составляющую, особенно если это не является осознанным выбором и желанием самого специалиста. Но есть и исключения из правил, если преподаватель смог увлечь, заинтересовать, повести за собой. Если же есть рвение и желание развиваться, и специалист самостоятельно оплачивает свое обучение, здесь образование приобретает многогранную ценность — получение нового навыка, повышение самооценки и уверенности в себе как в специалисте, и собственноручные вложения в свое будущее.

Алена: Чаще курсы оплачивают работодатели. Когда платишь сам, мотивация выше — это наблюдается во многих сферах жизни. Исключение — случаи, когда сотрудник долго добивался бюджета на обучение у начальства. В остальных случаях мотивация может быть ниже.

8. Как правильно выбрать образовательную платформу или организацию для обучения в области информационной безопасности?

Егор: Во-первых, нужно подумать, какие гарантии предоставляет образовательная платформа. Речь не о рекламных обещаниях, а о реальном подходе к обучению. Действительно ли платформа обеспечивает освоение навыков или это просто набор материалов, которые нужно изучать самостоятельно, надеясь на удачу? Важно обращать внимание на то, какие именно профессиональные навыки обещает развивать компания, а не на общие формулировки. Смотрите, как образовательный центр планирует превратить вас в профессионала, а не просто предлагает развлекательный контент на время обучения.

Во-вторых, аккредитация, опыт и те, кто создают образовательные программы. Это преподаватели, наставники и менторы, которые ведут курсы, а также сама компания и её ценности. Важно понять, откликаются ли они вам, близки ли идеи этой образовательной платформы или организации.

В-третьих, практика. Важно посмотреть, какой формат практики предлагают, кто её проводит и насколько она актуальна.

В-четвертых, сообщество и объем живого общения, который ждёт вас на платформе. Чем качественнее сообщество, тем выше вовлеченность, а значит, в процессе обучения и в дальнейшем вы получите качественную коммуникацию и нетворкинг, которые помогут вашему профессиональному росту. Если вы попадете в комьюнити людей, которые не слишком заинтересованы в обучении или находятся в поиске, они быстро уйдут. В результате останется только несколько человек, и это вряд ли обеспечит полезное взаимодействие.

Иван: По отзывам и рекомендациям знакомых и коллег, а также по отзывам в комьюнити. Иногда даже без должной аналитики можно понять, что из себя представляет та или иная организация, особенно если сидишь на тематических форумах/чатах. Об одних организациях — восторженные упоминания, а за какими-то тянется неприятный шлейф.

Алена: Я бы не советовала ориентироваться на внешний вид платформы, потому что сейчас все находятся в поиске. Онлайн-образование сейчас на уровне, на котором когда-то было кино: оно часто плохо визуализировано, и это считается нормой. Я бы советовала обращать внимание на следующие аспекты: какие практики есть в программе, являются ли преподаватели практикующими экспертами в области ИБ, а не просто университетскими преподавателями. Есть ли в образовательной программе реальная практика и учат ли вас мыслить самостоятельно, а не только работать с готовыми алгоритмами. Также важно наличие профессионального сообщества, возможность использовать материалы курса после его окончания.

9. Какие метрики и показатели помогают оценить успех обучения после завершения курсов по ИБ?

Егор: Если образовательная организация умеет замерять уровень освоения тех навыков, что они дают, это уже говорит о том, что вы попали на хороший курс. К сожалению, у большинства курсов такие метрики либо отсутствуют, либо не соответствуют потребностям рынка. Создать метрики, которые соответствуют реальным запросам рынка, достаточно сложно. Более интересно оценить, что происходит с человеком после обучения: как образовательная программа повлияла на его профессиональный путь.

Иван: Обычно уже в процессе ведения программы можно заметить настрой и вовлеченность группы в процесс, что помогает скорректировать курс ведения образовательной программы. По результатам прохождения также оставляются отзывы и проводятся небольшие опросы. Из метрик можно выделить основные: оценка работы преподавателей и учебного центра, общие впечатления о прошедшей программе.

