Прошлые две недели прошли у меня под знаком американского флага. Мне пришлось дважды летать в Штаты (почему нельзя было остаться между командировками там и не тратить больше суток в самолете оставлю за рамками заметки) - одна командировка была связана с SOC, а вторая - с глобальным мероприятием Cisco. И если про результаты первой я еще напишу (там было много интересных мыслей и разоблачений мифов), то о второй мне хотелось бы написать именно сейчас. Пока свежи впечатления (да и разгребать почту за время отпуска и двух недельных командировок с накрывшим джетлегом не особо хочется).
Обратите внимание, больше специалистов делать никто не хочет (зато хотят запретить им выезд заграницу). Во-первых, это долго (минимум 4 года, а то и все 6, в зависимости от специальности) и рынок не готов столько ждать. Во-вторых, число ВУЗов, готовящих таких специалистов, сокращается. Если сравнить текущий список учебных заведений, входящих в УМО по ИБ, с тем, что было еще несколько лет назад, то разница составит не менее 25% и динамика эта негативная. В-третьих, уровень преподавания в ВУЗах оставляет желать лучшего (почему - это отдельная тема). Отсюда и нежелание заниматься увеличением числа выпускников и рост дефицита безопасников. Но дефицит этот будет компенсироваться не за счет людей.
Рустем Хайретдинов в Facebook последнее время не раз уже писал про замену людей роботами. И если отбросить фантастический флер, которым овеян термин "робот", то это тенденция действительно имеет место в индустрии ИБ. Машинное обучение, аналитика, автоматизация, API... Все это снижает зависимость от человека, возможности которого по борьбе с современными динамично изменяющимися угрозами сильно ограничены. Зачем нужен человек, если программа готова пропускать через себя триллионы событий ежедневно и гораздо быстрее обнаруживать в них признаки аномалий и иной несанкционированной активности, чем человек? Зачем нужен homo sapiens, которому еще и свойственно ошибаться, терять концентрацию, делать неправильные выводы? Аналитические системы и подсистемы (в различных их проявлениях) постепенно вытесняют человека, оставляя ему все меньше функций и дел.
Если посмотреть на современный рынок ИБ, то он уходит в облака и аутсорсинг. У многих продуктов появляется SaaS-версии, которые пока являются интересной, но все-таки опцией. Со временем же эта опция станет доминировать, а потом и заменит свои on-premise решения. Эта тенденция совсем не видна в России (у нас нет SaaS-решений по ИБ), но она очень хороша заметна на Западе. Классические производители программных и аппаратных решений по ИБ стали уходить в облака, предлагая своим заказчикам новые возможности по управлению ИБ. И это связано не только и не столько с желанием заработать, сколько с потребностями самих заказчиков, которые не в состоянии в круглосуточном режиме заниматься своей ИБ.
Сегодня даже межсетевые экраны уходят в облака, полностью переходя на внешнее управление. А ведь совсем недавно именно эти решения были ярким примером решений, которые всегда находятся в руках заказчика. Да, за ними пока остается функция формирования политик, но развертывание МСЭ, изменение конфигураций, обновление ПО, реагирование - все это уходит в облако, высвобождая безопасников внутри компаний. Пока их можно переключать на другие задачи, до которых раньше не доходили руки. Но что потом, когда все задачи уйдут в облако? Кому будут нужны безопасники, которые раньше кичились своей нужностью и дефицитностью? Кто будет платить им большие зарплаты? Бизнес только выигрывает от этого. Ему больше не нужно содержать штат высокооплачиваемых людей, которые не умеют говорить с бизнесом на его языке и которые занимаются непрофильной для бизнеса активностью. Поставьте себя на место финансового директора, который стоит перед дилеммой - оплатить счет на 60 тысяч долларов за новую систему аналитики в ИБ или такую же сумму выделить на фонд оплаты труда безопасника? При этом ФОТ надо выделять ежегодно (да еще и с постоянным увеличением), а оплатить счет только один раз (стоимость ежегодной поддержки будет в разы ниже).
