На SOC-Форуме 2022 прошла секция «Дебаты», целью которой было обсудить острые вопросы взаимодействия вендоров и сервис-провайдеров. Дебаты мастерски провел Владимир Дрюков, директор центра противодействия кибератакам Solar JSOC «Ростелеком-Солар».

 

«Криворукие»  инженеры или плохой код?

Участники секции были условно разделены на две команды. Одна команда — вендоров или программистов, в которую вошли Антон Иванов, директор по исследованиям и разработке, Лаборатория Касперского; Игорь Сметанев, директор по стратегическому развитию, R-Vision; Павел Кузнецов, директор по продуктам (CPO), Гарда Технологии.

Вторая команда — сервис-провайдеров или инженеров, куда вошли Алексей Мальнев, руководитель Центра мониторинга и реагирования на инциденты ИБ Jet CSIRT, «Инфосистемы Джет»; Иван Мелехин, руководитель центра мониторинга и противодействия кибератакам IZ: SOC, Информзащита; Алексей Новиков, директор экспертного центра безопасности (PT Expert Security Center), Positive Technologies.

Эти два лагеря специалистов ИБ часто спорят между собой в реальной жизни. Инженеры говорят, что программисты плохо пишут код, а программисты утверждают, что инженеры «криворукие» и не умеют их продуктами пользоваться.

В рамках дебатов было проведено три раунда диалогов.  В результате зал должен был выбрать, какая из команд показалась более убедительной, и какой из команд аудитория отдала бы условную субсидию в 20 «олимпиардов» — инженерному составу или на развитие кода.

У нас нет возможности останавливаться на всех вопросах, которые прозвучали в ходе дебатов, поэтому мы остановимся лишь на некоторых. Сразу же скажем, что в условном противоборстве, Владимира Дрюков присудил победу дружбе, провозгласив, что победила дружба (хотя итоги голосования зала были несколько иные).

Что важнее: инвестиции в кадры или в разработку?

В этом году резко обострились две важных проблемы, которые существовали, впрочем, и ранее.

Первая – это нехватка кадров. В текущей ситуации наблюдается мощный кадровый отток. В каждой компании это сказывается по-разному. По наблюдениям Владимира Дрюкова, «в "Ростелеком-Солар" программисты сильно нервничают и пытаются релоцироваться, инженеры ведут себя поспокойнее, но отток все равно наблюдается».

При этом кадровая проблема обостряется, потому что уезжают именно те, кто востребован в других странах, в западных компаниях. Возможно это не лучшие, но значимые кадры для современной кибербезопасности, отметил Владимир Дрюков.

Вторая проблема — уход западных вендоров, который обнажил существование ряда технологических лакун и привел к пониманию необходимости инвестирования и создания собственных технологий.

Ведущий обратился к участникам дебатов с вопросом, что в моменте и в дальней перспективе важнее — инвестировать в кадры, в инженерный состав или в разработку и создание собственных продуктов.

«Сейчас идет активное импортозамещение, выпал целый класс решений, который много лет использовался, например, межсетевые экраны. Все в поиске замены таких сложных решений, для работы с которыми потом потребуются специалисты. Для того чтобы появились квалифицированные кадры, сначала должны появиться и внедриться продукты, чтобы на них начать обучать эти кадры. Если инвестировать сначала в инженеров, то с чем они сейчас будут работать? Ситуация такова, что не только ушли вендора, но нас еще заблокировали от технологического стека по многим параметрам, поэтому без достойных инвестиций в разработку не обойтись», — прокомментировал вопрос Антон Иванов.

По словам Игоря Сметанева, зарплатные ожидания стали меньше. Это означает, что крупные игроки наподобие Сбербанка и Ростелекома не будут у небольших технологических компаний переманивать кадры. Соответственно качество кадров и требования по зарплатам придут в состояние равновесия и возникнет возможность привлекать больше ресурсов для того, чтобы делать более качественные продукты.

«Более качественные предложения на рынке труда позволят более качественно распределять ресурсы внутри компании-разработчика», — подчеркнул эксперт.

