Кадровый голод и кибербезопасность: как государственным компаниям защититься от онлайн-угроз
Ежедневно десятки российских компаний сталкиваются с кибератаками. В прошлом году наибольший интерес злоумышленники проявляли к государственным организациям – каждая пятая кибератака была нацелена именно на госсектор, однако многие компании до сих пор легкомысленно относятся к вопросам защиты.
Генеральный директор компании-интегратора SDS Fusion, эксперт с 20-летним опытом в области систем оповещения и безопасности Дмитрий Ефимов рассказал о проблемах кибербезопасности в госструктурах и об их возможных решениях.
Главные киберриски для государственных компаний
За безопасность информационных систем в компании отвечает руководитель вне зависимости от того, идет ли речь о коммерческой фирме или государственном учреждении. Во втором случае имеется в виду должностное лицо, у которого есть полномочия принимать решения, в том числе и по бюджетным вопросам. В условиях растущей угрозы кибератак финансирование систем защиты данных становится особенно важным.
Государственный сектор играет ключевую роль в жизни страны, занимая значительную долю экономики и обеспечивая работой около трети трудоспособного населения. В связи с этим можно выделить пять ключевых рисков, связанных с атаками:
-
утечка персональных данных сотрудников государственных организаций;
-
компрометация важной государственной информации;
-
потеря личных данных граждан, обрабатываемых организациями (такими, как школы, больницы, МФЦ, ФНС и пенсионный фонд);
-
сбой в работе государственных служб, который способен привести к остановке деятельности ключевых министерств и ведомств;
-
финансовые потери из-за восстановления взломанных систем и штрафов за нарушение законов, таких как 152-ФЗ.
Потери могут быть значительными – с конца мая 2025 года штрафы за утечку персональных данных увеличатся в несколько раз.
В случае взлома баз данных крупных ведомств (например, ФНС или МФЦ) киберпреступники могут получить доступ к данным практически всех россиян, избежав необходимости собирать информацию по всей стране. Таким образом, государственные информационные ресурсы становятся особо привлекательной целью для хакеров.
Кадровый дефицит в сфере кибербезопасности госсектора
Государственный сектор сталкивается с серьезными трудностями в обеспечении защиты от цифровых угроз, и основная из них – нехватка квалифицированных специалистов. Несмотря на растущую угрозу кибератак, многие государственные учреждения продолжают полагаться лишь на базовые средства защиты, такие как стандартные антивирусы и двухфакторная аутентификация.
Одной из основных причин такой ситуации является финансовый аспект и общий кадровый голод.
Если коммерческие компании могут позволить себе держать в штате сотрудника по ИБ, то для бюджетных учреждений расходы на содержание высокооплачиваемых экспертов зачастую оказываются непосильной нагрузкой. Отсутствие профессиональных кадров приводит к тому, что руководители компаний вынуждены ориентироваться в выборе решений для защиты данных самостоятельно, часто не обладая достаточными знаниями и компетенциями. Второй вариант – доверять это молодым сотрудникам, которые пусть и не обладают достаточными практическими знаниями, но готовы работать за ту заработную плату, которую предлагают в госкомпаниях.
Другой проблемой становится высокий уровень текучести кадров. Как правило, государственные компании принимают на работу выпускников вузов, однако недостаток практических навыков делает их менее эффективными сотрудниками. Получив опыт, молодые специалисты зачастую переходят в частные компании, предлагающие значительно большую зарплату.
Как защитить государственный сектор от киберугроз
Сегодняшняя реальность требует новых подходов к обеспечению информационной безопасности государственных структур. Для эффективного противостояния возрастающему числу кибератак важно привлекать квалифицированных специалистов, способных грамотно выбирать и настраивать защитные решения.
Подготовка кадров – основа защиты
Для формирования необходимых компетенций в области инфраструктуры безопасности недостаточно теоретической подготовки. Необходимо развивать систему подготовки профессиональных кадров именно внутри образовательных учреждений, ведь большинство действующих экспертов в сфере ИБ уже трудоустроены.
Важно организовать процесс таким образом, чтобы выпускник вуза мог оперативно включиться в работу и эффективно внедрять современные технологии защиты. Решение проблемы заключается в организации стажировок для студентов на различных предприятиях, включая крупные IT-компании, которым уже сегодня рекомендовано активно взаимодействовать с учебными заведениями. По завершении такой практики необходим объективный итоговый экзамен, проводимый государственной системой контроля качества образования.
Такой подход сможет дать положительный результат, поскольку простимулирует предприятия реально передавать необходимые компетенции стажерам, а не только формально зачислять их.