Алена: Главная метрика — это насколько самостоятельно вы можете применять полученные знания. Насколько правильно вы можете оценивать контекст, в котором применять инструменты и практики, и решать задачи. Также важно, насколько вы способны разрабатывать свои стратегии пентеста или защиты и самостоятельно искать информацию при возникновении новых задач. Если вас всему этому научили, значит, курс был хорошим.

10. Как повышение квалификации в области информационной безопасности влияет на уровень зарплаты специалистов?

Егор: Наличие сертификатов о повышении квалификации делает сотрудника более привлекательным для работодателей. Это демонстрирует готовность к профессиональному росту и усилия, вложенные в развитие.

Иван: Влияет напрямую, особенно если вы желаете трудоустроиться в компанию-интегратор, где важно выигрывать конкурсы, на которых требуются те или иные сертификаты. В остальных случаях работодатель, при условном выборе из двух специалистов, всегда будет выбирать того, у которого есть подтверждение его компетенций.

Алена: Существует прямая зависимость: чем выше квалификация и опыт, тем выше заработная плата.

11. Какие сертификаты и дополнительные навыки дают наиболее значимые бонусы к зарплате в сфере информационной безопасности?

Егор: Такие сертификаты, которые подтверждают сложные вызовы, которые вы прошли. Предпочтительными являются зарубежные сертификаты, которые подтверждают квалификацию, например, OSCP. На текущий момент в России такие сертификаты не выдают, но наш экспертный центр занимается тем, чтобы это стало возможным.

Иван: Конечно, в первую очередь будут котироваться именно релевантные сертификаты, которые подтверждают знания по тому грейду, на который претендует кандидат. Условный сертификат OSCP (PEN-200), который в целом ценится в комьюнити, вряд ли сыграет роль, если вы пойдете на вакансию сеньора, хотя, по аналогии с предыдущим примером с двумя сотрудниками, точно будет плюсом.

Алена: Международные сертификации, по типу OSCP, дают ощутимый бонус, и наши студенты часто упоминают об этом. На данный момент в России такие сертификаты не выдаются, но наш экспертный центр работает над тем, чтобы сделать свои программы сертификации

12. Что предпочтительнее с точки зрения карьеры в ИБ: работа в государственном секторе или в коммерческих компаниях?

Егор: Для карьеры предпочтительнее начать в коммерческой компании: это дает возможность быстро набрать навыки. В дальнейшем, работая в государственном секторе, можно перенести и применить эти навыки. В государственных компаниях можно оказаться в небольшой группе экспертов и не получить широкого опыта. Но иногда опытные специалисты переходят в госструктуры ради решения масштабных задач.

Иван: Как мне кажется, это вообще два разных мира: государственный и коммерческий сектор. Соответственно, всё будет зависеть от того, в каком направлении вы хотите двигаться. По моим личным наблюдениям, прийти из гос. сектора в коммерцию будет сложнее, нежели перейти из коммерции в гос. сектор.

Алена: На мой взгляд предпочтительнее работать в коммерческом секторе. Там более динамичные процессы и больше возможностей для экспериментов. В государственном секторе работа часто ощущается как «движение на квадратных колесах». Возможно, в отдельных местах что-то меняется благодаря приходу новых людей, но пока лучше начинать карьеру в коммерческих компаниях для получения разностороннего опыта.

13. Как определить свою специализацию в области информационной безопасности и не ошибиться в выборе направления?

Егор: Выбирайте то, что вас вдохновляет. Если вы чувствуете, что вам это нравится и вы готовы тратить на это время — продолжайте. Если чувствуете, что вам это даётся нехотя или вам не нравится то, что вы делаете, со временем вы это поймете. Поэтому занимайтесь тем, что действительно приносит вам удовольствие, чтобы раскрыть свой потенциал в полной мере. Советую попробовать себя в различных турнирах, например, CTF, чтобы испытать себя в разных ситуациях и понять, что вам ближе.