Для эффективного импортозамещения у нас не хватает базового технологического стека, считает Павел Кузнецов. Это долгосрочная история: необходимо собрать элементную базу, на ней создать аппаратные комплексы и т. д.

«Поэтому с точки зрения вопроса, куда нужно вкладывать средства в моменте, кажется, что не в решения, потому что это "забег в долгую" на 15-20 лет, пока у нас появятся свои процессоры. Но с другой стороны, если не начать вкладывать в это уже сейчас, мы эту 20-летнюю дистанцию не пробежим. Надо вкладываться в продукты, в том числе вкладываясь в людей, которые эти продукты будут создавать и наполнять контентом», — прокомментировал эксперт.

«Наверное, очень печально, что клиентам, у которых не стало межсетевого экрана, ждать, когда разработают отечественные, — высказал свое замечание Алексей Новиков. — Эти задачи необходимо решать до 2025 года, т. е. здесь и сейчас».

По мнению эксперта, если необходимо решать только технические задачи, можно использовать open source.

При самостоятельной разработке продуктов без инженеров и технических специалистов не обойтись, потому что реально они понимают, как этот продукт должен функционировать и как его надо использовать

«Инженеры нужны, потому инциденты случаются, атакуют прямо сейчас и хороший инженер может дать прикурить гильдии программистов, быстро создав решение для работы над конкретным кейсом более качественно, быстро и оптимально», — считает Алексей Новиков.

Иван Мелехин предложил вернуться к изначальному вопросу: кому отдать грант инженерам или разработчикам?

«Давайте посмотрим, что творится на рынке, посмотрим отчеты вендоров о росте их выручки и т. д. По моим ощущениям в настоящий момент вендора сели на трубу с баблом и оно их заливает», — высказал свое мнение эксперт.

Такая ситуация сложилась в связи с тем, что все обязаны импортозаместиться.

«И когда говорят — давайте еще дадим денег программистам — это все равно, что заливать пожар бензином, у них и так денег очень много в текущих условиях», — считает Иван Мелехин.

Даже если организации купят в рамках импортозамещения новые замечательные продукты, а дальше что? Их нужно внедрять, поддерживать, эксплуатировать. И на это может потребоваться больше ресурсов, поскольку они еще не такие зрелые как решения ушедших компаний.

«Во многих странах десятилетиями вкладывают в образование, для того чтобы через какое-то время появились специалисты и они уже шаг за шагом усовершенствовали технологический стек. Безусловно, если смотреть фундаментально, нужно развивать человеческий ресурс», — заявил Алексей Мальнев.

Эксперт отметил, что компании делятся на доноров и паразитов с точки зрения кадрового рынка.

«Есть подход, когда некоторые компания вкладываются в студентов, стажеров, практикантов, способствуют их многолетней подготовке. Другие компании просто «хапают» с рынка этих людей, переплачивая им. Эти компании обладают хорошими ресурсами, но не хотят вкладывать средства в свои школы, институты, что очень печально. И данная тенденция больше свойственна для вендоров. Сервис-провайдеры, которые должны решать задачи "здесь и сейчас", в большей степени являются донорами кадрового рынка», — рассказал Алексей Мальнев.

21 ноября, 2022

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

04.10.2023
Для «бесконечно нарушающих» правила операторов ПДн введут уголовную ответственность?
04.10.2023
Ассоциация ФинТех представила исследование применения ИИ на финрынке
04.10.2023
ГИБДД без ИБ. В системе подразделения МВД наблюдается сбой
04.10.2023
ЦБ РФ нашёл в Сети на 50% больше фейковых банков, чем годом ранее
04.10.2023
«Крипта» ушла, криптомошенники остались
03.10.2023
Ответственность за цифровое пиратство ужесточат?
03.10.2023
Безбумажность на колёсах. Водители всё активнее пользуются «Госуслугами Авто»
03.10.2023
Началось серийное производство отечественного ноутбука
03.10.2023
В Совфеде допустили блокировку всех VPN-сервисов с марта 2024 года
03.10.2023
Китай планирует облегчить правила трансграничной передачи ПДн

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных