Добиваться огромной прибыли на производстве и потерять все в один день из-за неоцененности других сфер - проще простого.
Технологии проникают везде. У бизнеса сегодня просто огромные паутины из информационных систем.
Чтобы обнаружить уязвимости и обеспечить безопасность системы нужен серьезный уровень подготовки специалистов. Они должны мыслить как хакеры, программировать как разработчики, проводить анализ как инженеры.
Стоимость таких специалистов на мировом рынке поражает воображение.
Средняя зарплата за 2021 год была на уровне 69 000$ в год и это ведь средняя зарплата, а диапазон от 45 до 100 в тысячах долларов США дает четкое понимание, что разница в уровне специалиста и в масштабах компании играет важнейшую роль.
Почему компании выкладывают такие деньги не задумываясь?
Растёт количество цифровых продуктов, а значит и их уязвимостей. Появляется всё больше новостей о хакерских взломах и все крупные и даже маленький компании боятся репутационных и финансовых потерь (не знаю, что для них страшнее даже), потому вкладывают огромные суммы в кибербезопасность
Вместе с этим правительства стран постоянно модернизируют законы о хранении персональных данных, требуя от бизнеса защищать их должным образом. А разве в каждом бизнесе есть необходимость содержать специалиста по информационной безопасности?
Найм специалистов по Пентесту или т.н "белых хакеров" на постоянной основе для малого и среднего ( да и частенько для крупного бизнеса в России) зачастую выходит в сумму чистой прибыли предприятия и поэтому такие работы проводятся по договору, один раз в определенный период.
Чаще всего обновление системы защиты привязано не к календарным срокам, а к появлению новых программных продуктов либо реорганизациям предприятий.
В чем ценность таких специалистов?
Вот лишь примерный, краткий список навыков, которыми должны и обладают хорошие специалисты по кибербезопасности или же пентестеры.
- навык извлечения данных из веб-страниц, понимание того, как работают браузеры и периферийное программное обеспечение;
- знание особенностей языков программирования и типовых ошибок, которые могут допустить разработчики служебных программ и комплексов на предприятии;
- основы администрирования операционных систем Linux и Windows для проведения аудита безопасности, фильтрации трафика и других способов защиты от атак на сетевые сервисы;
- понимание основных сетевых протоколов (HTTP, TCP, DNS) / сетевых служб (Proxy, VPN, AD);
- знание компьютерной безопасности с разных сторон, включая криминалистику, системный анализ и многое другое;
- навыки использования софта для аудита и эксплуатации уязвимостей, например SqlMap, Nmap, Metasploit, Acunetix, Burp Suite и прочее;
- знание особенностей работы баз данных и комплексов для создания и разработки сайтов ( CMS ), способов защиты их от атак;
- коммуникативные навыки и понимание как хакеры используют человеческий фактор для получения доступа к защищенным системам;
- умение автоматизировать свою работу.
Я думаю вполне разносторонний спектр различных знаний и хороший бизнес - это ценит.
А тот, кто живет "на авось" как правило становится героем статей про то как неизвестные хакеры взломали базу данных.... в сеть утекли миллионы сведений....сотни исковых заявлений от клиентов компании.... и так далее.
Экономия - это хорошо, но безопасность превыше всего.