Вечный бой за безопасность информации

Персональная безопасность всегда начинается с осведомленности. При этом одних сотрудников вполне может удовлетворить небольшая памятка с рекомендациями по выбору сложного пароля, настройке двухфакторной аутентификации и установке антивируса, в то время как другим требуется серьезная системная защита. Что касается специалистов по информационной безопасности, то они нуждаются в обновлении своих знаний постоянно. В целом потребность в просвещенности населения страны в сфере информационной безопасности получила отражение в национальном проекте «Цифровая экономика», согласно которому к 2024 году планируется увеличить долю граждан, повысивших грамотность в сфере информационной безопасности, медиапотребления и использования интернет-сервисов, до 50%.

Государственные и бизнес-структуры при выборе подходящей для них стратегии защиты информации должны с особой тщательностью и дальновидностью просчитывать все актуальные риски и угрозы. Разработчикам и администраторам информационных систем, кроме понимания особенностей безопасности сетевых и криптографических протоколов, а также используемых технологий, нужна достаточно глубокая техническая подготовка — им важно знать, из каких «кирпичиков» можно построить систему защиты. При этом опытного профессионала в области информационной безопасности, который в числе прочего понимает и внутреннее устройство этих «кирпичиков», может не удовлетворить даже победа на престижном международном конкурсе, поэтому он практически не «выныривает» из профильных конференций, сообществ, книг, статей и даже нормативных документов.

Обучение кибербезопасности

Сегодня в России сложились уникальные условия обучения технологиям, связанным с защитой информации. Это различные образовательные программы в вузах, открытые дистанционные курсы, доступные всем желающим независимо от возраста. Осваивать азы защиты информации никогда не поздно — даже представителям поколения 60+ полезно обучиться базовым вещам, например таким, как риск сообщения мошенникам кода из СМС. Наряду с примитивными способами мошенничества существует множество серьезных киберугроз. Компьютерные вирусы, кибершпионаж, диверсии, веб-уязвимости — далеко не полный список того, с чем приходится сталкиваться специалистам по информационной безопасности.

Ответом на этот вызов становятся проекты и образовательные программы, направленные на подготовку кадров в этой сфере. Среди них проект «Кибершкола МГУ» — программа для школьников старших классов и студентов младших курсов, организованная факультетом вычислительной математики и кибернетики Московского государственного университета имени М. В. Ломоносова при поддержке негосударственного института развития «Иннопрактика». Приобретая практические знания в сфере информационных технологий, в том числе благодаря участию в чемпионатах по кибербезопасности, ребята из Кибершколы МГУ определяются с выбором будущей профессии. Ценность этого проекта — раннем просвещение молодежи в области защиты информации, повышение ее IT-эрудиции и, конечно же, своевременная подготовка к глубокому погружению в специальность тех, кто проявляет к этому талант и предрасположенность. В Кибершколе ребята изучают самые актуальные темы: анализ бинарных программ; обратную инженерию; интернет вещей; безопасность веб-сайтов, мобильных приложений и программных платформ — то есть все то, что сейчас повсеместно применяется и в дальнейшем будет только развиваться и совершенствоваться.

Грани профессии

Специалисты в сфере защиты информации востребованы в госструктурах и частных компаниях, на производственных предприятиях и в организациях, занимающихся исследовательской деятельностью. По данным компании «Информзащита», в 2017 году в России государственные расходы на кибербезопасность увеличились на 35%, а по итогам 2018-го объем российского рынка информационной безопасности вырос на 10% и достиг 79,5 млрд рублей. По прогнозам специалистов, к 2022 году объем мирового рынка кибербезопасности превысит 200 млрд долларов, при этом дефицит соответствующих специалистов составит около двух миллионов человек. Проблемы с защитой информации крупных организаций становятся все более понятны их руководству и практически «иссушают» кадровый рынок. С одной стороны, наблюдается избыток менеджеров без конкретных навыков идентификации и оценки рисков, выбора и внедрения мер защиты, а с другой — становится очевиден недостаток высококвалифицированных технических экспертов.

Те, кто пока только собирается посвятить себя защите информации, возможно, не задумываются о том, что само название профессии «специалист по информационной безопасности» весьма условно. И хотя, просматривая вакансии IT-рынка, можно часто видеть объявления именно под таким заголовком, при детальном изучении запроса работодателя, как правило, выясняется, что ему нужен конкретный специалист, например вирусный аналитик, киберкриминалист, инженер-криптограф, архитектор информационной безопасности или разработчик средств защиты. Информационная безопасность — область деятельности, объединяющая множество узких специальностей и направлений. Именно поэтому, например, в Кибершколе МГУ обучение ведется по широкому спектру направлений, начиная с веб-уязвимостей, обратной разработки и криптографии и заканчивая безопасностью интернета вещей. Это позволяет ребятам сделать осознанный выбор будущей специальности и углубиться в то, что им особенно интересно.

