Свіженької статистики підвезли. Смачної. А статистика в українській індустрії кібербезпеки — справжній дефіцит.
Її практично ніхто не збирає, а якщо збирає — є багато питань до її релевантності та правдивості. А якщо статистика релевантна та правдива, розповсюджують її лише серед самих опитуваних, а широкому загалу про то нічого не відомо (палкий привіт міжнародним аналітичним фірмам).
Ще, великі компанії збирають дані серед своїх клієнтів, але не публікують їх. І спрямованість таких опитувань зазвичай має суто комерційний підтекст: «а що іще ви б хотіли у нас купити?»
Державні установи теж якісь дані збирають, але там проблема з повнотою та релевантністю. Та й взагалі: світ кібербезпеки перетинається з державними установами лише тоді, коли державі треба знов щось “врегулювати” або ж захистити чергові вибори. Але це тема для іншого посту.
З іншого боку, дослідження «Стан професії 2019: дослідження спільноти кібербезпеки» є подією унікальною, а зібрані дані — достатньо правдиві та релевантні. Чому, питаєте? Тому що в опитуванні взяли участь 250 спеціалістів з кібербезпеки. За різними суб’єктивними оцінками, в Україні таких людей від 3–4 тис. до 7–8 тис., але це не точно. Тому що, знов ж таки, правдивої статистики з цього питання немає.
Але в будь-якому разі 250 респондентів — це близько 3–5% індустрії, що є цілком репрезентативною вибіркою. Для порівняння: всього у сфері ІТ в Україні працює близько 160 тис. людей. Цим даним можна більш-менш довіряти, оскільки офіційна статистика формується по КВЕДах зареєстрованих підприємств, а кількість працівників по підприємствах приблизно відповідає дійсності.
Ще тому, що опитування проводилося анонімно і на публічному ресурсі, і кожен міг до нього приєднатися. Далеким від кібербезпеки людям це опитування не цікаве, тому можна стверджувати, що респонденти точно працюють в індустрії та не мають мотивів подавати неправдиву інформацію.
А ще опитування не тягне за собою ніяких наслідків і має на меті лише збір статистичних даних для подальшого оприлюднення. Ніхто на цьому анічогісінько не заробляє. Останнє подібне опитування проводилося у 2016 році, в ньому взяло участь 95 людей. 95 проти 250 — непоганий приріст, еге ж?
Опитування проведено відомою в українській кібер-спільноті компанією Бережа Сек’юріті. Так, це невелика комерційна компанія. Але спільноті також відомо, що усі її працівники (включно з власниками та керівниками) є громадськими активістами, беруть участь в організації різних кібер-заходів, активно пропагують кібербезпеку, мають позитивну репутацію та однозначну проукраїнську громадянську позицію. Активні однодумці в одному місці — нічого дивного. А ще, ми не колекціонуємо персональні дані учасників опитування 🙂
Але давайте вже роздивлятися результати.
Q1: Вашу теперешню роль найкраще описує фраза:
На першій діаграмі вказано, які ролі виконують опитані, чим займаються в індустрії. Тут немає відкриттів: інженерів більше, ніж керівників, і це нормально. Хіба ще якось забагато посад «Керівник відділу/групи/проекту/програм» — аж 51 людина з 250. Але у нас в кібербезпеці досить часто одна людина і є «групою» чи то «програмою». Також, досить часто у не кібербезпекових компаніях питаннями кібербезпеки опікується один-єдиний працівник, який має повне право називати себе ким завгодно, хоч CISO.
Ага, іще шестеро студентів долучилося до опитування. Дивно, мало б бути більше. З власного досвіду знаю, що дуже багато студентів слухають подкасти, дивляться вебінари, ходять на конференції, волонтерять. Може, вони просто ще не асоціюють себе зі світом кібербезпеки, мовляв, «я ще поки навчаюся»? Може, так і треба, а може й ні. Це залежить від самосприйняття та позиціонування себе в індустрії.
Q2: Ваше місце роботи найкраще характеризується фразою:
Наступна діаграма показує, хто де працює. Близько 70% — у приватному секторі. Майже 13% працюють у державному секторі. Двоє людей з органів місцевого самоврядування привертають особливу увагу. Кібербезпека проникає у найпотаємніші куточки суспільного життя. Привіт вам, одинокі однодумці, яким доводиться працювати «на холоді».
Q3: Більшу частину робочого часу ви присвячуєте:
Наступна діаграма: хто чим займається у рамках професії. Тут також без сенсацій: більшість колег займаються усім. І підтримкою, і процесами, і проектами, і аудитом, і розслідуваннями, і навчанням.
Q4: Ваш стаж у галузі кібербезпеки складає:
Діаграма про стаж роботи у кібербезпеці показує, що досвід градуює рівномірно, без ривків та перекосів. Хіба що, більш досвідчені (від 5 років досвіду) складають майже 48%. Це добре демонструє основну проблему ринку праці кібербезпеки: нам катастрофічно не вистачає тих, кого зазвичай називають «мідлами». Тобто спеціалістів, які вже достатньо досвідчені для автономного виконання серйозних задач.
