Журнал "Information Security/ Информационная безопасность" #3, 2023

Валерий Черепенников, Nizhny Novgorod Research Center: Как мне сказал один человек, про- граммисты SDL – в общем, обычные программисты и найти их не так уж сложно, но гораздо сложнее – тех, кто будет ставить им задачи, они на вес золота. И уровень образования, на мой взгляд, требуется достаточно серьезный, ведь для того, чтобы корректно ставить задачи, необходимо полное понимание программного и части аппаратного стека, понимание уязвимостей и как их избе- гать. Кроме того, еще понимание нор- мативки и стандартов. Это требует хоро- шего образования (как минимум маги- стратура) и еще некоторого опыта. На рынке наблюдается изрядный дефицит такого рода специалистов. Более того, у меня нет четкого понимания, кто их готовит. Есть ощущение, что они произ- растают сами и штучно. С определенной надеждой наблюдаю за попытками ИСП РАН в этом направлении. Тему SDL мы будем культивировать в ИТ-кампусе Нижегородской области. Валерий Богдашов, R-Vision: На сегодняшний день рынок кадров в сфере информационной безопасности, к сожалению, достаточно узкий, и сразу найти специалиста под необходимые нужды компании бывает проблематично. Поэтому многих разработчиков мы сами выращиваем в компании, изначально закладывая ресурсы под их обучение. Главное, чтобы кандидат "горел" сферой кибербезопасности, ставил себе цели и достигал их, а также стремился к посто- янному развитию. Владимир Высоцкий, Solar appScreener: Требуемый уровень образования зави- сит от должности. В большинстве слу- чаев это высшее, но по некоторым пози- циям рассматриваем среднее профес- сиональное/специальное или незакон- ченное высшее. Мы используем все воз- можные каналы: сайты для поиска рабо- ты, внутреннюю базу, рекомендации сотрудников, отраслевые форумы и кон- ференции. Ежемесячно наша компания нанимает 60–70 ИБ-специалистов. Приоритетными для нас являются разработчики (С++, Java, Scala), инженеры-проектировщики, пентестеры, аналитики и архитекторы SOC. Алексей Смирнов, CodeScoring: Крайне желательно, чтобы уровень образования был высшим, и лучше всего – профильным. Ведущие вузы, например Бауманка, МИРЭА и УРФУ, понимают потребность и активно под- держивают SDL-направление. Мы, в свою очередь, поддерживаем такие учеб- ные заведения образовательными лицензиями для улучшения качества подготовки. Если говорить про людей с опытом, то нельзя недооценивать силу SDL- и других ИТ-сообществ, в которых у участников все чаще загораются глаза на докладах по безопасной разработке. Дмитрий Евдокимов, Luntry: Мы специализируемся на безопас- ности контейнеров и Kubernetes. Из- за того, что эта область знаний появи- лась не так давно и в университетах подобного еще не преподают, нам приходится готовить кадры самим. Главное, чтобы у человека была хоро- шая база, голова на плечах и желание исследовать, разбираться, пробовать и не сдаваться в процессе изучения нового материала. Иван Панченко, Постгрес Профессиональный: Есть работа для специалистов разного уровня. Конечно, лидером должен быть только профессионал высокого уровня. Интересные и полезные задачи являются основной мотивацией для таких людей, это помогает находить их на рынке. Владимир Пономарев, Гарда Технологии: В процессе участвуют и разработчики, и ребята из команды AppSec, так что требования очень разные. В основном специалисты растут внутри компании, но есть и те, кто пришел к нам с уже имеющимся профильным опытом. Лука Сафонов, Синклит: С кадрами, как и везде, большая про- блема: их катастрофически не хватает. У нас есть сильная, сформированная годами команда, которая занимается обучением молодых перспективных сотрудников. Мы также активно набира- ем студентов технических вузов на ста- жировку, давая им возможность попро- бовать себя в разных направлениях и выбрать наиболее им близкое. Марк Коренберг, Айдеко: В нашем отделе ИБ отдаем предпоч- тение людям, у которых есть высшее образование или законченные профес- сиональные курсы в этой сфере. Ищем на hh или в тематических группах. А так все зависит от результатов технического собеседования: порой среди самоучек находятся "золотые" разработчики. Роман Карпов, Axiom JDK: Мы растим кадры сами. У нас очень высокие требования, так как продукт очень сложный. Специалисты приходят преимущественно по рекомендации и повышают свою квалификацию бла- годаря работе в нашей инженерной команде. Junior по SDL/DevSecOps дол- жен обладать следующим набором зна- ний на базовом уровне: С/C++, работа с Linux, информационная безопасность, а также опционально – базовые знания языка/стека технологий для конкретного изделия/проекта, на котором нужно внедрять SDL. Специалист уровня Secu- rity Champion должен иметь хорошее понимание C/C++, работы сетевых про- токолов, механизмов работы Linux и C runtime, понимание принципов ИБ и их прикладного значения, обладать опы- том работы с инструментами тестиро- вания (статические анализаторы, фаз- зеры, отладчики) и инструментами ана- лиза (статические анализаторы, сред- ства реверс-инжиниринга – дизассемб- леры, декомпиляторы, сетевые сканеры, средства пентеста). Сергей Деев, МТС RED: Спрос на специалистов, способных внедрять и применять практики без- опасной разработки, в последнее время многократно вырос. Крупные компании готовы платить серьезные зарплаты, при этом все равно не всегда достигают целей по найму. В этой ситуации важно растить экс- пертизу у себя, доверяя возможность развития экспертам из числа специали- стов по DevOps, разработчиков и экс- пертов ИБ, специализирующихся на сетевой безопасности, менеджменте процессов ИБ, мониторинге инцидентов. Для роста важно обучаться на практике и опираться на опыт профессионального сообщества, благо у нас много доступной литературы и обучающих материалов. Появляются новые программы повыше- ния квалификации, связанные с вопро- сами безопасной разработки. Сергей Сергеев, КСБ-СОФТ: Для поиска новых специалистов мы развиваем взаимодействие с научными институтами. Значимым результатом для нас стало заключение соглашения о сотрудничестве между командой НПЦ КСБ, ЧГУ им. И.Н. Ульянова и ИСП РАН. Благодаря совместной работе уже в начале текущего года в ЧГУ была откры- та лаборатория системного программи- рования и безопасной разработки про- граммного обеспечения. Теперь на ее базе с применением передовых техно- логий будут обучаться молодые пер- спективные кадры. Сергей Трандин, Базальт СПО: Во-первых, мы ищем среди разра- ботчиков свободного программного обеспечения. Образование – не опре- деляющий критерий, в нашей команде есть самородки без высшего образова- ния. Во-вторых, мы работаем со сту- дентами вузов, отбираем амбициозных, с "горящими глазами". В-третьих, мы развиваем экспертизу внутри компании, обеспечиваем профессиональный рост наших сотрудников, в том числе за счет активного участия в международ- ных проектах Open Source. Тестирова- ние – зона особой ответственности, ошибки недопустимы, поскольку очень 52 • СПЕЦПРОЕКТ