Ekaterina Danilina, 30.03.18
Автор:
Екатерина Старостина, руководитель образовательной программы “Кибербезопасность в новой информационной среде” в Московском политехническом университете. Куратор образовательной программы "ИТ-коммерция” в ИТ-колледже МИРБИС; партнер по развитию детской школы программирования Coddy School
-- Как вы пришли в профессию?
-- Наверное, профессия сама меня выбрала, но это не точно (смеется). А если серьезно, то я закончила МИФИ. В 2000--2005 годах еще было направление "БЮ", которое негласно звучало как "юрист по информационной безопасности". А по сути, выпускали юристов государственно-правовой специализации с уклоном на защиту всех видов охраняемой законом информации. В то время мне было интересно заниматься правовыми вопросами в части, касающейся компьютерной преступности. Я активно писала на различные темы статьи, такие как "Понятие и российская политика регулирования информационных войн в системе Интернет", "Новая система страха -- кибертерроризм", "Право как спасение от спама", "Безопасность информационных технологий", "Пути совершенствования законодательной системы в борьбе с кибертерроризмом в России и за рубежом" и другие. Как несложно догадаться, тема кибертерроризма увлекла меня, когда я была еще студенткой. Поэтому на защиту диплома я шла не только с выпускной работой, но и со своей первой книгой "Защита от компьютерных преступлений и кибертерроризма: вопросы и ответы" издательства "Эксмо". Тогда мне казалось, что это очень круто. Защитилась на отлично и поступила в аспирантуру МИФИ, соискателем.
-- Несмотря на то что женщины активно занимаются "мужской" работой, гендерное разделение в бизнес-среде очень сильное. И среди экспертов по информационной безопасности редко можно встретить женщину. Как воспринимают окружающие, когда вы говорите, кто вы и чем занимаетесь?
-- Если человек не из профессионального круга, то обычно удивляется. Потом задает вопрос: "Это про компьютеры, да? Антивирусы и вот это вот все?" Я улыбаюсь, говорю: "Ну и это тоже". Коллеги же из безопасности сейчас не удивляются ничему: женщин на поприще ИТ и ИБ достаточно много. Этот стереотип, скорее, еще существует для людей из других профессий, за рамками ИБ-среды.
-- Как вы думаете, сфера ИБ больше мужская, чем женская?
-- Все зависит от направления. Как мы знаем, при желании женщине можно быть и космонавтом, только мужчин там больше почему-то, и в разы. Среди машинистов электропоездов женщин тоже нет, вальщик леса, боцман -- все не женские профессии. А специалист в сфере информационной безопасности уже давно не мужская сфера. Конечно, тут тоже есть риск. Риска для здоровья и жизни самого специалиста, может, и нет, а вот для компании -- море. Минимизация же рисков ложится на плечи команды в сфере ИБ. Насколько грамотно подобрана такая команда и есть ли там женщины -- все индивидуально и на усмотрение руководителя этой команды. Хотя все чаще на месте руководителя оказывается женщина! Знаю, что далеко не всем мужчинам нравится работать под управлением противоположного пола, но что делать. As Is… (англ.)
-- Расскажите про самый интересный проект в ИБ, который у вас был.
-- Знаете, как ни странно это будет звучать, но первый запомнившийся мне опыт -- это участие в НИОКР по разработке методов расследования компьютерных правонарушений. Это была моя первая работа. Как раз я только защитилась и занималась исследованием по своей любимой теме, а второй проект, который сильно повлиял на мою работу в дальнейшем -- работа над проектом "Дети в Интернете" и "Безопасный Интернет для детей" у одного оператора связи еще в 2012 году, где я работала главным специалистом по защите конфиденциальной информации. Это, по сути, была волонтерская деятельность: выступала перед родителями и рассказывала, какие угрозы есть и как защитить детей в киберпространстве. Сейчас я все больше ухожу в образовательную деятельность по кибербезопасности, так как считаю, что тема очень актуальная и никогда ее актуальность не пройдет, особенно для подрастающего поколения.
