Дефицит кадров в кибербезопасности искусственная проблема, созданная завышенными требованиями и отсутствием инвестиций в развитие специалистов.
Вакансии по кибербезопасности висят месяцами. Компании жалуются на катастрофическую нехватку кадров, публикуют исследования о миллионах незакрытых позиций, предсказывают коллапс отрасли из-за дефицита специалистов. Зарплаты растут, бонусы увеличиваются, условия улучшаются. Кандидаты откликаются сотнями. Отказы приходят один за другим. Требования к позиции junior включают пять лет опыта работы с технологиями, появившимися два года назад.
Вакансия на роль аналитика требует экспертизу в дюжине инструментов, сертификаты, знание трёх языков программирования. Дефицит кадров создан не отсутствием людей, а невозможностью им соответствовать.
Рекрутер получает описание вакансии от руководителя службы безопасности. Список требований занимает страницу.
- Опыт реагирования на инциденты — обязательно.
- Знание форензики — обязательно.
- Программирование на Python — обязательно.
- Понимание сетевых протоколов — обязательно.
- Опыт с конкретными инструментами мониторинга — обязательно.
- Сертификаты отраслевых организаций — желательно, но без них резюме отклоняется сразу.
Кандидат должен уметь всё, знать всё, иметь опыт во всём.
Резюме приходят. Кандидат с опытом в реагировании на инциденты, но без сертификата — отказ. Кандидат с сертификатом, но без опыта работы с конкретным инструментом, который компания использует — отказ. Кандидат с программированием на Python, но недостаточным опытом форензики — отказ. Вакансия висит полгода. Руководитель жалуется на нехватку специалистов. Рекрутер продолжает искать единорога.
Индустрия движется быстро. Новые инструменты появляются каждый квартал. Вендоры выпускают продукты, обещающие революцию в защите. Компании внедряют, специалисты осваивают. Через год инструмент морально устаревает, вендор прекращает поддержку или его поглощает конкурент. Опыт работы с этим инструментом теряет ценность. Но вакансии уже требуют экспертизу в новом поколении продуктов. Специалист не успевает за сменой технологий, а требования предполагают, что он уже эксперт.
Сертификация стала пропуском в профессию. Без бумаги от признанной организации резюме не рассматривается. Сертификат стоит тысячи, требует месяцев подготовки, проверяет теоретические знания. Практический опыт вторичен. Кандидат может годами работать в области, успешно закрывать инциденты, строить защиту — но без сертификата он не попадает даже на собеседование. Другой кандидат сдал экзамен, получил бумагу, но не провёл ни одного реального расследования. Его резюме проходит фильтр.
Сертификация превратилась в индустрию внутри индустрии. Организации зарабатывают на экзаменах, курсах подготовки, продлении сертификатов. Работодатели используют их как фильтр, не вдаваясь в то, что именно проверяет сертификат. Наличие аббревиатуры в резюме важнее реального опыта решения задач. Дефицит кадров усугубляется искусственным барьером входа.
Специализация дробится до абсурда. Раньше был специалист по безопасности. Теперь — аналитик угроз, инженер по реагированию на инциденты, архитектор облачной безопасности, специалист по защите конечных точек, эксперт по анализу малвари. Каждая роль требует узкой экспертизы. Компания ищет не универсального специалиста, способного разобраться в проблеме, а человека с точным опытом в конкретной нише. Кандидат с широким, но не глубоким опытом, отклоняется. Позиция остаётся вакантной.
Дробление ролей создаёт ситуацию, где специалист знает свой участок идеально, но не понимает контекста. Аналитик угроз генерирует отчёты, не зная, как их применить на практике. Инженер реагирования закрывает инциденты, не понимая, откуда они берутся. Архитектор проектирует защиту, не представляя реальной работы систем. Команда состоит из узких экспертов, которые не могут эффективно взаимодействовать, потому что каждый видит только свою часть картины.
Обучение внутри компаний сокращается. Проще нанять готового специалиста, чем растить своего. Но готовых специалистов нет — все требуют опыта, который негде получить без работы. Замкнутый круг. Junior-позиции требуют опыт. Позиции с обучением отсутствуют. Стажировки редки и конкурентны до невозможности. Как войти в профессию, когда каждая дверь требует опыта работы за этой дверью?