Q5: Ваш рівень освіти відповідає одному з таких варіантів:
Діаграма про рівень освіти взагалі нудна: 71% колег мають повну вищу освіту. Ну що тут неочікуваного? Щоб займатися кібербезпекою, треба розумітися на ІТ, на програмуванні, на системному адмініструванні, і ще у десятці галузей. Звісно, знати англійську. Як тут обійтися без вищої освіти?
Q6: Ви володієте такими професійними сертифікатами та акредитаціями:
Шосте питання про професійні сертифікати. Зупинімось на цьому важливому аспектові детальніше.
Сертифікати взагалі-то придумали для того, щоб роботодавцю, який хоче найняти фахівця, але сам нічого у кібербезпеці не розуміє, було легше скласти уявлення про професійну підготовленість кандидата. Ось, скажімо, невелика торговельна компанія, або завод, або транспортне підприємство: мають веб-сайт, електронну пошту, розподілені мережі, комп’ютеризований бухгалтерський облік, відділ маркетингу тощо. Вони вже потребують фахівця з безпеки, бо розуміють загрози як з боку конкурентів, так і з боку «диких» шахраїв та хуліганів з Інтернету. Починають шукати фахівця, стикаються з десятками пропозицій, але не можуть розібратися як знайти «нормального», але не задорого, помірно. «Нам зірки не потрібні, у нас завдання нескладні». Запрошують кількох на співбесіду, де кандидати розповідають, які вони класні, сиплять незрозумілими термінами, розказують про досвід роботи у незнайомих роботодавцю компаніях, про реалізовані проекти. Але HR (кадровик) нічого у тому не розуміє, та і директор також. Люди працюють у геть іншій галузі. А ось наявність міжнародного професійного сертифіката — це вже показник. Це означає, що людина щонайменше вчила теоретичну частину, напружувалася, складала іспити, демонструвала практичні навички (якщо програма сертифікації це передбачає).І екзаменаторами були експерти з ім’ям, яким ніяк не даси хабара за «залік». І актуальність такого сертифікату можна перевірити самостійно, онлайн. Тобто, людину з сертифікатом точно можна запрошувати на інтерв’ю, придивитися. Саме тому наявність одного чи декількох сертифікатів є однозначною перевагою при прийнятті на роботу. Але слід зазначити, що кількість сертифікатів не завжди означає вищу кваліфікацію фахівця. Скажімо, для деяких завдань наявність єдиного OSCP важить набагато більше, ніж CEH, CISSP та CISA разом узяті.
Тепер поглянемо на статистику по сертифікатах. «Не володієте професійними сертифікатами, але бажаєте їх отримати» — 57%. Звичайно, погано, що більшість «не володіє», але добре, що «бажає отримати». Очевидно, міжнародні практики ще не дійшли до українського ринку, або «недостатньо дійшли».
«Принципово не володію професійними сертифікатами” — 23 людини, 11%. Думаю, це ті люди, діяльність яких не пов’язана з технічними аспектами кібербезпеки. Також можливо, це ті з колег, яким вже не треба нікому нічого доводити про свій професійний рівень. Або ж ті, хто працює у кібербезпеці, але займається аналітикою, адміністративними та організаційними питаннями, загальним менеджментом проектів тощо. Але для студентів та початківців отримання професійного сертифіката є must have для розвитку у професії та взагалі для входження у неї. Тема «принципово не володію» скоро вже закінчиться і без сертифіката працювати у кібербезпеці не вийде.
Що радує: аж 10 колег повідомили, що мають OSCP (4,59%). Ще п’ять років тому таких людей було до 10 на всю країну.
Сертифікати по СУІБ (система управління інформаційною безпекою) мають 28 колег, 12,84% відповідно. Непогано.
Жодна людина не заявила про сертифікати SANS GIAC. Сертифікат, зрозуміло, крутий, але викласти 5–10 тисяч доларів за тиждень навчання фахівця не може собі дозволити практично ніхто. Тобто гроші-то є, але поки що бізнес не бачить сенсу витрачати такі величезні суми на навчання кібербезпеці.
Q7: Ви володієте сертифікатами таких галузевих вендорів:
Діаграма про володіння сертифікатами галузевих вендорів відображує просту штуку: розповсюдженість обладнання цих вендорів. Якщо в країні експлуатується найбільше обладнання від Cisco, Microsoft та Fortinet — відповідно, видано найбільше сертифікатів саме цих постачальників.
Серед цікавого ще б зазначив наявність у семи людей сертифікату AWS (респект, хай живе хмара), у восьми — від Splunk (підтверджує тезу про поширення SOC/SIEM), у трьох — від FireEye (дуже недешеві рішення, але вже купують), лише у трьох — від CheckPoint (мало б бути більше) і один опитуваний повідомив про сертифікат від Arbor. Щодо останнього маю здогадку хто це (точніше — де працює), але не скажу. Настільки дорогі рішення може собі дозволити лише пара-трійка організацій в нашій країні.
