Проблемы подготовки специалистов ИБ: эксклюзивное интервью с Владимиром Безмалым ⋆ DW

«Вся беда в том, что мы не замечаем, как проходят годы. Плевать на годы, мы не замечаем, как всё меняется. Мы знаем, что всё меняется, нас с детства учат, что всё меняется, мы много раз видели своими глазами, как всё меняется, и в то же время мы совершенно не способны заметить тот момент, когда происходит изменение, или ищем изменение не там, где следовало бы».

– Аркадий и Борис Стругацкие, «Пикник на обочине»

Пандемия в корне изменила наш привычный образ жизни. То, что еще недавно казалось немыслимым сегодня уже для большинства в порядке вещей. Изменения коснулись практически всех людей на планете и многие стали с опаской смотреть в будущее. Глобальная угроза ярко продемонстрировала, что мы не были готовы к тому, как быстро изменился мир. Первым отреагировал бизнес и уволил большинство ненужных сотрудников, чьи навыки и умения не соответствовали возросшим требованиям. В результате многим пришлось осваивать работу курьером, таксистом или другие профессии, не требующие специальных знаний. Но также нельзя утверждать, что изменения закончились. Мир меняется и каждый из нас пытается занять свое место в этом постоянно меняющемся мире, где ключевым фактором победы является время собственных изменений.

Если вопрос «что же делать?» для вас актуален, то ответ на него достаточно очевиден — вкладывать силы в собственное образование, чтобы быть востребованным на рынке. И несмотря на то, что рынок изменчив и выдвигает все новые требования, все же есть отрасль, которая получила мощный рост с наступлением пандемии и как показывает статистика, она будет актуальна еще долгие годы. Это отрасль Информационной безопасности. По статистическим данным рост рынка безопасности составляет 20%-25%, а значительный рост киберугроз говорит о том, что вложения в эту отрасль будут только расти.

Специалисты в области ИБ, крайне редкие кадры не только на украинском рынке. Нехватка специалистов по ИБ — мировой тренд, и проблемы с трудоустройством у таких людей отсутствуют. Но нельзя утверждать, что стоит очередь желающих обучиться этой профессии. Хотя для большинства молодых людей это было бы простым, но весьма эффективным шагом к победе, гарантирующим им достойное будущее.

Когда мы говорим про образование, то, по-моему мнению, важно не столько, где вы учились, а кто был вашим учителем. Поэтому проблемы образования в отрасли ИБ я решила обсудить с одним из самых титулованных специалистов этой отрасли, независимым экспертом, Microsoft Security Trusted Advisor, консультантом ООН по ИБ, автором множества статей и книг по «Цифровой гигиене» – Владимиром Безмалым, за плечами которого 30-летний стаж в сфере ИБ.

– Владимир, по-вашему мнению, как обстоят дела на рынке Украине с кадрами в области ИБ?

– На рынке Украины, с любыми кадрами, не только в области ИБ дела обстоят плохо. Почему? Вот что такое офицер безопасности? Это абсолютно честный человек, с этим на Украине сложно. Потому что у нас каждые 5 минут ты должен подчиняться то одному, то другому. Но даже не это страшное. На рынке Украины отсутствует образование, вообще. Не знаю, ходит ли ваше младшее поколения в школу. Но судя, по тому, что вижу я даже 15 лет назад, когда мой младший сын ещё ходил в школу, а он ходил в неплохую гимназию, и вроде бы с математическим уклоном. Но вы знаете, когда я сравнивал эту физмат школу со своей школой, то понимал, что она скорее для молодых даунов. Взять, к примеру количество часов математики. В обычной советской школе было 6 часов, у меня было 12 часов и дополнительно 2 часа программирования. У сына в гимназии было практически то же самое, что и в обычной советской школе. Можно сказать, что физматовского образования не было вообще. И речь не только о математике, в том числе и о физике. Понимаете, когда я в свое время смотрел чему учат моего сына на подготовительных курсах в университет, то наблюдал следующую картину. Две девочки сидят и складывают дроби 1/2 + 1/3 и получают на выходе 2/5. Они складывают отдельно числитель и отдельно знаменатель. При том они собрались поступать на ИБ. Но через год моё удивление выросло в несколько десятков раз, потому что я встретил их обоих на первом курсе. Они пришли, оплатили контракт и их молча приняли. А теперь вопрос, который возникает сам по себе: какие из них офицеры безопасности будут? Да их на первом курсе уже нужно было гнать в шею поганой метлой. А нельзя, потому что они платят. В результате нивелируется сама ценность диплома. В Украине есть хорошие ВУЗы, к примеру Харьковский национальный университет радиоэлектроники ХНУРЭ. Иногда удавалось там читать. Когда к ним приезжаешь, то получаешь искреннее удовольствие. Правда уезжаешь оттуда выжатый досуха, но знаю, что приехал не зря. А здесь в Киеве плохо. Поэтому я не верю, что в ближайшее время в Украине будут качественные ВУЗы. И это была первая причина – отсутствие школьного образования.

