Алексей Дрозд, СёрчИнформ: «Закон об оборотных штрафах потребует реальной, а не формальной защиты»

В условиях регуляторного давления в сфере персональных данных бизнесу приходится оперативно адаптироваться: обновлять внутренние процессы, укреплять защиту и формировать киберграмотность сотрудников. Формальный подход постепенно уступает место реальной защите. Начальник отдела безопасности российского разработчика «СёрчИнформ» Алексей Дрозд рассказал Cyber Media о реакции бизнеса на новые требования по защите персональных данных, основных страхах отрасли, стратегиях минимизации рисков и о том, как компании выстраивают обучение сотрудников, не являющихся специалистами в области ИБ.

Cyber Media: Ощущается ли вами нехватка ИБ-специалистов? Если да, то, какие шаги предпринимает компания для борьбы с подобной проблемой?

Алексей Дрозд: Если говорить в целом по рынку, то год от года ситуация не меняется. Сейчас наблюдается нехватка высококвалифицированных, но при этом низкооплачиваемых специалистов. Компании хочется взять самое лучшее за меньшие деньги, работнику — наоборот: интересные задачи, высокая зарплата. Ситуация вообще никак не поменялась за последние пару лет, глобально она изменилась только в 2020 году, когда пришла удаленка.

Компании сейчас вообще стараются растить своих специалистов, активно «пылесосят» рынок. И еще один относительно новый для российского рынка тренд — аутсорсинг в информационной безопасности. Бизнес начал считать «математику» и понял, что предпринимать серьезные шаги по защите данных необходимо, а содержать штатного специалиста — в разы дороже.

Источник: исследование “СёрчИнформ” уровня информационной безопасности в российский компаниях

Cyber Media: Считаете ли вы, что российские вузы могут обеспечить высокий уровень образования в сфере ИБ, или все же нужно работать в сторону усовершенствования академических программ? Хватает ли квалификации у молодых специалистов?

Алексей Дрозд: С финансовой точки зрения ситуация для ВУЗов сложная. Нужно привлекать преподавателей, иметь соответствующую лабораторию, ПО и так далее. Сейчас есть тенденция выстроить взаимодействие, в котором «любовный треугольник» жил бы в мире и согласии. Я имею в виду союз вендоров, которые производят средства защиты, вузов, которым нужно что-то передовое — и в плане ПО, и в плане знаний, методологии, и работодателей, которые хотят получать готовых специалистов. Кто может закрыть эти потребности? В первую очередь — практикующий безопасник или разработчик ИБ-средств.

Источник: исследование СёрчИнформ о российском рынке труда в ИБ

Cyber Media: Есть в вашей практике успешные примеры такого взаимодействия?

Алексей Дрозд: Да, однажды я наблюдал ситуацию, когда все сошлось. Крупная компания в одном из регионов России, испытывая нехватку специалистов, пришла в конкретный вуз и предложила открыть специальную кафедру с набором, скажем, 20 человек. Тогда «подтолкнули» поставщиков ПО, оборудования и программно-аппаратных комплексов, чтобы они предоставили преподавателей-методологов и бесплатно — ПО, методики и так далее. И самое главное — инициирующая сотрудничество компания гарантировала вузу, что будет ежегодно трудоустраивать выпускников этой кафедры к себе. Сейчас в целом наблюдается интерес к тому, чтобы строить практико-ориентированное обучение. Взращивание молодых специалистов — это результат сотрудничества бизнеса, государства и вузов. Только в этом взаимодействии можно получить квалифицированные кадры.

Cyber Media: А в вашей компании есть стажеры?

Алексей Дрозд: Да, есть. Мы сотрудничаем с вузами исключительно на безвозмездной основе уже больше 10 лет. Это была принципиальная позиция нашего руководства. На стажировки мы берем не массово, но стабильно. Исторически больше стажировок проходит в Ростове и Краснодаре, но в целом — везде, где есть наши офисы.

Cyber Media: Скажите, какие основные тенденции развития рынка информационной безопасности можно отметить сегодня?

Алексей Дрозд: Уже с 2022 года стало понятно, что ушли NGFW — Next Generation Firewall-классы систем. И вот только к 2025 году появляется что-то, с чем не “больно” работать безопаснику. Потому что важно не только соответствовать бумажкам, но чтобы все реально работало под нагрузкой. Одно дело — собрать что-то на коленке для одной компании, другое — обеспечить стабильную эксплуатацию. Этот процесс еще далек от завершения. Второй тренд — внедрение искусственного интеллекта: нейросети, машинное обучение, большие языковые модели. Третий тренд — обучение. Киберграмотность для линейных сотрудников не теряет актуальности. Обучение самих безопасников — корпоративные программы, соревнования. Впервые в 2024 году я увидел отдельный запрос на обучение топ-менеджеров, раньше такого не было.

Cyber Media: Продолжается ли какое-то сотрудничество с зарубежными специалистами и компаниями? Ощущается ли его нехватка?