-- В информационной безопасности сейчас наблюдается большой спрос на кадры, при этом все больше жалоб, что эти самые кадры после выхода из университета ничего не умеют. Одним из направлений вашей деятельности -- образование в ИБ. Как можно решить проблему кадрового голода?
-- Эта проблема не первый год озвучивается на рынке информационной безопасности. Всем хочется получить "готового специалиста под себя". То есть чтобы, приходя в компанию, он не просто обладал теоретическими знаниями, но и мог на практике это проявить. Многие компании стали встраивать свои практические программы обучения в ведущие вузы, адаптировать проектную деятельность с привлечением студентов к решению своих задач. Например, у Московского политехнического университета проектная деятельность по кибербезопасности развивается активно. При этом требования с каждым годом растут. Хорошо, что уже сформировалось понимание работодателей, что без их участия в работе с будущими выпускниками вузов мы не получим стоящего специалиста. Таким образом, решение проблемы кадрового голода практически готово: нужно выделять в компании человека под образовательные инициативы и идти в вуз, общаться и оставлять лучших из лучших.
-- Могла бы госпрограмма помочь вузам решить эту проблему? В чем она (программа) должна заключаться?
-- Конечно. Немногие об этом задумываются, но Доктрина информационной безопасности Российской Федерации относит развитие и совершенствование системы подготовки кадров, работающих в сфере обеспечения информационной безопасности, к первоочередным задачам государственной политики. Но сегодняшний дефицит профильных специалистов в сфере кибербезопасности негативно сказывается на работе бизнеса и госструктур. Правительство пока принимает только лоскутные решения, соглашаясь поддерживать образовательные кластеры на базе вузов, которые реализуют программы данной направленности. Возможно, они включали бы профильные темы конкретных организаций с государственным участием. Такие темы и актуальная проблематика встраивались бы в образовательное направление, а среди преподавателей все чаще стали бы появляться выделенные специалисты от госкомпаний, которые еще бы и поддерживались с точки зрения финансирования преподавательской деятельности со стороны государства. Почему нет? Возможно, именно из-за отсутствия целевой госпрограммы по подготовке специалистов ИБ к решению этой задачи уже стал подключаться бизнес, как я уже говорила ранее. Во многом сейчас преподавательская деятельность у людей из бизнеса строится исключительно на энтузиазме. Но так неправильно. Любой труд должен быть достойно оплачен. Энтузиазм не бесконечен, к сожалению.
"Доктрина информационной безопасности Российской Федерации относит развитие и совершенствование системы подготовки кадров, работающих в сфере обеспечения информационной безопасности, к первоочередным задачам государственной политики."
-- Да, многие компании хотят готовых специалистов, но не многие готовы вкладывать время и ресурсы в обучение своих будущих сотрудников. Есть ли подобные коллаборации на базе тех университетов, с которыми сотрудничаете вы?
-- Если говорить о вузах, то из тех, с кем я сотрудничаю, можно отметить московский Политех, где являюсь руководителем образовательной программы "Кибербезопасность в новой информационной среде"; со своими коллегами из таких компаний, как SiteSecure и Yandex, а также руководителями программ по кибербезопасности мы создали программу обучения -- там дела обстоят хорошо. На ИТ-факультете преподают коллеги из "Лаборатории Касперского", Cisco, Банка России, Yandex и других профильных ИТ-/ИБ-компаний. В ИТ-колледже МИРБИС также много приглашенных лекторов из бизнеса: финансовые стартап-компании, специалисты Microsoft, время от времени приходят приглашенные лекторы из таких компаний, как Алладин, 1C. То есть интеграция в обучении идет полном ходом. Хотя порой складывается впечатление, что не все до конца понимают, что с этим делать и как на выходе качественно и правильно работать с выпускниками. Только ли брать на стажировки или искать новые пути для сотрудничества?
-- Могут ли помочь и как в решении данного вопроса отраслевые мероприятия?
-- Возможностей для студентов много. Они могут уже сегодня ходить на многие отраслевые конференции либо бесплатно, либо за льготную цену. Zero Night, PositivHack Days -- там льготная цена, и каждый год мероприятия все больше привлекают молодежь. Конференции уже проводят соревнования для студентов во время мероприятия, а также хакатоны. Чего сейчас действительно не хватает на мероприятиях, так это выступлений самих студентов, в том числе с аналитикой по актуальным вопросам ИБ. Свежий взгляд на очевидные вещи может дать пользу не только им, но и нам.