Причина вторая – простите, а кто сегодня идёт в вузовские преподаватели? Только тот, кто не сумел найти себя, как предприниматель, как инженер, как специалист. В ВУЗах остаются те, кому некуда идти. Соответственно и учат они абы как. Я не хочу говорить про ВУЗы, потому что я там не работаю. Я сужу по частным учебным центрам. Сейчас их превеликое множество. Должен заметить, что в этих частных учебных центрах инструкторам в основном за 50 лет, а иногда и под 60 лет. При всём уважении, но инструктор должен быть моложе, сужу по себе. Я уже во многих случаях, просто не знаю некоторых вещей, которые должен знать. А преподавание, как вам сказать… Хороший инженер и хороший преподаватель, это абсолютно разные вещи. Потому что хороший преподаватель должен уметь: говорить, рассказывать, объяснять. А это означает, что как минимум половину своего времени, он должен учиться сам. А на какой шиш жить? Сколько сегодня получают вузовские преподаватели? Смешно.

Вот и весь ответ. Проблема начинается со школы, продолжается в институте. На выходе мы имеем недоучек, которые умеют «тыкать» пальчиком по понятным клавишам. А на вопрос: что будем делать завтра, если интерфейс изменится, появится другие клавиши? Об этом никто не знает. Сегодня учат, как ремесленника нажимать на кнопки. Понятие «инженерное мышление» в большинстве случаев у выпускников отсутствуют как класс, вообще. Это не хорошо и не плохо, это то, что мы имеем. Ещё раз повторюсь, начинать нужно со школы. В школе резко увеличивать количество математики. Преподавателям менять каждые 3 года класс, и загонять их на профилактику собственных знаний. А подтверждать эту профилактику не платной аттестацией, а действительно контролем знаний. А пока этого нет…

Я всегда вспоминаю свою школьную учительницу математики. Я был в 4-м классе, она пришла к нам в 22 года, сразу после института. В 27 -28 лет, она была уже заслуженным учителем Украины. Думаю, дальше можно не объяснять. Она научила меня самому главному – научила меня учиться. То же самое делали и мои вузовские преподаватели. Они учили меня учиться.

Сейчас же учат сдавать экзамены и тесты. Мы просто натаскиваем молодежь и все. Вспомните, сколько в этом году провалило ЕГЭ по математике – 33 %. Это 33 % из всех, кто собрался её сдавать, но если сюда добавить тех, кто не сдавал, тогда будет все 50 %. Это страшно. Буквально страшно. Мы изобрели самый отвратительный способ сдачи экзаменов – тыканье в тесты. И те сдать не можем. О каком высшем образовании может идти речь? И обратите внимание, на то сколько у нас ВУЗов. Превеликое множество. А сколько из них действительно ВУЗы? Едва ли не третья часть. А может быть нам не нужно столько людей с дипломами? Нивелируется само понятие диплома. Вспомните, до революции к инженеру обращались, как господин инженер. Подчёркивался его статус. К врачу говорили господин врач, но не доктор. Потому что доктором мог называться только тот, кто сдал докторские экзамены, докторантуру. И если к врачу обращались доктор, то чаще всего это была мелкая подхалимская лесть либо это действительно был доктор. И я всегда говорю: господа, мы пришли к тому времени, когда из ВУЗов выплеснулось поколение, которое сдавало ЗНО. А теперь будет ещё страшнее, потому что из ВУЗов пойдут те, кто учился дистанционно.

