Правда, надо сказать, что на этой ноте надо понимать, что навыки взломщиков не сильно отличаются от навыков защитников. Пользуясь случаем, вспомню группу Ария — «Я не сошёл с ума»:
"Связь времен распалась" -
И Злодей, и Светлый Гений
Тесно сплелись в объятьях,
их различить нельзя...
Что я этим хотел сказать? Что «в теории» безопасники действительно могут отвечать за «взломщиков», по той причине, что «стек навыков» (о, как я люблю иностранные слова, ага) схож с тем, что умеют взломщики. Но это люди «с другой психологией» это во первых и в следствии чего — во вторых «нашли себя», то есть они умеют говорить с заказчиками и объяснять им уровень риска, в той или иной ситуации (проще говоря — приходят к директору фирмы и говорят: «Братан, если ты не сделаешь вот это и вот это, то есть вероятность того, что завтра ты останешься без бабла, потому что с помощью того то и того то, какой-нибудь умник переведёт бабло с твоих счетов на левые счета и ищи потом ветра в поле», понятно, что это не дословно, хотя возможны и такие ситуации), и второй момент — их «устроит сумма, которую директора готовы платить за их работу» и вот здесь начинается переломный момент, почему.
Да потому что если сравнить вилки зарплат разработчиков и системных аналитиков (я не говорю сейчас за директоров, тим-лидов, проект-менежеров и т. д.) то они на порядок выше чем у специалиста ИБ к которому надо сказать ещё и требований значительно больше, чем к тем, кого я назвал. Это разработчику достаточно знать 1-2 языка, кибербезопасник должен знать их все. Это разработчик может себе позволить баг в приложении, за этот баг, который приведёт к тому, что в системе «образуется дыра», которая позволит проникнуть злоумышленнику — потом по шее получит безопасник. Причём может так случиться, что вот сегодня сделал проверку сектора, пометил для себя «безъядерная зона», завтра разработчик внёс правки — появилась брешь и послезавтра брешью воспользовались. Не будет ни один специалист ИБ ежесекундно мониторить всю систему и никакая система мониторинга не даст даже 80% гарантии того, что она идеально работает.
А теперь пойдём от обратного специалист, умеющий «ломать» — не обязан знать все языки программирования, в некоторых случаях ему вообще их знать не надо, достаточно социальной инженерии (думаю, не ошибусь, если скажу, что 90% взломов построены на ней). У таких «специалистов» нет «вилок зарплаты», очевидно, что у них зарплаты, как таковой вообще нет. Но с одного взлома они порой могут получить десять (а то и больше) годовых зарплат специалиста ИБ (зарплата ИБ *12 и *10). Надо ли рассказывать сколько таких взломов они способны провернуть за месяц?
Другой вопрос, что специалист инфобеза способен так же в 90% случаев заменить практически любого другого сотрудника, мне, например, чуть «подучить», некоторые техники и я вполне смогу выйти на работу системным аналитиком. Вопрос, заработная плата выше, ответственности меньше (нервов времени соответственно трачу меньше) зачем мне сдался инфобез? Просто ради фана? Вот так у нас информационная безопасность и загибается.