Что, все вот так плохо? И да, и нет. Я немного сгущаю краски, беря самый пессимистичный сценарий развития событий. Да, для него есть все предпосылки, но все-таки и 100%-вероятным его считать нельзя. С другой стороны, то, что происходит на мировом рынке, говорит именно о таком исходе. Подготовить нужное количество квалифицированных людей сегодня просто невозможно - гораздо эффективнее попробовать заменить их на "роботов", что я и наблюдаю, посещая различные мероприятия (Gartner, RSA, Cisco, InfoSecurity и т.п.).
До России это все пока не докатилось и, как я уже писал, в условиях импортозамещения докатится еще не скоро (увы, надо признать, что рынок отечественных разработок по ИБ далек от своего западного коллеги и отказа от людей нам ждать не приходится). Но и расслабляться не стоит. Технологии развиваются стремительно и совсем скоро мы можем получить письмо по электронной почте от HR-робота, что в наших услугах компания больше не нуждается :-(
Год назад я уже задавался философским вопросом: "Кому ты будешь нужен через 5 или 10 лет?" И про замену человека искусственным интеллектом тоже писал (длительные перелеты способствуют философским рассуждениям). Сейчас я хочу вновь вернуться к этому вопросу, но немного с иной точки зрения. Все мы знаем, что выпускники ВУЗов, идущие на свою первую работу, обычно хотят денег - много и сразу. Отчасти, потому что это свойственно молодости, переоценивающей свои навыки и квалификацию. Отчасти, потому что эти выпускники прочитали/услышали, что специалистов по ИБ не хватает. По разным оценкам такая нехватка составляет не менее 1 миллиона человек по всему миру. В России же не хватает по оценкам Минтруда около 50-60 тысяч специалистов по ИБ. Отсюда многие делают вывод, что в условиях дефицита можно требовать много денег. Увы... Читая новости про отсутствующий миллион специалистов по ИБ, все забывают, что речь идет о квалифицированном персонале, а не вообще о тех, кто готов называть себя ИБ-специалистом.
Такая нехватка приводит к тому, что компании (и потребители, и производители) начинают искать выход и находят его в двух направлениях:
- автоматизация операций, которые раньше выполнял человек; причем не только рутинных
- аутсорсинг (в том числе и ввиде перехода на облачные технологии).
Обратите внимание, больше специалистов делать никто не хочет (зато хотят запретить им выезд заграницу). Во-первых, это долго (минимум 4 года, а то и все 6, в зависимости от специальности) и рынок не готов столько ждать. Во-вторых, число ВУЗов, готовящих таких специалистов, сокращается. Если сравнить текущий список учебных заведений, входящих в УМО по ИБ, с тем, что было еще несколько лет назад, то разница составит не менее 25% и динамика эта негативная. В-третьих, уровень преподавания в ВУЗах оставляет желать лучшего (почему - это отдельная тема). Отсюда и нежелание заниматься увеличением числа выпускников и рост дефицита безопасников. Но дефицит этот будет компенсироваться не за счет людей.
Рустем Хайретдинов в Facebook последнее время не раз уже писал про замену людей роботами. И если отбросить фантастический флер, которым овеян термин "робот", то это тенденция действительно имеет место в индустрии ИБ. Машинное обучение, аналитика, автоматизация, API... Все это снижает зависимость от человека, возможности которого по борьбе с современными динамично изменяющимися угрозами сильно ограничены. Зачем нужен человек, если программа готова пропускать через себя триллионы событий ежедневно и гораздо быстрее обнаруживать в них признаки аномалий и иной несанкционированной активности, чем человек? Зачем нужен homo sapiens, которому еще и свойственно ошибаться, терять концентрацию, делать неправильные выводы? Аналитические системы и подсистемы (в различных их проявлениях) постепенно вытесняют человека, оставляя ему все меньше функций и дел.