Поддержка молодых сотрудников государственными структурами
Молодые специалисты, приходящие на работу в государственные учреждения, нуждаются в постоянной поддержке и развитии. Госкомпаниям рекомендуется инвестировать в повышение уровня квалификации своих сотрудников, создавая условия для регулярного прохождения курсов переподготовки и повышения квалификации.
Кибербезопасность представляет собой динамично развивающуюся сферу, где ежедневно появляются новые угрозы и методы атак. Следовательно, сотрудники должны регулярно обновлять свои знания и умения.
Для решения проблемы нехватки кадров в сфере информационной безопасности, особенно в государственных компаниях, можно рассмотреть возможность создания специальных программ для молодых специалистов. Эти программы могут включать в себя обучение с последующим трудоустройством, регулярные стажировки и обязательное условие работы в госсекторе в течение определенного периода (например, 5 лет).
Стимулом для участия в программе станет ряд преимуществ, включая доступ к льготным ипотечным программам и другим привилегиям, которые сделают работу в государственных структурах более привлекательной. Цель инициативы – создание непрерывного цикла подготовки квалифицированных специалистов по кибербезопасности и их удержания в госсекторе.
Важным элементом программы станет передача опыта: специалисты, завершившие обучение и работающие по программе, будут обязаны обучать новых сотрудников и обеспечивать плавную передачу дел при увольнении. Это позволит не только поддерживать высокий уровень квалификации кадров, но и формировать новое поколение экспертов в области информационной безопасности.
Кроме того, необходимы инвестиции в обновление самих защитных систем, так как даже самые опытные эксперты окажутся бессильны, если используемые ими инструменты устарели.
Проведение аудита государственных компаний
Государство может начать масштабную борьбу с кибератаками с аудита информационной безопасности во всех организациях госсектора. Цель аудита – собрать сведения обо всех используемых системах защиты, выявить устаревшие решения, неправильно настроенное оборудование и ресурсы, применяемые неэффективно. После такой проверки станет понятно, что можно обновить и какое актуальное программное обеспечение отечественного производства предложить данному предприятию.
Критерии выбора конкретного программного продукта могут зависеть от объема персональных данных, коммерческих сведений о деятельности компаний, налоговых документов и другой конфиденциальной информации, которая обрабатывается в конкретной госструктуре. Специалисты-консультанты смогут давать конкретные рекомендации по улучшению ситуации, исходя из выявленных рисков и уровня защищенности каждого ведомства.
Можно провести аналогию с другими сферами: пожарная безопасность, защита населения и территорий от чрезвычайных ситуаций, противодействие терроризму. Там проверяющие органы действуют на основе четких регламентов и нормативных актов, предъявляя понятные требования. В сфере кибербезопасности можно внедрить похожий подход, но инициатива должна исходить от высших органов власти. Нужно назначить ответственных за сбор, анализ и проверку информации, а на основе полученных данных выделять средства на модернизацию информационных систем и защиту от кибератак.
Малый бизнес в помощь государству в борьбе с кибератаками
Привлечение малого бизнеса к решению проблем кибербезопасности – быстрый и эффективный способ укрепить цифровую оборону страны. Несмотря на растущую популярность направления IT-образования, квалифицированные кадры появляются далеко не сразу – подготовка специалиста занимает годы. Однако угрозы возникают ежедневно, и именно малый бизнес способен стать важным союзником государства в обеспечении цифровой безопасности.
Аутсорсинг позволяет получить доступ к квалифицированным специалистам, обеспечивать круглосуточную поддержку (24/7) и использовать накопленный опыт и знания специализированных компаний. Это также экономически выгодно для государственных организаций.
Для эффективного решения проблемы можно рассмотреть создание государственной программы поддержки малого бизнеса в сфере кибербезопасности. Эта программа должна включать:
-
Финансовую поддержку – предоставление дотаций и льгот для развития компаний, специализирующихся на информационной безопасности.
-
Повышение квалификации – обязательное регулярное тестирование знаний специалистов по ИБ в независимой системе для подтверждения их компетенции и соответствия актуальным требованиям. Это особенно важно, учитывая постоянное развитие киберпреступности и появление новых угроз.
-
Строгие требования – установка четких критериев для компаний, желающих участвовать в программе, включая подтверждение квалификации и прохождение «входного» тестирования на соответствие требованиям госсектора.
-
Государственные закупки – выделение бюджета на закупку услуг аутсорсинга по информационной безопасности для государственных организаций.
Такое взаимодействие обеспечит необходимую комплексную защиту и повысит общий уровень информационной безопасности страны.