Кандидаты набивают резюме ключевыми словами, пытаясь пройти автоматические фильтры. Указывают инструменты, с которыми работали неделю на курсе. Завышают уровень владения технологиями. Резюме превращается в список терминов без реального наполнения. Рекрутер видит совпадение с требованиями, приглашает на собеседование. Техническое интервью показывает — кандидат не знает того, что указал. Отказ. Вакансия продолжает висеть.
Технические собеседования стали ритуалом. Кандидату дают задачу, которую в реальной работе никто не решает за ограниченное время без доступа к документации. Требуют написать код на доске, не видя экрана. Спрашивают детали протоколов, которые можно загуглить за секунду. Проверяют не способность решать реальные задачи, а умение проходить собеседования. Опытный специалист проваливает интервью, потому что не помнит наизусть RFC. Начинающий проходит, потому что зубрил типовые вопросы.
Компании отказываются от кандидатов, не соответствующих идеалу, продолжая работать с перегруженными командами. Существующие специалисты тянут нагрузку вакантных позиций. Переработки становятся нормой. Выгорание нарастает. Специалисты увольняются. Вакансий становится больше. Требования не снижаются. Цикл повторяется.
Руководство видит высокую текучесть, но не связывает её с перегрузкой. Проблема списывается на "дефицит кадров на рынке". Решение — поднять зарплату и продолжить поиск идеального кандидата. Реальная причина — отсутствие реалистичных требований и инвестиций в развитие команды — игнорируется. Деньги тратятся на привлечение несуществующих экспертов вместо обучения доступных специалистов.
Инструменты усложняются, требуя специализированных знаний. Платформы безопасности обрастают функциями, каждая из которых требует понимания. Специалист должен быть экспертом не только в своей области, но и в десятке продуктов, которые компания использует. Обучение на эти продукты занимает месяцы. Продукты обновляются, меняют интерфейсы, добавляют возможности. Обучение устаревает. Специалист снова учится.
Вендоры предлагают сертификацию на свои продукты. Ещё один экзамен, ещё одна бумага, ещё одно требование в вакансии. Специалист коллекционирует сертификаты, тратя время на подготовку к экзаменам вместо реальной работы. Без сертификата на продукт работодатель не рассматривает кандидата, даже если продукт интуитивен и осваивается за неделю практики.
Опыт обесценивается скоростью изменений. Специалист работал с технологией пять лет — но эта технология устарела. Его опыт не котируется. Рынок требует знания новых инструментов. Переучивание требует времени, которого нет из-за текущей нагрузки. Специалист застревает в устаревающей экспертизе, а вакансии ищут знания свежих технологий. Дефицит кадров усугубляется тем, что существующие специалисты не успевают актуализировать навыки.
Образование отстаёт от индустрии. Университеты учат основам, которые актуальны десятилетиями. Криптография, сетевые протоколы, архитектура систем — фундамент важен. Но работодатель ищет не фундамент, а конкретные навыки работы с конкретными инструментами. Выпускник знает теорию, но не имеет практики с инструментами, которые требует рынок. Его отклоняют за отсутствие опыта. Опыт негде получить без работы.
Курсы и буткемпы обещают подготовить специалиста за месяцы. Интенсивная программа, фокус на практике, трудоустройство после обучения. Выпускники получают базовые навыки, но не глубину понимания. Работодатель видит в резюме буткемп — относится скептически. "Не настоящее образование, поверхностные знания". Отказ. Выпускник потратил время и деньги, получил навыки, но не получил признания рынка.
Индустрия требует экспертов, но не создаёт условий для их появления. Junior-позиций мало, обучение отсутствует, требования завышены. Как стать экспертом, если путь к экспертизе перекрыт требованием уже быть экспертом? Парадокс замыкается: дефицит специалистов реален, но создан самой индустрией через невозможные требования, отсутствие обучения, фокус на сертификации вместо практики, дробление ролей до узкой специализации, обесценивание опыта через скорость изменений.
Компании продолжают жаловаться на нехватку кадров, отклоняя кандидатов, которые могли бы закрыть вакансии, если бы получили время на адаптацию. Позиции остаются открытыми, команды перегружены, выгорание растёт. Индустрия, создавшая кризис экспертизы собственными руками, продолжает искать решение в тех же методах, которые проблему породили. Требования ужесточаются, сертификатов требуется больше, специализация углубляется. Дефицит не сокращается. Парадокс экспертизы не решается, потому что индустрия не признаёт, что сама его и создала.