Запись подкаста «Go учиться!». Гость – Александр Марков, директор по информационной безопасности X5Group
В этом выпуске совместного с X5 Group сезона подкаста «Go учиться!» говорим об информационной безопасности: как личной, так и бизнеса. Насколько сложно сейчас защищаться от киберугроз? За какими данными злоумышленники охотятся прежде всего?
Кто самый востребованный специалист на IT-рынке? По крайней мере в России? Можно предположить, что речь пойдет о разработчиках — фундаменте цифровой сферы.
Однако спрос на них остается стабильным, — и сейчас самыми востребованными работниками в российских IT-компаниях оказались специалисты по информационной безопасности, их ищут 54% опрошенных работодателей.
Цифровые угрозы компаниям и так каждый год становились все серьезней, а хакеров становилось все больше. Но прошлый год стал в этом смысле беспрецедентным. На людей и компании были совершены тысячи, если не сотни тысяч атак. Также рынок наблюдал десятки серьезных утечек персональных данных.
Согласно исследованиям почти 80% российских компаний от взлома оказались не защищены. Что с этим делать? И как стать самым востребованным специалистом по информационной безопасности сегодня?
Обсуждаем с директором по информационной безопасности X5Group Александром Марковым.
Кто самый востребованный специалист на IT-рынке? По крайней мере в России? Можно предположить, что речь пойдет о разработчиках — фундаменте цифровой сферы.
Однако спрос на них остается стабильным, — и сейчас самыми востребованными работниками в российских IT-компаниях оказались специалисты по информационной безопасности, их ищут 54% опрошенных работодателей.
Цифровые угрозы компаниям и так каждый год становились все серьезней, а хакеров становилось все больше. Но прошлый год стал в этом смысле беспрецедентным. На людей и компании были совершены тысячи, если не сотни тысяч атак. Также рынок наблюдал десятки серьезных утечек персональных данных.
Согласно исследованиям почти 80% российских компаний от взлома оказались не защищены. Что с этим делать? И как стать самым востребованным специалистом по информационной безопасности сегодня?
Обсуждаем с директором по информационной безопасности X5Group Александром Марковым.
Что следует понимать под информационной безопасностью?
Инфобез – это целая индустрия. Там есть все: и защита от писем мошенников с фишинговыми ссылками, и хакерские атаки на крупный бизнес. В институтах нас учат, что информационная безопасность – это состояние защищенности, которое направлено на обеспечение конфиденциальности, целостности и доступности данных. Скучно. когда ты развиваешься в этой индустрии, начинаешь понимать, что это многогранный рынок, целый мир. Там есть управление рисками. Можно привести пример: вы задумываетесь о последствиях, когда выкладываете что-нибудь в социальные сети? Что за информацию вы туда выкладываете, что с ней потом будет, как вам это потом вернется – это точка зрения оценки риска того, что происходит вокруг. С точки зрения защиты информации, то же касается банковских и личных данных, финансовой информации, о здоровье, то есть медицинские сведения, защищаемые законом.
Какие сейчас существуют способы хакерских атак? С чем вам приходилось сталкиваться?
Информационную безопасность этого плана называют кибербезопасностью. На самом деле кибербезопасность – это подмножество инфобеза, направленное на защиту от хакеров. И часто информационная безопасность выходит за пределы киберпространства. Что такое вообще IT? Это про провода, которые проходят вдоль щитков, в метро, еще где-то. Обычно все это концентрируется в офисе. Если говорить о данных, то они по этим проводам передвигаются, если совсем все упрощать, с одного места в другое. Их можно снять с этих проводов разными способами. Самый простой – врезаться. И еще, наверное, самый дешевый и простой способ злоумышленников – это положить какое-то устройство в незащищенном подвале, где проходят провода. Такие вещи до сих пор встречаются.
В нашей практике такое тоже есть. У нас больше 20 тысяч магазинов. Это физическая инфраструктура, которая встречается у очень крупных компаний таких, как X5 Retail Group, банков. Магазины в этом плане меньше защищены, чем те же самые банки, потому что в некоторых из них нет охраны, а есть умные устройства, которые расположены в торговом зале. Это и весы, и кофеварка, и всякие интересные холодильники, которые сообщают о том, что он разморозился, у него изменились параметры, он требует внимания к себе. И порой невозможно обеспечить должный уровень физической безопасности, непосредственно взаимодействия с IT. Когда человек уже подключился в сеть, в розетку воткнулся, провод порвал, перекусил, по нему бегают не зашифрованные данные, тогда вполне возможно снять информацию.
Есть такое понятие, как эшелонированная защита, когда мы должны защищать информационные активы. Это может быть не только информация, это могут быть и бизнес-процессы. Все сводится к информации и, в конечном счете, к деньгам. На каждом уровне мы должны смотреть, какие риски угрожают этим активам. Если наши провода проходят по незащищенному периметру, нам надо как-то обезопасить себя. Для этого есть разные варианты: охранников посадить, шифровать данные, которые бегают по этим каналам, например.
В нашей практике такое тоже есть. У нас больше 20 тысяч магазинов. Это физическая инфраструктура, которая встречается у очень крупных компаний таких, как X5 Retail Group, банков. Магазины в этом плане меньше защищены, чем те же самые банки, потому что в некоторых из них нет охраны, а есть умные устройства, которые расположены в торговом зале. Это и весы, и кофеварка, и всякие интересные холодильники, которые сообщают о том, что он разморозился, у него изменились параметры, он требует внимания к себе. И порой невозможно обеспечить должный уровень физической безопасности, непосредственно взаимодействия с IT. Когда человек уже подключился в сеть, в розетку воткнулся, провод порвал, перекусил, по нему бегают не зашифрованные данные, тогда вполне возможно снять информацию.
