Механизм "багбаунти" и атака за вознаграждение. Как решить проблему дефицита специалистов по кибербезопасности
По оценке Министерства труда и социальной защиты Российской Федерации, ежегодный дефицит кадров в области информационной безопасности составляет 18 000 человек каждый год, а накопленный дефицит вакансий приближается к 100 тысячам. Представители Минцифры, бизнеса, ФСБ и ФСТЭК рассказали, как решить эту проблему.
11 марта в Научно-технологическом университете "Сириус" завершилась конференция, посвященная проблеме дефицита кадров в области информационной безопасности (ИБ). Участники проанализировали причины дефицита, риски, которые он несет, и предложили меры для повышения уровня кибербезопасности государства, бизнеса и общества.
Заместитель министра цифрового развития, связи и массовых коммуникаций, Президент Академии криптографии РФ Александр Шойтов рассказал, что мониторинг среди компаний и организаций, на которые распространяется указ Президента России №250 "О дополнительных мерах по обеспечению информационной безопасности Российской Федерации", показал: 80% заявили о нехватке у них специалистов по информационной безопасности. Также он отметил, что не ожидает снижения количества кибератак в этом году, а их сложность и технический уровень атакующей стороны будут расти.
Для уменьшения дефицита кадров количество бюджетных мест в учебных заведениях по направлению ИБ было увеличено в 2 раза. Об этом на конференции сообщил сенатор и заместитель Председателя Совета по развитию цифровой экономики при Совете Федерации Артем Шейкин.
Однако все участники конференции согласились, что только увеличением количества студентов проблемы в области информационной безопасности решить невозможно, так как система высшего и среднего образования не может выпускать необходимое количество специалистов с тем уровнем компетенций и навыков, который требуется бизнесу и государству. Такого мнения придерживаются не только российские эксперты. Существует и международный консенсус по вопросу дефицита кадров в ИБ. При этом особенность российской ситуации заключается и в резком росте количестве кибератак на предприятия, организации, а также объекты критической информационной инфраструктуры в 2022 году.
По мнению председателя совета директоров компании "Positive Technologies" Юрия Максимова, к изменению мирового политического и экономического ландшафта в 2022 году российская ИБ-индустрия оказалась не готова: "Если ранее основным противником российского ИБ были преступники, которые действовали из корыстных соображений с целью хищения средств или шантажа с требованием выкупа, то в 2022 на смену им пришли кибератаки, цель которых - нанесение максимального ущерба". При этом он отметил, что к такому взрывному росту количества и уровня кибератак сегодня не готова ни одна страна в мире.
Участники конференции предложили меры, не требующие быстрой подготовки большого количества ИБ-специалистов, но способные поднять общий уровень информационной безопасности в стране.
Среди таких мер - запуск учебных образовательных курсов для повышения общего уровня знаний в области ИБ среди населения; обязательное обучение госслужащих основам защиты информации; специальные обучающие программы для первых лиц бизнеса. Часть таких программ и курсов уже запущена, часть планируется запустить в 2023 году.
Евгений Абакумов, директор по информационным технологиям ГК "Росатом" и научный руководитель Научного центра информационных технологий и искусственного интеллекта Университета "Сириус", подчеркнул важность углубленного обучения информационной безопасности для разработчиков программных продуктов, особенно на объектах критической информационной инфраструктуры.
Инженер будущего должен сочетать знания и навыки в области ИБ и компетенции проектирования и создания информационных систем. Такой подход позволяет создавать программные продукты, изначально обладающие высоким уровнем защищенности, считает Абакумов.
По мнению бизнеса, необходимо законодательно регулировать и вводить в правовое поле новые механизмы, позволяющие совершенствовать информационную защиту, такие, например, как "багбаунти" - публичные программы поиска уязвимостей в информационных системах за вознаграждение. Подобные программы способствуют привлечению независимых исследователей и хакеров, выявлению незащищенных мест, а также дают возможность сделать эти системы более безопасными.
По мнению Юрия Максимова, использование такой методики позволяет говорить о зрелости в области ИБ компании, банка или государственной организации, а также о ее уверенности в том, что ее информационные системы не смогут взломать или повредить.
"Вознаграждение за взлом, способный нанести критический или непоправимый ущерб деятельности компании, в рамках программы багбаунти сейчас начинается с 40-50 миллионов рублей. За меньшие деньги серьезные команды хакеров не будут в ней участвовать ввиду высокой востребованности их услуг, - отмечает Максимов. - Атака стоимостью 50 миллионов - это даже не уровень спецслужб, то есть это взлом без использования уязвимостей железа, закладок и пр. Там, где начинаются электронные микроскопы и другое высокотехнологичное оборудование, уже нужно платить 200-300-400 миллионов".
В феврале 2023 года Минцифры запустило пилотный проект по поиску уязвимостей в инфраструктуре электронного правительства и Госуслугах. Программа сейчас идет на двух платформах в несколько этапов. Первая платформа - это портал государственных услуг, вторая - единая система идентификации и аутентификации.
"По окончании пилота (1-2 месяца) мы подведем итоги и публично их продемонстрируем всей стране, в том числе и регуляторам, а далее будем встраивать эту инициативу в общее регулирование", - отметил Александр Шойтов.
В качестве еще одного направления работы, которое может снизить дефицит кадров в ИБ, заместитель директора департамента обеспечения кибербезопасности Минцифры Евгений Хасин предложил использовать унификацию ИТ- и ИБ-решений на базе облачных технологий, что позволяет, с одной стороны, быстро масштабировать такие программные решения, с другой - за счет стандартизации уменьшить количество специалистов необходимых для защиты этих ИТ-систем.
Нехватка ИБ-специалистов сегодня является глобальной проблемой и заметно увеличивает риски для бизнеса, государства и общества в любой стране мира. В отчете Global Risks Report 2022, который составили эксперты Всемирного экономического форума, проблемы с обеспечением кибербезопасности вошли в топ-7 глобальных угроз сразу после долгового кризиса и недостатка воды. При этом в докладе отмечается, что 95% всех киберинцидентов связаны с человеческим фактором.