Рынок труда информационной безопасности в России находится в парадоксальной ситуации: с одной стороны, отрасль испытывает дефицит квалифицированных специалистов, с другой — работодатели сетуют на неподготовленность выпускников профильных вузов. Cyber Media проанализировал мнения HR-специалистов и руководителей ведущих ИБ-компаний, чтобы разобраться, в чем корень проблемы и что нужно делать студентам для успешного трудоустройства.
Содержание
Первое, с чем сталкиваются выпускники ИБ-специальностей при поиске работы — это несоответствие романтических представлений о профессии и реального положения вещей. Образы гениальных хакеров из кино и сериалов, мгновенно взламывающих системы, кардинально отличаются от повседневной работы специалиста по ИБ.
Ольга Лапшина
HR бизнес-партнер блока информационной безопасности «Ростелекома»
Многие выпускники приходят с идеализированным восприятием, основанном на фильмах и сериалах, где ИБ-специалисты выглядят как гениальные хакеры, постоянно сражающиеся с киберпреступниками. В реальности же, работа в ИБ включает в себя множество других задач: анализ угроз, разработка политик безопасности, управление рисками, аудит систем, обучение сотрудников и многое другое.
Особенно остро эта проблема проявляется в двух самых популярных направлениях — пентестинге и работе в SOC (Security Operations Center). Студенты представляют себе захватывающие ежедневные баталии с хакерами, но сталкиваются с совершенно иной реальностью.
Виктория Шкляревская
HR бизнес-партнер Angara Security
Студенты сильно романтизируют профессии в ИБ после фильмов, где хакеры за секунды взламывают системы. Они не ожидают, что в жизни пентестерам предстоит ежедневная рутина в виде многочасового анализа данных, чтения и подготовки отчетов, общения с заказчиками и смежными подразделениями. В SOC же аналитик может месяцами разбирать ложные сработки прежде, чем ему удастся обнаружить реальный инцидент ИБ.
Эта рутинная составляющая становится серьезным испытанием для молодых специалистов, привыкших к динамичному ритму студенческой жизни и ожидающих постоянных вызовов.
Одно из самых болезненных разочарований для выпускников — заработная плата на старте карьеры. Разговоры о высоких доходах в ИБ, активно поддерживаемые со стороны образовательных курсов, создают нереалистичные представления о первоначальном уровне оплаты труда.
Александра Гергетт
Менеджер по работе с персоналом компании «Газинформсервис»
Мифы о «высокооплачиваемом ИБ» внушают, что джун на старте получит 300–500 тыс. рублей. В реальности первые 1–2 года — это тяжелая рутинная работа со средней оплатой, но с возможностью развиваться в любимой сфере.
Проблема усугубляется тем, что рынок ИБ сегодня перенасыщен молодыми специалистами без опыта, в то время как квалифицированных экспертов катастрофически не хватает. Работодатели вынуждены быть более селективными при найме джунов, повышая требования к кандидатам.
Основные финансовые заблуждения выпускников включают ожидание высокой стартовой зарплаты без практического опыта, уверенность в быстром карьерном росте, недооценку важности дополнительного образования и сертификации, а также представление о том, что диплом гарантирует трудоустройство в престижную компанию.
Несмотря на разнообразие направлений в информационной безопасности, эксперты сходятся во мнении о базовом наборе технических компетенций, необходимых любому начинающему ИБ-специалисту.
1. Сетевые технологии: практически все эксперты называют знание сетевых технологий критически важным навыком. Это фундамент, без которого невозможно эффективно работать в любом направлении ИБ.
Юрий Димов
Руководитель SOC uFactor компании UserGate
На старте кандидат должен обладать начальными навыками, соответствующими роли аналитика первой линии. Основы сетевой архитектуры критически важны. Кандидат должен разбираться в маршрутизации, основных протоколах (ICMP, IP, TCP, UDP, DHCP, DNS), знать, что такое VLAN и для чего нужен firewall, а также уметь различать роутер и маршрутизатор.
2. Уверенное владение операционными системами – второй по важности навык. Например, Linux становится все более востребованным в контексте импортозамещения.
Александра Гергетт
Менеджер по работе с персоналом компании «Газинформсервис»
Linux и базовая автоматизация. Уверенная работа в терминале, bash, cron, systemd, установка/настройка сервисов, понимание логов. Эти навыки универсальны и применимы и в SOC, и в пентесте, и в администрировании, и в анализе инцидентов.
3. Способность к автоматизации рутинных задач через написание скриптов. Это не только повышает эффективность работы, но и освобождает время для более сложных и интересных задач.
Минимальный набор технических навыков для трудоустройства включает:
Парадоксально, но именно «мягкие» навыки часто становятся решающим фактором при трудоустройстве молодых ИБ-специалистов. Работодатели готовы дообучить технически, но изменить личностные качества кандидата гораздо сложнее.
Ольга Лапшина
HR бизнес-партнер блока информационной безопасности «Ростелекома»
Среди «мягких» навыков, самый критически важный для успеха начинающего специалиста в ИБ — это коммуникативные навыки. В области ИБ специалисты часто работают в команде, взаимодействуют с коллегами из различных отделов, а также с клиентами и партнерами. Умение четко и ясно формулировать свои мысли, объяснять технические детали в доступной форме — это то, что поможет выпускнику быстрее интегрироваться в коллектив.
ИБ — одна из самых динамично развивающихся областей ИТ. Новые угрозы появляются ежедневно, технологии стремительно эволюционируют, а регуляторные требования постоянно меняются.