– Так, а что вы рекомендуете делать? Возможно есть примеры, как это можно реализовать?

– Если бы я знал, что делать, я бы здесь не сидел точно. На самом деле, что делать. Повышать престиж труда учителя. Именно престиж. Я сейчас скажу штампы, но деваться некуда. Первое, – повышать престиж учителя. Второе, – учителя спрашивать по качеству учеников. Третье, – постараться убрать коррупцию из ВУЗов и школ.

Вот смотрите, как сделано образование в Германии. Никогда не читали об этом? C точки зрения учителя, сделано просто красиво. Учитель раз в два года меняет классы, в которых читает, чтобы не привыкал к ученикам. Кто-то из учеников достигает успехов: побеждает в тех же олимпиадах школьных, городских земель, а тем паче и в общегосударственных олимпиадах. Школьник получает за это деньги, и довольно много. Но вместе с ним получают учитель и школа, которые его готовили. Поэтому нередки случаи, когда преподаватели зарабатывают больше директора. Естественно, лучшие ученики поощряются поездками по Германии и Европе, стипендиями, именными стипендиями и так далее.

Вот смотрите, как меня отбирали в физмат школу. Не секрет, я родился в маленьком шахтёрском городке. В 7-м классе попал на областную олимпиаду и умудрился там занять 4 или 3 место, уже не помню. В результате чего через два месяца за мной приехали преподаватель математики и завуч из моей будущей школы. Они приехали в школу и к моим родителям сообщить, что ваш мальчик будет учиться у нас. Всё. Никаких вступительных я не сдавал, просто поставили перед фактом, этот ребёнок будет учиться у нас. Так я попал в физмат школу интернат, которая находилась почти за 100 км от дома. И никого ничего не волновало, ты должен здесь учиться и всё. А теперь представьте, когда в класс собирают таким образом, нас было 26 или 28 учеников, точно не помню, каждый из которых был лидером в своей школе. И вот собрали всё это стадо и естественно воспитывали, в то же время и учили. В 2 часа заканчивались уроки был обед. С 14:30 до 17:00 было свободное время. И очень часто мы уже в это свободное время сидели в классе и учились. Потому что за нас этого делать никто не будет. Но зато у нас в школе разрешали на уроках биологии, заниматься математикой. Сам себе сидишь, решаешь и никому не мешаешь, то же самое было и на истории. Все было заточено на то, чтобы мы учились. Вот когда я увижу нечто подобное здесь, буду счастлив. Потому что из этих детей будут специалисты. Из моего выпуска в 150 человек с первого раза поступило 135 человек. А условия приема при СССР были немножко другие. Но из 49 медалей, которые пришли в мой выпуск на Донецк – 28 получила наша школа. Дальше думаю, можно не рассказывать.

– Да, тогда учили лучших из лучших. Скажите, а насколько по-вашему мнению глобальный переход в цифровую среду и бешеный темп развития технологий изменили требования к компетентности кадров?

– О, это очень сложный вопрос. Откровенно, я бы половину нынешних кадров выбрасывал за некомпетентностью. Потому что одним из основных требований сейчас, является то, что сотрудник компании должен быть уверенным пользователем компьютера. По крайней мере так о себе заявляют все те, кто идут на офисные должности. А реально из них уверенными пользователями являются 30%.

– А если не обо всех, а возьмём отрасль безопасности, и в этом ключе поговорим?

– С безопасниками тут проще с одной стороны и сложнее с другой. Потому что компьютер они знают кто больше, кто меньше. Кто лучше, кто хуже работает в своей специальности. Но понимаете, безопасники это настолько широкое понятие, как и врач. Существует врач, который лечит горло. Кто-то лечит почки. А кто-то лечит сосуды, но все они врачи. Вот так и у безопасников, существует огромное количество специализаций. Если говорить о цифровизации. В нынешнее время, происходит цифровизации всего, и с этим уже никто не спорит. А теперь возникает вопрос: насколько безопасна эта цифровизация? Например, возьмём нашу доблестную «ДИЮ», в которую нас все толкают даже с точки зрения тех же COVID сертификатов. А я не хочу. Я не хочу себе оставить «ДИЮ». Я не хочу себя там заводить. Почему? Я не совсем доверяю этому программному обеспечению, нужно убедить меня в том, что это безопасно. Но пока убедить не смогли.