Q8: В який спосіб ви берете участь у обговореннях професійних тем?
Наступне питання опитування: «У який спосіб ви берете участь в обговореннях професійних тем?» Тут статистика позитивна: більшість беруть інформацію зі спілкування у професійних групах в соцмережах, конференцій з кібербезпеки, професійних зустрічей, особистого спілкування. Не зрозумів про «професійні форуми», 44%: здається, форуми як метод спілкування залишився актуальним лише серед “блекоти”. Для «біло-капелюшних» професіоналів форум як форма спілкування застаріла вже років десять як. Ще, можливо, “за порєбріком” якісь існують. Але я про те не в курсі та й можу помилятися.
Q9: Де ви знаходите корисну інформацію на професійні теми?
Наступне питання опитування прямо пов’язане з попереднім: «Де ви знаходите корисну інформацію на професійні теми?» Усі вказані джерела є інформативними, хоча з різним ступенем довіри. Скажімо, інформація з новин практично завжди потребує ретельної перевірки через необізнаність більшості журналістів у питаннях кібербезпеки, поверхове ставлення до надійності джерел інформації, та проф(не)придатності залучених до коментарів «експертів». Новини з професійних онлайн-ресурсів набагато більш правдиві, але українських серед них практично немає, здебільшого невеликий розділ «кібербезпека» на порталі новин.
Або ж стосовно Телеграм. Знаю, в одній з груп там спілкуються кілька сотень колег. Але особисто я не вважаю даний месенджер достатньо безпечним, особливо для обговорення питань безпеки. Плюс російське походження: те, до чого доторкнулася расеюшка довіряти не можна апріорі. Але це моє особисте, параноїдальне.
На цьому за результатами відповідей з опитувальника у мене все, всього було 9 питань. Тож вйо до висновків.
Висновки
Для чого взагалі потрібна така статистика? Загалом вона відповідає на питання «Хто ми?», «Скільки нас?», «Чим ми займаємося?», «Що нас цікавить?» та інші актуальні питання. Статистика дає натяки відповідей на питання «Які зараз тренди», «Що є найближчою перспективою», «У якому напрямку розвиватися», та й загалом «Що буде завтра?»
Статистика потрібна споживачам послуг кібербезпеки, щоб мати уявлення що відбувається на цьому ринку, а для деяких — взнати, що він взагалі існує за межами «нашого програміста-комп’ютерника». У практичній площині це зазвичай означає «Які можуть бути критерії відбору фірми чи наймання кібер-фахівця».
Статистика потрібна й галузі кібербезпеки, перш за все, щоб розуміти, хто є хто всередині індустрії.
Також, реальна статистика потрібна, як не дивно, державним інституціям.
Нещодавно прочитав десь у новинах (не певен у правдивості), що 4% ВВП України дає ІТ-індустрія. Схожі цифри інколи озвучують інші джерела. Зрозуміло, що більшість ІТ-індустрії та кібер-індустрії знаходиться нижче радарів офіційної статистики, але все ж доля ІТ-сектору досить значна, якщо навіть офіційна статистика каже про 4% ВВП.
Теж саме про індустрію кібербезпеки. Оцінити її якоюсь більш-менш правдивою статистикою неможливо. Чиновники різного рівня люблять вихвалятися «ми відбили 100500 атак за звітний період». У професійному середовищі такі заяви викликають сумну саркастичну посмішку. «А якщо рахувати по сканах портів, то взагалі вийде мільйони за секунду».
Але ж реальні дані про стан галузі державі Україна також потрібні.Для розумного (підкреслюю — розумного!) її регулювання, для позитивного стимулювання розвитку галузі, для планування кількості бюджетних місць навчання фахівців, для розробки шкільного курсу кібербезпеки, для обчислення обсягу коштів на кіберзахист критичної інфраструктури, фінансування відповідних підрозділів та державних установ, та ще задля багато чого суспільно-корисного. Це в ідеалі, якщо припустити, що наші чиновники працюють в наших інтересах, а не на свою кишеню.
Саме тому такими важливим є паростки статистики від самої професійної спільноти. Їх найголовніша цінність у тому, що вони починають з’являтися. До формування цих даних долучаються все більше професіоналів. Ця статистика неупереджена, не має маркетингового характеру, не збирає персональні дані, не веде до небажаних або каральних наслідків. Вона об’єктивна і може бути використана для саморозвитку спільноти.
Можливо, надані у цьому огляді дані не в повній мірі зображають реальний стан професії. Не виключаю. Але це максимально правдива інформація на фоні решти суцільного «нічого».
Кібербезпека взагалі є відносно молодим трендом з огляду на усю історію людства. Тож долучайтеся й долучайте колег. Ми з вами на початку великого шляху.
Бережімося.