Иван: Как мне кажется, определение своей специализации всегда проходит методом проб и ошибок. Нет рецепта для нахождения направления, которое точно вам понравится. Ошибки — это опыт, а в ИБ опыт в смежных областях очень ценится, в связи с чем вы точно не проиграете, если будете пробовать себя в разных областях, пока не найдете то, чем будете гореть.

14. Есть ли смысл проходить стажировки после курсов повышения квалификации по ИБ, и какие преимущества это может дать?

Иван: Стажировки — это отличный инструмент в тех случаях, когда есть теоретическая база, а боевого опыта не хватает. Если вы и не устроитесь на работу после прохождения стажировки, упоминание таковой в своем резюме точно накинет баллов как на стадии Pass the HR, так и на технических собеседованиях.

Алена: Безусловно, стажировки помогают наработать опыт, который можно использовать в работе. Вы знакомитесь с новыми людьми и закрепляете свои профессиональные навыки. На курсах часто дают только базовые навыки для старта, но полноценный набор навыков можно получить только в реальных условиях. Поэтому стажировка — отличный вариант. Они обычно не очень длинные, но даже в этом формате можно понять свою ценность на практике.

15. Что лучше для обучения в области информационной безопасности: онлайн или офлайн курсы? Почему?

Егор: И то, и другое имеет свои преимущества. Обучение оффлайн — это отличный вариант благодаря возможности общения в сообществе, качественной коммуникации и новым контактам. Когда вокруг вас несколько мотивированных людей, и вы можете общаться с каждым лично, это дает максимально концентрированный опыт.

Иван: Если касаемо непосредственного рабочего опыта, я бы дал однозначный ответ — оффлайн или гибрид, то по части обучения я считаю, что нет абсолютно никакой разницы. Обучение в ИБ не предполагает надобности в физическом присутствии, всё необходимое можно развернуть онлайн или, в крайнем случае, объяснить, как сделать всё локально у себя на устройстве. Вычислительных мощностей аналогично должно хватать даже на самых стареньких устройствах, особенно если пользоваться возможностями облачных решений. Тем более хорошие учебные центры, как правило, предоставляют всю необходимую инфраструктуру для обучения.

Алена: Существуют исследования, показывающие снижение успеваемости у детей при переходе на онлайн-обучение. Но мы обучаем взрослых, и у нас нет проблем с онлайн-форматом. Однако, если речь идет об интенсиве, когда нужно быстро обучить группу людей, офлайн будет предпочтительнее. Например, недавно наши преподаватели участвовали в Positive Hack Camp, где за две недели специалистов из смежной сферы нужно было переместить в новый опыт. В подобных случаях оффлайн показал себя наиболее эффективно.

16. Где и как набираться практического опыта в информационной безопасности для закрепления полученных знаний?

Егор: Обратите внимание на различные активности, которые предлагают образовательные центры. Это отличный способ попробовать свои силы на практике. Существует множество международных платформ, например, Bug Bounty, где вы можете применить свои знания в области атакующей кибербезопасности. Но сложнее это сделать специалистам защиты. В таком случае стоит искать специализированные программы, где можно отработать нужные навыки.

Иван: Хоть это и не боевой опыт, но практических знаний, полученных на многочисленных платформах с лабораторными работами, должно быть достаточно, чтобы отрабатывать полученные теоретические знания. Есть огромное количество бесплатных платформ, предоставляющих сервисы для тестирования (PortSwigger, RootMe, Hack The Box, TryHackMe и пр.), если их будет недостаточно, на GitHub есть многочисленные репозитории с лабами.

Алена: Стажировки, Bug Bounty, киберполигоны, различные соревнования для специалистов по ИБ и CTF. Выбирайте то, что вам больше по душе, и участвуйте во всем, что доступно.

17. Какие стратегии наиболее эффективны для развития карьеры в информационной безопасности после прохождения курсов?

Егор: Важнее всего — формирование собственного образовательного трека. Найдите работу на время обучения, которая не будет отнимать у вас много времени, но позволит попрактиковаться. Помимо рабочей рутины, важно оставлять время для исследований и постоянного развития, а также искать качественный нетворкинг и окружение с аналогичными целями. Одно дело, когда вы делаете это в одиночку, и совсем другое — когда у вас есть коллектив, который может делиться знаниями и опытом, что позволяет вам получить больше от обучающего процесса.

Иван: Как раз здесь мудрить не стоит. По части развития есть многочисленные и проверенные карты развития (RoadMap’ы), следуя которым можно достичь высокого уровня. Здесь главное выбрать хорошие RoadMap’ы, но об этом можно спросить у ребят из комьюнити.

18. Как обеспечить постоянное обновление знаний и навыков в быстро меняющейся области информационной безопасности?

Егор: Ищите актуальные источники знаний, следите за компаниями на переднем крае технологий. Подписывайтесь на телеграм-каналы, профессиональные ресурсы, крупные компании, которые специализируются на теме ИБ. Также стоит участвовать в турнирных командах, находить профессиональные команды и сообщества, где люди делятся знаниями и событиями.

Иван: Сейчас вокруг информационной безопасности сформировалось очень крупное медийное поле, благодаря которому можно оперативно узнавать о новинках в сфере. Есть большие комьюнити-чаты, в которых специалисты регулярно делятся профильными статьями и полезной информацией. Ну и о конференциях забывать не стоит. Помимо обмена опытом с другими специалистами, на каждой конференции есть интересные профильные доклады.

Алена: Необходимо сформировать образовательный трек и следовать ему, проходя профессиональную переподготовку в образовательных центрах. Полезно также быть активным в профильных чатах и сообществах, принимать участие в дискуссиях, следить за событиями в области ИБ и компаниями, которые тесно связаны с кибербезопасностью.

19. Какие перспективы и тенденции развития рынка курсов по информационной безопасности в России можно отметить на ближайшие годы?

Егор: Появилось понимание, что обучение сотрудников — это важный инструмент для достижения целей компании. Раньше компании рассматривали покупку программного обеспечения, пакетов или оборудования как основной инструмент. Сейчас они стали подходить к своим стратегиям кибербезопасности более осознанно, осознавая, что кто-то должен эти стратегии реализовывать, а для этого сотрудникам нужны новые навыки. Существует «страшилка», что если вы обучите сотрудников, они станут более компетентными и уйдут. Но есть и другая, более важная «страшилка»: если вы не обучите этих людей, они останутся.

Иван: В ближайшие годы можно ожидать значительного роста рынка дополнительного образования по информационной безопасности в России. Это связано с увеличением числа кибератак и усилением внимания к защите данных со стороны государственных и частных организаций, а значит, и увеличением спроса на специалистов. Кроме того, сейчас растет спрос на узко специализированные обучающие программы, такие как облачная безопасность и безопасность цепочек поставок CI/CD. С учетом текущей ситуации на рынке труда можно также ожидать появления новых форматов обучения, таких как микро-курсы и модульные программы, которые позволят более гибко подходить к обучению и повышению квалификации специалистов.

Алена: Предполагается бум интереса к «кибергигиене», поскольку в этой области сейчас мало грамотных людей. Что касается профессионалов, растет спрос на узкоспециализированных специалистов. Многие процессы в ИБ уже можно автоматизировать, поэтому требования к квалификации специалистов возрастают. В будущем, возможно, появится больше эксклюзивных образовательных программ для решения креативных задач и проведения исследований в информационной безопасности. Возможно, будут создаваться новые позиции, такие как исследователь, занимающийся изучением и поиском новых техник и подходов в ИБ.