-- Сейчас самыми трендовыми являются темы "блокчейн" и "искусственный интеллект". На базе МГИМО с прошлого года открыты курсы повышения квалификации по блокчейну. Готовят ли технические вузы программы, которые помогут молодым специалистам выйти на рынок труда подготовленными?
-- Так и есть. Эти темы у всех на слуху. Несмотря на падение курса криптовалюты, которое наблюдается в последнее время, Bitcoin и Ethereum стали главным событием 2017 года.
Что касается блокчейна, то он как децентрализованная и защищенная запись транзакций может использоваться в разных областях информационных технологий. Что это значит для информационной безопасности? На данный вопрос эксперты не могут сейчас четко ответить. Есть предположения, что частные компании начнут применять блокчейн для хранения своих транзакций и объединять эти системы с существующими решениями в области ИБ. Например, это могут быть децентрализованные системы контроля доступа и управления идентификацией пользователей. Может быть, придумают и другие варианты применения. В любом случае системы ИБ, скорее всего, изменятся с использованием блокчейна.
Что касается искусственного интеллекта, то с его помощью увеличится скорость обнаружения угроз, выявления аномалий, на поиск которых изначально ИИ не был запрограммирован. Его можно настроить на поиск неизвестного неизвестного, как говорится, что позволит быть на шаг впереди, а также использовать в работе программы с элементами дата-майнинга с эффектом самообучения и быть в тренде. На данный момент наиболее перспективными областями считаются распознавание статичных изображений, классификация и маркировка объектов, алгоритмический трейдинг, дата-майнинг в здравоохранении. Но самое интересное, что в область ИИ попадает еще такое направление, как предотвращение угроз кибербезопасности. На разработку таких систем, по прогнозу, будет потрачено $2,47 млрд в ближайшее время.
Действительно, известные компании, такие как InfoWatch, "Инфотекс", Cisco и ряд других, открывают краткосрочные курсы под своим брендом в вузах. Обучают как преподавателей, так и студентов, выдают сертификаты.
Чего сейчас действительно не хватает на мероприятиях, так это выступлений самих студентов, в том числе с аналитикой по актуальным вопросам ИБ. Свежий взгляд на очевидные вещи может дать пользу не только им, но и нам.
-- Какая область ИБ сейчас считается наиболее перспективной?
-- По данным аналитических агентств, в ближайшие четыре года в секторе ИБ появится 3,5 млн новых рабочих мест (в 3,5 раза больше открытых вакансий, чем в настоящее время)¹. Что же касается самих областей, куда надо идти и перспективно специализироваться, -- ответить сложно. Потому как есть извечные области, актуальность которых никогда не пройдет: защита данных в облачных технологиях, антивирусная защита, аудит информационной безопасности, системы идентификации и аутентификации, контроль утечек информации и многие другие. Однако, будучи в тренде времени, нельзя забыть про область защиты криптовалютного рынка. Хотя ЦБ РФ и не признает денежные суррогаты, именно туда двинулись многие модные специалисты по защите информации. Угроз на этом поприще хватает. Считается также, что криптовымогатели сейчас являются одной из самых быстрорастущих областей киберпреступности. Количество атак в 2017 году увеличилось на 36% (а ущерб вырос вдвое). Эксперты не прогнозируют снижения интенсивности -- атак станет только больше. Поэтому не стоит ждать завтра, если можно действовать уже сегодня.
1 По прогнозу Cybersecurity Ventures.
Читайте также:
- Минимизация финансовых и репутационных рисков при увольнении ключевых работников http://itsec.ru/imag/insec-4-2016/14
- А увольнять-то некого! http://itsec.ru/imag/insec-1-2016/12
- Практико-ориентированное образование в кибербезопасности http://itsec.ru/imag/insec-5-2017/40
- Способы диагностики и оценки лояльности персонала как составляющей кадровой безопасности организации http://itsec.ru/imag/insec-6-2017/46
