ИБ-рынку не хватает до 100 тыс. кадров, компании готовы платить больше

Компании готовы платить до 36% больше за компетенции специалистов по кибербезопасности с опытом более шести лет — в зависимости от их специализации. На фоне изменений в технологическом стеке особенно растёт спрос на экспертов по безопасной разработке, защите облаков, интеграции ИИ в ИБ и другим высокоуровневым направлениям.

Таковы ключевые выводы нового исследования, проведённого ГК «Солар» совместно с hh.ru. Зарплаты, компетенции и реальность рынка обсуждали в рамках сессии ЦИПР’25 «Кибербез 2030. Навыки востребованного специалиста».

Анализ рынка показал явный разрыв между ожиданиями соискателей и предложениями работодателей:

Несмотря на рост зарплат, рынок по-прежнему испытывает острый кадровый дефицит. Проблема не в количестве размещённых резюме — а в нехватке специалистов с нужными компетенциями и опытом.

По разным оценкам, нехватка кадров в сфере ИБ составляет от 50 до 100 тысяч человек. Работодатели готовы платить больше — но тем, кто обладает актуальными знаниями и может быстро включиться в работу. Таких кандидатов — меньшинство.

Половина специалистов уровня middle не проходит техсобеседование

«Мы видим это и в “Соларе”, и у наших заказчиков, — говорит Никита Обидин, директор по развитию образовательных программ ГК “Солар”. — Лишь 40–50% кандидатов уровня middle успешно проходят техническое интервью. У senior-уровня показатели выше — 70–80%.»

Что ценится на рынке?

Работодатели готовы предлагать зарплаты выше рынка, если кандидат обладает релевантным опытом и навыками, подчёркивает Обидин.

«Навыки устаревают стремительно, а учебные программы не успевают за рынком. Это и создаёт разрыв между тем, что нужно бизнесу, и тем, чему учат», — добавляет Татьяна Фомина, директор по ИТ и кибербезопасности hh.ru.

Среди факторов, формирующих рынок труда в ИБ, — перекос в сторону универсальных ролей. Например, на долю вакансий “Специалист по информационной безопасности” приходится 25%, тогда как востребованные позиции вроде DevSecOps составляют лишь 4%.

По оценкам аналитиков, лишь немногие кандидаты владеют современными инструментами — Kubernetes, CI/CD, архитектурными подходами, управлением проектами и навыками работы с облачными платформами.

Образование отстаёт на 3–4 года

«Ситуацию можно исправить, если перейти к ролевой модели обучения — через компетенции и участие практиков из отрасли», — считает Обидин.

В интервью Anti-malware.ru он уточняет:

«Фундаментальное образование в ИБ отстаёт от реальных требований на 3–4 года. Мы компенсируем этот разрыв через стажировки, менторство и практико-ориентированные треки».

Чем раньше студент попадает в реальную компанию, тем лучше, убеждён эксперт. Это даёт возможность сразу понять специфику работы и выбрать вектор развития.

«Например, в “Соларе” ежегодно проходят стажировки по 10 направлениям. Программа существует уже несколько лет, в 2024 году через неё прошли более 2,5 тысяч человек. Сотни из них остались в компании. Мы создаём экосистему для молодых специалистов, где они получают практику и строят карьеру в ИБ», — добавляет он.

ИБ — не надстройка над ИТ, а её часть

Алексей Волков, вице-президент по ИБ в «Билайне», считает, что ИБ и ИТ нельзя рассматривать как отдельные направления. В беседе с Anti-malware.ru он подчёркивает: эти функции тесно связаны технологически и организационно.

«Информационная безопасность — это тоже ИТ. Она должна жить по тем же принципам, предлагать бизнесу понятные решения и не мешать работе ИТ», — поясняет Волков.

Он выделяет три типа ИБ-инструментов: размещаемые в разрыв ИТ-инфраструктуры, надстраиваемые сверху и работающие параллельно.

«Для первых двух особенно важна надёжность. ИБ напрямую влияет на устойчивость всей ИТ-инфраструктуры», — говорит вице-президент по ИБ «Билайна».

«На самом деле firewall — это тоже сетевое устройство, а агент — это обычное приложение. Всё это — часть ИТ-среды. Поэтому ИТ-специалист должен понимать ИБ, и наоборот».

Кто отвечает в случае инцидента?

«ИБ — за безопасность, ИТ — за надёжность. Но в начале инцидента не всегда ясно, в чём причина. Например, DDoS или сбой фаервола? Если проблема в надёжности — отвечает ИТ. Но если фаервол был неправильно настроен — ответственность на ИБ».

«Безопасность влияет на доступность и бизнес-показатели. Значит, и метрики ИБ должны быть как у ИТ: SLA, удовлетворённость, скорость реакции», — подытоживает Волков.

Как бороться с выгоранием?

«Главная причина выгорания в ИБ — ощущение “невидимого результата”. В ИТ релиз — и команда получает признание. В ИБ — если ничего не случилось, значит, “повезло”. Хотя это тоже результат».

«Нужен продуктовый подход: метрики, внутренние клиенты, обратная связь. Это создаёт чувство ценности работы», — заключает он.

Что дальше?

Исследование hh.ru и ГК «Солар» показало:

• Компании готовы платить больше — но за подтверждённые навыки;
• Один только уровень зарплаты уже не решает — важны практика и встроенность в бизнес;
• Ключевой барьер — разрыв между подготовкой специалистов и реальными потребностями рынка.

Рынку кибербезопасности требуется устойчивая инфраструктура развития компетенций. Без неё даже самые большие бюджеты не спасут от утечек, простоев и провалов SLA.