Артур Хашаев, научный сотрудник центра хранения и анализа больших данных МГУ имени М. В. Ломоносова, преподаватель Кибершколы МГУ

Фото предоставлено автором

Лететь как бабочка, жалить как пчела

В то же время всех профессионалов в этой области должна объединять готовность постоянно адаптироваться к новым киберугрозам. На самом деле скучать «безопасникам» не приходится.

Для оценки, по данным safe-surf.ru, в базе данных только общеизвестных уязвимостей CVE (Common Vulnerabilities and Exposures) содержится порядка 12 тыс. зафиксированных лишь в 2019 году, что в 12 раз больше по сравнению с 2000 годом. Увы, этот показатель продолжает неуклонно расти. Динамика изменений в аппаратно-программных системах усиливается, специалисты постоянно находят и исправляют все новые ошибки, меняют и усложняют взаимозависимость между системами. К сожалению, от бурно развивающейся IT-индустрии не отстают и киберпреступники, постоянно наращивая арсенал собственных компетенций. Кроме того, в последние годы на расширение спектра задач в сфере кибербезопасности существенно влияют процессы, связанные с цифровизацией государства и бизнеса.

В качестве примера неизбежной специализации «безопасников» можно привести активное развитие мобильного банкинга, что заметно усилило интерес киберпреступников к мобильным устройствам и обусловило объективную потребность рынка в специалистах по их безопасности. К сожалению, в будущем нас ожидают аналогичные примеры. Так, если получат распространение умные холодильники с заказом продуктов через интернет и оплатой покупки картой, то будьте уверены: злоумышленники этого не пропустят. Сейчас может показаться смешным, но в таком случае потребуются «специалисты по безопасности умных холодильников».

Чем больше опыта приобретает специалист по защите информации, тем чаще он обращается к сообществу профессионалов, к книгам и тематическим блогам. Для менее опытных работников, безусловно, полезно пройти обучение на курсах по интересующему их направлению. В наши дни существует множество программ, направленных на повышение грамотности рабочего и управленческого персонала в различных организациях. И это оправданно, поскольку основная часть инцидентов обусловлена человеческим фактором. Например, для того чтобы пропустить злоумышленника в корпоративную сеть банка, достаточно хотя бы одному из тысячи сотрудников открыть вредоносное вложение в электронном письме. Предварительная подготовка на курсах по общей информационной безопасности организации чаще всего не срабатывает — получив там лишь теоретические знания, сотрудники уже через пару месяцев забывают о политике безопасности компании и попадаются на уловки злоумышленников. В данном случае гораздо более эффективны интерактивные курсы, адаптированные к профилю риска каждого конкретного работника.

Битвы умов

Вообще, культура оценки и измерения эффективности работы в сфере информационной безопасности — непростая тема, особенно для крупных организаций. Не в последнюю очередь это связано с трудностью количественной оценки предотвращенных инцидентов и привязкой каких-то агрегатных показателей к конкретному специалисту. Если выработать общие критерии оценки для всех случаев сложно, то для некоторых частных — вполне возможно. Так, эффективность работы специалиста по тестированию защищенности принято увязывать с количеством и сложностью найденных им уязвимостей. Этот навык отрабатывают, например, в формате командных соревнований по компьютерной безопасности в формате CTF (Capture the Flag), цель которых — захват у соперника как можно большего числа «флагов», символизирующих фрагменты ценной информации. На таких чемпионатах соревнуются не только профессионалы с многолетним опытом, но и новички. К примеру, в этом году в Moscow CTF School 2020 соревновались 110 команд из Москвы и Московской области, Екатеринбурга, Петрозаводска, Санкт-Петербурга, Хабаровска, Саратова, Уфы, Челябинска, Новосибирска и других городов России. Среди них были три команды из Кибершколы МГУ. В рамках чемпионата участники демонстрировали умение анализировать уязвимости компьютерных систем, находить и расшифровывать стеганографические послания. В итоге команды — участницы проекта «Кибершкола МГУ» вошли в топ-10 лидеров соревнований: две из них стали лучшими в школьном зачете и одна — в студенческом.

*научный сотрудник центра хранения и анализа больших данных

МГУ имени М. В. Ломоносова, преподаватель Кибершколы МГУ