Если посмотреть на современный рынок ИБ, то он уходит в облака и аутсорсинг. У многих продуктов появляется SaaS-версии, которые пока являются интересной, но все-таки опцией. Со временем же эта опция станет доминировать, а потом и заменит свои on-premise решения. Эта тенденция совсем не видна в России (у нас нет SaaS-решений по ИБ), но она очень хороша заметна на Западе. Классические производители программных и аппаратных решений по ИБ стали уходить в облака, предлагая своим заказчикам новые возможности по управлению ИБ. И это связано не только и не столько с желанием заработать, сколько с потребностями самих заказчиков, которые не в состоянии в круглосуточном режиме заниматься своей ИБ.
Сегодня даже межсетевые экраны уходят в облака, полностью переходя на внешнее управление. А ведь совсем недавно именно эти решения были ярким примером решений, которые всегда находятся в руках заказчика. Да, за ними пока остается функция формирования политик, но развертывание МСЭ, изменение конфигураций, обновление ПО, реагирование - все это уходит в облако, высвобождая безопасников внутри компаний. Пока их можно переключать на другие задачи, до которых раньше не доходили руки. Но что потом, когда все задачи уйдут в облако? Кому будут нужны безопасники, которые раньше кичились своей нужностью и дефицитностью? Кто будет платить им большие зарплаты? Бизнес только выигрывает от этого. Ему больше не нужно содержать штат высокооплачиваемых людей, которые не умеют говорить с бизнесом на его языке и которые занимаются непрофильной для бизнеса активностью. Поставьте себя на место финансового директора, который стоит перед дилеммой - оплатить счет на 60 тысяч долларов за новую систему аналитики в ИБ или такую же сумму выделить на фонд оплаты труда безопасника? При этом ФОТ надо выделять ежегодно (да еще и с постоянным увеличением), а оплатить счет только один раз (стоимость ежегодной поддержки будет в разы ниже).
Что, все вот так плохо? И да, и нет. Я немного сгущаю краски, беря самый пессимистичный сценарий развития событий. Да, для него есть все предпосылки, но все-таки и 100%-вероятным его считать нельзя. С другой стороны, то, что происходит на мировом рынке, говорит именно о таком исходе. Подготовить нужное количество квалифицированных людей сегодня просто невозможно - гораздо эффективнее попробовать заменить их на "роботов", что я и наблюдаю, посещая различные мероприятия (Gartner, RSA, Cisco, InfoSecurity и т.п.).
До России это все пока не докатилось и, как я уже писал, в условиях импортозамещения докатится еще не скоро (увы, надо признать, что рынок отечественных разработок по ИБ далек от своего западного коллеги и отказа от людей нам ждать не приходится). Но и расслабляться не стоит. Технологии развиваются стремительно и совсем скоро мы можем получить письмо по электронной почте от HR-робота, что в наших услугах компания больше не нуждается :-(
Есть ли у вас план на такой случай?
Я не буду делать никаких выводов - каждый их сделает сам. Просто задумайтесь, не откладывая решение этого вопроса "на потом". Скоро на рынке труда будет жестокая драка за место под солнцем и никакие прошлые заслуги и регалии не помогут.
Алексей, интересно мнение, на сколько реально заменить ИИ специалиста по внедрению в организации СУИБ по ISO 27001?
ОтветитьУдалитьА что есть внедрение? Это набор действий, предусматривающих выбор, внедрение, настройку средств защиты и оргмер. Что-то можно автоматизировать, что-то нет.
ОтветитьУдалитьДля России в нынешней модели политической и законодательной структуре это не актуально...а эти две составляющие если и будут меняться то минимум лет пять до принятия решения о смене и еще минимум лет пять до внедрения...так что лет десять...все будет стабильно.
ОтветитьУдалить10 лет пролетит очень быстро
ОтветитьУдалить