Алексей Дрозд: У нас есть клиенты не только в России, но и в других странах. Мир большой — тотальной изоляции нет. Ее и не было. Есть много рынков, где к специалистам из разных стран и к ПО относятся лояльно. Если говорить по нашей сфере — это, например, DLP и DCAP-системы. В этих аспектах западные страны в отстающей позиции, у них не хватает экспертизы и специалистов, и поэтому там интерес к нашему опыту высокий. Там изначально активно применяют аутсорсинг. Думаю, такая гибридная форма взаимодействия еще долго будет актуальна.

Cyber Media: Какие опасения появились со вступлением в силу закона об оборотных штрафах для компаний за повторную утечку персональных данных? Что в целом планирует предпринимать отрасль в связи с законом?

Алексей Дрозд: Если не углубляться в технические детали, то главное опасение — финансовые риски. Как вы докажете, что это новая утечка, а не компиляция старых данных? А если утечка уже произошла — как минимизировать штраф? Как снизить последствия реализации такого риска? И что я наблюдаю. Во-первых, «бумажки». Все занялись документооборотом, актуализацией, хотя раньше этим, как правило, все ограничивалось — главное было «формально закрыться» от претензий. Сейчас начали и процессы приводить в соответствие с законом — вплоть до их полной трансформации. И, конечно, начали покупать средства защиты, чтобы снизить сам риск. Я уже говорил, что есть два главных страха: первый — что риск вообще реализуется. Второй — что если он реализуется, а ты ничего не делал, то получишь максимальный штраф. Соответственно, отрасль планирует действовать по трем направлениям: первое — документы, второе — приведение процессов в соответствие с законом (вплоть до их трансформации), и третье — реальная, а не номинальная защита.

И вот второй пункт — он особенно интересен. Как быть, скажем, условному мастеру маникюра, который тоже обрабатывает персональные данные — пусть даже через приложение. Некоторые мастера, кстати, перешли полностью на работу через маркетплейсы. Чтобы записаться к ним, теперь можно только через платформу — они сами у себя ничего не хранят. А защищать данные тогда обязана уже площадка. Это такой способ минимизации рисков.

Некоторые действительно думают о трансформации процессов: кто-то отказывается от избыточного сбора персональных данных, кто-то старается минимизировать объемы, а кто-то остается в статус-кво — «авось не зацепит».

И тогда остаются два главных направления — работа с документами и реальная защита. В идеале — вообще не собирать персональные данные. Но это почти невозможно: если у тебя есть сотрудники, значит, ты уже их обрабатываешь. Тогда следующий шаг — минимизация. Собирать и обрабатывать только то, что действительно нужно. И, как вы правильно заметили, — все должно быть документально оформлено и соответствовать закону.

Cyber Media: Насколько велика осведомленность сотрудников о базовых правилах кибербезопасности?

Алексей Дрозд: Я бы сказал, что осведомленность сотрудников о тех или иных правилах стремится к 100%. В компаниях так или иначе проводится обучение. Согласно данным нашего исследованию, 78% компаний так или иначе обучает сотрудников правилам ИБ. Из них 59% составляют письменные регламенты, которые сотрудники должны изучить самостоятельно – это самая популярная форма обучения. То есть из серии: вы пришли на работу, вам дали бумагу и вы подписали, что прошли инструктаж по пожарной безопасности. Помните ли вы что-нибудь из этого инструктажа? Вот и я — не очень. Потому что до сих пор велика роль бумажной безопасности.

Такую статистику по качеству запоминания и усвоения, конечно, сложно собрать. Но в целом, скажу, ситуация улучшается. Все больше предприятий и организаций начинают проводить глобальные мероприятия по киберграмотности для своих сотрудников. И это уже не только зона ответственности штатных безопасников.

Cyber Media: Какие форматы сейчас популярны?

Алексей Дрозд: Появляются обучающие форматы, в том числе с элементами геймификации. Это, кстати, интересный подход, он работает. Кто внедрил — тот доволен. Люди любят совмещать учебу с элементами коллекционирования, тягой к эксклюзивности — условно говоря, получить какой-нибудь приз. Встречал также геймификацию с материальным поощрением: если ты хорошо учишься — получаешь внутреннюю валюту или даже премии.

Еще одна рабочая модель — концепция security buddy. Публично о ней, например, писала компания МТС. Если объяснять на пальцах — 90% повседневных вопросов у линейных сотрудников по ИБ не требуют участия высококвалифицированного безопасника. Ну, скажем: «Слушай, а это фишинговая ссылка или нет? Тут написано zlodei[.]ru, а письмо вроде от Банка. Мне переходить или не стоит?» Такие очевидные, но массовые кейсы, сотруднику проще обратиться к коллеге, который сидит рядом, чем писать официальное письмо в ИБ. Вот эти security buddy и берут на себя большой поток типовых запросов от коллег. А если сам buddy не уверен — уже эскалирует вопрос в службу безопасности. Это серьезно разгружает безопасников.