Как изменяются требования к персоналу. Персонал должен понимать: что такое цифровые технологии? На что они идут? Как это будет работать? Как они в этом всём будут работать? Ну чтобы не получилось такого, когда выставляют голым задом виндовые машины в Интернет. Когда из-за ошибки IT персонала вдруг выставляется в Интернет вся база пользователей, такое уже было. Не хочу называть эти государственные органы. Кто знает о ком говорю, тот поймёт. Чтобы не было такого, что у нас самая верхняя структура, которая должна заниматься информационной безопасностью, вдруг начинает сама устранять ошибки и проводить обновления во всех государственных структурах. Возникает вопрос: а что там администраторов нет?
Когда я спросил: зачем вы это делаете?
Мне говорят: а кто будет это делать?
Я: подождите. Ваше дело, как руководителей написать письмо, в котором нужно указать, что нужно сделать. Написать методичку, как сделать. Установить сроки, когда должно быть сделано. И потребовать проверку. Всё. А самому бегать и устанавливать… Во-первых, – не набегаешься. А во-вторых – извини, но любой из безопасников скажет, что самое главное в ходе расследования, не выйти на самого себя. Понимаете, получается так, что ты сделал. Но вот ты тоже человек, не знаешь инфраструктуру, не знаешь всего. В ходе обновления допустил ошибку или не допустил ошибку, а чего-то не учёл. Как ты думаешь, кого будут обвинять? Тебя. Оно тебе надо? Твое дело, поставить задачу и проконтролировать исполнение.
И тут в ответ издается.
Ну ты же знаешь какие у нас кадры? Они просто не могут этого сделать.
Я говорю: ну так увольняйте.
Они: а мы не можем. Ты же понимаешь, как их набирали.
И всё.

– Правильно ли я понимаю, что студенты, которые обучаются отрасли ИБ это, в том числе и будущие айтишники?

– Да, конечно, абсолютно. Дело в том, что безопасник это не работа, а призвание. По поводу того, что безопасник это будущий айтишник. Вот смотрите, на потоке в котором училась моя дочь, всего 5 человек стали безопасниками. На потоке у сына, 6 человек стало безопасниками. Безопасник это намного сложнее и подразумевает другой тип психологического мышления. Но и самое главное, – из вчерашних школьников берут и готовят сегодня безопасников. А теперь вопрос: а кто проводит их психологический отбор?

– Хороший вопрос, кто проводит?

– Имею в виду то, что в свое время делалось в военных училищах. А сегодня делается в учебных заведениях МВД, СБУ и им же подобных. А ведь у ребят потом будет допуск ой-йой-йой. Кто знает, на что психологически способны эти люди? Ведь самое страшное, когда на предприятии воруют айтишник и безопасник. Потому что они знают, как это делать. Кто их проверяет? Кто их тестирует? Причём тестировать нужно не реже чем раз в три года. И контроль за ними нужен специальный. Есть такое? Нет.

– Как Вы считаете, возможно психологическое тестирование проводить в самом начале до обучения?

– Тестирование при отборе это одно. Я сошлюсь на то, как делается в соседнем государстве. Кто бы что не говорил, но ментально мы наиболее близки именно с этой страной. Каждые 3 года офицер безопасности должен проходить переподготовку на государственных курсах. Причём если он её не пройдёт, он не может работать по специальности. Если фирма его туда не пошлёт, то у нее отзовут лицензию на право в случае чего свидетельствовать в суде. Безопасников должно быть не менее 2 человек, и каждый из них 1 раз в 3 года проходит обучение, жёсткие курсы. Подобные курсы я прошел в далёком 2003-м году. Скажу так, что таких курсов я не проходил ни разу. Ну начинаем с элементарного. Я в пятницу вечером пишу письмо в соответствующую компанию: я иностранец, хочу пройти у вас обучение. Заметим, что это пятница 17:00. Написал. Отправил. Утром в понедельник, прихожу на работу и получаю письмо от этой компании. Уважаемый Владимир Фёдорович, ну что же вы забыли упомянуть, чтобы вы бывший офицер. Это же существенно упрощает дело, приезжайте. У нас на курсах не было ни одного гражданского преподавателя, вообще в принципе. Курсы ещё раз повторюсь великолепные. Я очень доволен, и горжусь тем, что в свое время я прошел их.

