На рынке существует острая нехватка специалистов в области информационной безопасности, которые бы боролись с постоянно возникающими угрозами. Звучит перспективно с точки зрения карьеры. Более того, заниматься кибербезопасностью можно не только путем создания и поддержки механизмов защиты, но и поиском уязвимостей. Действительно ли эта профессия сегодня востребована и как стать специалистом по информационной безопасности — в материале «Ленты.ру».
По статистике, треть организаций в мире ежедневно сталкивается с кибератаками, а попытки взлома и хищения данных происходят каждые 40 секунд. При этом, согласно исследованиям, на рынке существует большая нехватка специалистов в области информационной безопасности. Причем заниматься кибербезопасностью можно не только путем создания и поддержки механизмов защиты, но и поиска уязвимостей. Министерство цифрового развития предлагает вознаграждение за взлом портала «Госуслуги» и другой инфраструктуры российского электронного правительства в размере миллиона рублей. Какова роль специалиста по ИБ в современных реалиях? Какие вызовы стоят перед государством и бизнесом в направлении безопасности данных? Кто такие «белые хакеры» и зачем они нужны? Эти и другие вопросы обсудили участники сессии «Взломать нельзя защитить: как встать на стражу информационной безопасности», прошедшей в рамках ПМЭФ-2024 при поддержке компании Ozon.
Фото: Павел Бедняков / РИА Новости
Bug Bounty
Модератор встречи ведущая РБК ТВ Вероника Романова начала сессию с темы «белых хакеров», тех, кто за вознаграждение ищет различные уязвимости у компаний. «Довольно распространенная на рынке практика, когда большие компании готовы платить «белым хакерам», которые в рамках правового поля приносят найденные в сервисах уязвимости. Будучи участниками программы Bug Bounty, мы в Ozon действительно за это платим, и платим немало», — прокомментировал директор по информационной безопасности Ozon Кирилл Мякишев.
Директор по консалтингу Positive Technologies Юлия Воронова сообщила, что за взлом их компании вознаграждение составляет 60 миллионов рублей: «Каждый в отрасли может найти что-то интересное. У нас даже ребята возрастом до 18 лет ищут на площадке уязвимости и получают за это деньги, и с 14 лет тоже. Как искать и что искать, находится в открытом доступе. Мы не делаем эти знания закрытыми. Работы хватит на всех, потребность в специалистах огромная», — отметила эксперт. По ее словам, дефицит отрасли оценивается в тысячах специалистов.
«Bug Bounty (поиск уязвимостей за награду) — это на самом деле крутая инициатива с точки зрения крупного бизнеса, а с точки зрения ребят — это возможность хорошего старта работы в IT. Но это непростой путь. Взломать сайт тех же "Госуслуг" не так просто», — предупредил гендиректор компании Xello Александр Щетинин.
«Помимо bug bounty у нас в компании есть схожая программа Data Guard, нацеленная только на сотрудников. В рамках программы каждый наш сотрудник, даже не из отдела ИБ, не просто берет на себя ответственность за хранение и передачу данных, но и может получить вознаграждение за найденные уязвимости. Благодаря такой мотивации сотрудников, эффективность программы достигает 85 процентов», — подчеркнул вице-президент, директор департамента информационной безопасности Т-Банка Дмитрий Гадарь.
Фото: Danial Igdery / Unsplash
Дефицит кадров
Существование нехватки специалистов на рынке подтвердил директор департамента методологии информационной безопасности VK Илья Борисов.
«За 20 лет в отрасли я ни разу не слышал, чтобы кто-то сказал, что кадров в ИБ хватает. Дефицит только увеличивается. Компании уходят в цифру. Соответственно, увеличивается объем данных, которые требуется защищать». Он рассказал, что VK имеет собственную комплексную программу подготовки кадров, которая подразумевает в том числе и стажировки в компании. Приглашают учеников школ и вузов. Причем есть много примеров, когда после стажировки ребята оставались работать в компании на долгие годы.
Руководитель Solar JSOC Владимир Дрюков также подтвердил тезис о важности стажировок.
«Мы много инвестируем в молодых специалистов. Программы стажировок есть у многих крупных компаний. И не обязательно иметь опыт работы в информационной безопасности, — отметил Кирилл Мякишев. — Мы готовы научить профессии, специфике компании, тому, что актуально сегодня. Но нам важна матчасть, которую дают вузы».
«У нас ежегодно обучаются сотни студентов. Самое важное, куда вы хотите пойти дальше работать. Мы - большие компании, у нас большая диверсификация. Если вы хотите именно в крупную компанию, в этом случае нужно тонкое профилирование. Если в небольшой бизнес, то там вы будете заниматься всем. Кибербезопасность — это область знаний, и здесь доступны совершенно разные карьерные треки», — отметил представитель Ozon.
Специалист по информационной безопасности — это непростая профессия. Для того чтобы стать профессионалом по безопасности надо непрерывно учиться, считает Дмитрий Гадарь.
«Не надо думать, что если ты крутой хакер, то ты и крутой безопасник. Это не так. Человек, который защищает, должен обладать и другими знаниями. Для восполнения дефицита кадров в сфере ИБ на базе Центрального университета мы совместно с другими ИТ-компаниями запустили курс по подготовке безопасников. В перспективе это даст отрасли восполняемый кадровый ресурс», — сказал Гадарь.
Фото: rivage / Unsplash
Цифровая гигиена
В завершении сессии эксперты дали несколько рекомендаций по защите данных. «Во-первых, важна правильная стратегия и вдумчивый подход к собственным коммуникациям в цифровой среде. Мошенники используют ваши слабости, — отметил Илья Борисов. — И второе, следите за своим цифровым профилем: где и какие данные вы оставляете. Цифровая гигиена должна стать частью жизни».
«Вы должны доносить такую информацию до своего окружения, бабушек, дедушек, родителей. Они могут в этом хуже разбираться. Прежде всего, повышайте осведомленность родственников», — советует Кирилл Мякишев.
«Вы должны быть готовы к тому, что ваши цифровые данные уже скомпрометированы, что это произойдет. Антивирус уже не сработает», — говорит Юлия Воронова. Александр Щетинин, в свою очередь, советует везде использовать двухфакторную аутентификацию.