Полина Ванина
Бизнес-партнёр по персоналу NGR Softlab
Получать практические навыки, постоянно расширять свой кругозор и искать сообщество близких по духу людей, которые занимаются ИБ. Но самое главное – это, пожалуй, твёрдое желание что-то изменить в своей жизни, перейти на следующий этап и не бояться трудностей, которые могут при этом возникнуть.
Александра Гергетт
Менеджер по работе с персоналом компании «Газинформсервис»
Умение задавать правильные вопросы. Это ключевой навык для любого джуна. Не просто «а что мне делать», а: «Я попробовал вот это, увидел такой результат, но не понял вот это. Можете подсказать, в каком направлении копать?» Такой подход сразу отличает зрелого специалиста.
Критически важные soft skills для ИБ-специалиста:
Времена, когда диплом о высшем образовании был достаточным основанием для трудоустройства, остались в прошлом. Современные работодатели ИБ-сферы гораздо больше ценят практический опыт и демонстрацию реальных навыков.
Ольга Лапшина
HR бизнес-партнер блока информационной безопасности «Ростелекома»
Помимо диплома, самое ценное в резюме выпускника ИБ — это минимальный практический опыт. Это может быть прохождение стажировок, выполнение проектов по ИБ в рамках учебы или даже самостоятельные исследования и эксперименты. Работодатели ценят кандидатов, которые не только теоретически знают предмет, но и могут показать конкретные примеры своего применения этих знаний на практике.
Участие в соревнованиях по информационной безопасности и программах поиска уязвимостей стало одним из главных способов продемонстрировать практические навыки и подлинный интерес к профессии.
Александра Гергетт
Менеджер по работе с персоналом компании «Газинформсервис»
Конкретные самостоятельные проекты с кратким описанием. Это может быть: CTF-платформа, на которой он дошёл до уровня intermediate и пишет write-up'ы, GitHub с реальными скриптами, плагинами к Burp, парсерами логов, участие в Bug Bounty с публичным профилем. Это говорит нам, что студент не просто учился, а по-настоящему умеет работать руками и документировать процесс.
Стажировки также становятся критически важным элементом подготовки к карьере в ИБ. Они дают не только практический опыт, но и понимание реальных бизнес-процессов.
Ценные элементы портфолио выпускника:
Немаловажно отметить и роль ИИ. Современные студенты активно используют нейросети в обучении, что вызывает неоднозначную реакцию работодателей. С одной стороны, умение работать с современными технологиями — важный навык. С другой — чрезмерная зависимость от ИИ может препятствовать развитию собственных аналитических способностей.
Владислав Пеньков
Архитектор направления информационной безопасности Лиги Цифровой Экономики
Современные студенты постоянно используют ИИ для учебы. Эти мощные инструменты могут решать сложные задачи и иногда даже оказываются незаменимыми. Однако их постоянное применение чревато проблемами. В начале карьеры большинство дел направлены на развитие специалиста. Если сотрудник выполняет их с помощью ИИ, он ограничивает собственный рост.
Теория теорией, но что конкретно делать студенту, который хочет попасть в ИБ уже завтра? Эксперты единодушны: магической формулы нет, но есть проверенные шаги, которые работают. Главное — не распыляться и действовать системно.
Юрий Димов
Руководитель SOC uFactor компании UserGate
Выберите одно направление для старта, найдите стажировку по этому направлению и участвуйте в конкурсах. Даже если вам не удастся пройти отбор, вы получите представление о реальных запросах работодателей и сможете готовиться конкретно под них.
Рынок информационной безопасности в России активно развивается, но успешное трудоустройство в этой сфере требует от выпускников гораздо больше, чем просто диплом о высшем образовании. Работодатели ищут специалистов, которые сочетают технические навыки с практическим опытом, обладают сильными коммуникативными способностями и готовы к непрерывному обучению.
Ключ к успеху — это реалистичные ожидания, фокус на практических навыках и готовность начать карьеру с должности, которая может не соответствовать романтическим представлениям о работе в ИБ. Те, кто готов пройти этот путь, получают возможность строить карьеру в одной из самых перспективных и важных областей современной экономики.
Прокси-сервер — это посредник между пользователем и интернетом, который позволяет передавать запросы и получать ответы от имени клиента.
VirusTotal уже стал привычным инструментом для специалистов по информационной безопасности — через него проверяют подозрительные файлы, анализируют URL-адреса и собирают контекст об угрозах.
Фишинговых атак с применением искусственного интеллекта становится все больше.
В декабре 2021 года в популярной библиотеке Log4j дала злоумышленникам возможность всего несколькими строками кода установить полный контроль над сервером.
Рост числа онлайн-мерчантов и расширение эквайринговых сетей делают финансовую инфраструктуру всё более подверженной скрытым рискам.
Финансы давно переехали в смартфоны и браузеры: оплата, переводы, проверка баланса — все это мы делаем онлайн.
Нейросети значительно трансформировали пентест – они автоматизируют рутинную разведку и сканирование, ускоряют подготовку отчетов и повышают покрытие, одновременно ставя новые требования к контролю, конфиденциальности и экспертизе.
В середине текущего десятилетия рынок бесплатных антивирусных решений продолжает развиваться, предлагая пользователям базовую защиту от киберугроз.
Стремительное развитие и проникновение в цифровую инфраструктуру алгоритмов ИИ несет не только преимущества, но и повышает риски, расширяет поверхность атаки.
Долгое время Kali Linux оставался главным инструментом пентестеров и символом всей отрасли.