– В чем их особенность, что отметили для себя?

– Было интересно. Это курсы на которых нам говорили взять домой учебник и почесть с такой-то страницы по такую-то. Мы будем разбирать это завтра, чтобы вы понимали и могли задавать вопросы. Согласитесь, это как минимум интересно. Но и вели очень интересные люди, чувствовалось, что они знают свою работу. Вот как-то так. У нас таких курсов переподготовки безопасников просто нет. И не знаю, когда будут.

– Государственных нет, Вы это имеете в виду?

– Да, аттестованных государством. И у нас отсутствуют требования проходить их каждые 3 года. Более того, во многих наших частных компаниях руководство вообще не говорит об обучении своих сотрудников либо если ты хочешь пройти обучение, то должен вначале доказать зачем это нужно, и почему это именно. И только потом, может быть тебе дадут проходить это обучение. В государственных структурах ты должен говорить, куда ты хочешь пойти. Но вовсе не факт, что ты туда пойдёшь. Получается должен пойти, но не более чем. И вообще, государственных структурах я вообще ничего не хочу говорить. Потому что я не люблю бороться с ветряными мельницами. Я не могу говорить о том, чего я сделать не могу. Ну скажу я что все плохо, а толку?

– Давайте тогда не будем о грустном, и немного повернем разговор в другое русло, поговорим о перспективе. Отрасль ИБ в мировом масштабе – одна из самых быстрорастущих, а айтишники – одна из самых высокооплачиваемых профессий в мире. Применимо ли это также к Украине?

– Скажу так, в Украине лучше всего зарабатывают те айтишники, кто работает на Запад. Я знаю таких достаточно много. Это всегда было очень прибыльно. Мало кто из украинских айтишников хочет работать здесь, потому что мало платят. То же самое можно наблюдать на примере соседней Белоруссии. Программист работающий на зарубежную компанию получает в среднем больше того же программиста работающего на внутренний рынок. Это факт, и от этого никуда не деться. На IT рынке мы боремся с индусами либо они работают, либо мы. Нашим айтишникам бороться с ними немного тяжелее, у индусов английский язык государственный.

– По-вашему мнению, почему студенты сегодня не хотят учиться?

– Вы были студенткой? Как и я тоже. Учиться сильно хотели? Знаете, у нас в свое время на кафедре в институте, где я учился, висели 50 советов молодому преподавателю. К сожалению, я был маленький и глупый и их не переписал. Но первый совет запомнил на всю жизнь: если на твои лекции не ходят студенты, подумай, на какие и почему и на какие ты сам не ходил.

Вот я вспомнил небольшой опыт преподавания в киевском ВУЗе. Преподавал тогда безопасность операционных систем и вёл всего лишь лабораторные работы. Достаточно давно это было. Пришел вести занятие, а из всей группы 27 студентов, пришло всего 15 человек.
Я сказал: очень хорошо.
У меня спросили: а вы что остальных отмечать не будете в журнале?
Я говорю: нет.
Они: а почему?
Я: а зачем? Их меньше, значит мы на рынке стоим дороже.
Потом посмотрел методички лабораторных, которые лежали у студентов. И тут я озверел окончательно. Первое, что я попросил, собрать старосту все методички и отнести их в библиотеку, чтобы я их больше не видел. Потому что-то, чему вас пытаются научить, во-первых, вы должны были знать на первом курсе. Этому материалу как минимум 10 лет, он не актуален. И стал им ввести лабораторные занятия по своим статьям, которые на тот момент публиковались в журналах. Я взял одну распечатанную статью, и начал по ней рассказывать. Смотрю, ребята начинают что-то писать.
Я говорю: зачем вы пишите?
Они: ну как же? Нам уже это будет нужно.
Я говорю: забудьте, писать не надо. Я вам отдам эту печатную и скажу, где висит в интернете, чтобы вы могли скачать. Всё, писать ничего не надо. Слушайте, думаете и делаете.
Это привело к тому, что у меня вместо 27 студентов сидело 67 студентов. Приходили из других курсов. Приходили из других факультетов, за что я даже получил в шею от деканата со словами: почему на твои занятия уходят люди из других пар? Я говорю ему: сделайте так, чтобы не уходили. Сделайте так, чтобы мои ушли, мне их сажать некуда. На этом и закончилась.

– Поделитесь, пожалуйста, в чем Ваш секрет?

– В конце семестра я разговаривал не со своими студентами, а со своими друзьями. Вот и всё.

– Насколько вероятно то, что, получив образование в отрасли ИБ студент станет киберпреступником?

– Хороший вопрос. Я не знаю. Вот именно поэтому я и говорю, что психологическое тестирование должно быть в начале. Откуда мы знаем? Сидят за столом одни и те же люди, пьют одно и тоже. Но кто-то из них завалится спать, а кого-то тянет на подвиги. Откуда я знаю кого? Я не знаю. Откуда я знаю, что у него в голове? Я не знаю. Понимаете? Поэтому сколько из них уйдёт на «тёмную сторону»? Да бог его знает. Кому-то из них хватит тех денег, которые ему предлагают на предприятии, а кому-то нет. Кому-то захочется «ломать», кому-то нет. У кого-то это станет жизненной необходимостью. Кстати, то, что они научатся «ломать» это не так плохо, как может показаться. Ну захотят они ломать. Ну хорошо. Может быть часть из них уйдёт в пентестеры – это и есть официальный взлом. А может быть кто-то из них станет создателем. И будет создавать инструменты для взлома, которыми будут пользоваться правоохранительные органы. Ведь, в сущности, это тот же взломщик, но который стоит на «белой стороне». Таких я тоже знаю. И что тут плохого? Да ничего.

– А как Вы считаете, что может стать сдерживающим фактором для безопасника, чтоб у него и мыслей не возникало о переходе на «тёмную сторону»?

– Это вопрос больше из области психологии. Как можно сделать так, чтобы удержать кого-то от перехода на ту сторону. Я не знаю как. Честное слово не знаю. Потому что это трудно. У человека должен быть некий моральный стержень. Сейчас этого морального стержня чаще всего нет. Понимаете? В те времена, когда мне было 20 лет, было все просто. Нас воспитывали в том, что вот это хорошо, а вот это плохо. Сейчас такого воспитания нет. И говорить о том, что поможет удержать его на этой стороне, я не знаю. Сложно.

– Когда мы с Вами говорим о перспективах в отрасли ИБ, если оставить все как есть и ничего сегодня не менять, какую картину Вы видите через 5-10 лет?

– Апокалипсис. Понимаете, с каждым днём количество атак и их разнообразие будет только увеличиваться. Если мы не сделаем так, что наши безопасники захотят учиться, то это всё конец. Будут приходить очередные молодые стажеры, молодые лейтенанты. Возможно, часть из них, может быть, когда-то станет мастерами, но это маловероятно. У меня есть великолепный рассказ моей знакомой, называется он «Два оранжевых». В нем описана история о магических специалистах по лечению городов, и я туда дописал свое окончание: «Мастер знает, что далеко не все из нынешних стажеров смогут работать дальше. Кому-то это надоест. Кто-то уйдёт. Кто-то не сможет. Да и в принципе, город уже давно проиграл. Но мастер знает другое, деваться-то некуда. Значит нужно натягивать сбрую. Тихо ругаясь просмотреть свою укладку, все ли инструменты на месте. И идти. Ведь он мастер, он должен».

Я благодарю Владимира за уделенное время и столь емкие ответы. После интервью у меня появилось много вопросов о том, кто же такой специалист ИБ? Возможно, этот человек должен сочетать в себе навыки айтишника и следователя, психолога и киберпреступника, при этом обладать особым стержнем. Действительно не каждый сможет каждый день бороться с киберпреступностью, и при этом не поддаться соблазну перейти на «темную сторону».

Описываемое Владимиром положение дел в сфере образования ИБ меня лично пугает и огорчает единовременно. Возможно, такими специалистами становятся не только благодаря достойным учителям, а еще и вопреки самой системе, по призванию. И безусловно, можно утверждать, что такие специалисты будут всегда востребованы.