Есть такое понятие, как эшелонированная защита, когда мы должны защищать информационные активы. Это может быть не только информация, это могут быть и бизнес-процессы. Все сводится к информации и, в конечном счете, к деньгам. На каждом уровне мы должны смотреть, какие риски угрожают этим активам. Если наши провода проходят по незащищенному периметру, нам надо как-то обезопасить себя. Для этого есть разные варианты: охранников посадить, шифровать данные, которые бегают по этим каналам, например.
Для чего хакеры этим занимаются? Они собирают информацию, потом ее куда-то продают, шантажируют тех, у кого забрали, делают ее публичной?
Тут есть несколько моментов, на которые я хотел бы обратить внимание. Что такое хакер вообще? Есть образ в целом: кто-то плохой, кто вламывается в сеть и начинает «играть» на клавиатуре. Циферки падают на экране, 3D анимация такая красивая, как это было в фильме «Хакеры». Там мне очень нравилась фраза: «Вхожу в центральный процессор и полетел». На самом деле хакер – это человек, который пытается решить свои задачи различными нестандартными путями. Есть еще такое выражение «лайфхак». Это же, по большому счету, применение нестандартных путей к решению задачи. Здесь то же самое.
Хакеры бывают плохие и хорошие, если говорить про mindset, про их образ мышления. При этом цели у всех разные. Порой хакер, если обобщать, просто инструмент в руках преступной группы, злоумышленников. Там целью бывает, безусловно, монетизация. Если это какой-то script kiddie, подросток, который пытается что-то делать, может быть, доказать, какой он крутой, делает попытки монетизации. Такие обычно модельно очень мало образованы в области IT и высоких технологий. Они плохо понимают, как все работает, но что-то уже умеют. Им хочется повыпендриваться, назовем это так.
Но есть и более серьезные кейсы, такие как терроризм, кибертерроризм, взлом в государственном масштабе. Такое тоже случается. Мы видели эти иранские центрифуги, которые обогащали ядерное топливо. И наша задача как информационной безопасности – понять, от кого мы защищаем, что мы защищаем, трезво оценить риски и применить соответствующую схему защиты.
Хакеры бывают плохие и хорошие, если говорить про mindset, про их образ мышления. При этом цели у всех разные. Порой хакер, если обобщать, просто инструмент в руках преступной группы, злоумышленников. Там целью бывает, безусловно, монетизация. Если это какой-то script kiddie, подросток, который пытается что-то делать, может быть, доказать, какой он крутой, делает попытки монетизации. Такие обычно модельно очень мало образованы в области IT и высоких технологий. Они плохо понимают, как все работает, но что-то уже умеют. Им хочется повыпендриваться, назовем это так.
Но есть и более серьезные кейсы, такие как терроризм, кибертерроризм, взлом в государственном масштабе. Такое тоже случается. Мы видели эти иранские центрифуги, которые обогащали ядерное топливо. И наша задача как информационной безопасности – понять, от кого мы защищаем, что мы защищаем, трезво оценить риски и применить соответствующую схему защиты.
Вы лично знаете хакеров?
Да, у меня работают хакеры. Мы можем поговорить отдельно о том, что с этим хакером может случиться дальше, если он попробовал и у него вдруг получилось монетизировать. Это сродни воровству в магазине. Кого-то испугает закон, религия, другие причины. Кто-то не испугается, но не станет это делать, потому что убеждения такие. А есть люди, которые этим живут. «Зачем покупать? Вот лежит, охраны нет. Я пошел и взял». С хакерами та же самая история. Если хакер начал развиваться в этом направлении, познавать высокие технологии, при этом целью ставит себе монетизацию, наживу, да еще и в преступном сообществе, где его цель только усиливают, то дальше он уже не вернется в корпоративную среду.
Это все преступление, противозаконно, против людей, ничего не создает, деструктивно. Эти ребята испытывают влечение к технологиям, хорошо разбираются в них, часто выучиваются самостоятельно. Они много времени инвестируют в это с детства, постепенно развиваются, хотят что-то взломать, чтобы показать, что у них пытливый ум. Сперва они становятся «белыми» хакерами. Потом они идут по пути bug bounty [то есть поиска ошибок за вознаграждение на сайтах и в программном обеспечении – прим. ред.]. Так можно участвовать, взламывать, и тебе за это еще и заплатят.
Это все преступление, противозаконно, против людей, ничего не создает, деструктивно. Эти ребята испытывают влечение к технологиям, хорошо разбираются в них, часто выучиваются самостоятельно. Они много времени инвестируют в это с детства, постепенно развиваются, хотят что-то взломать, чтобы показать, что у них пытливый ум. Сперва они становятся «белыми» хакерами. Потом они идут по пути bug bounty [то есть поиска ошибок за вознаграждение на сайтах и в программном обеспечении – прим. ред.]. Так можно участвовать, взламывать, и тебе за это еще и заплатят.
Как тестировщик?
Это хакер и есть. Он смотрит на то, как построено ПО, ищет узкие места, уязвимости, всячески их эксплуатирует, пытается, тестирует, выходит за границу разумного: «А предусмотрели ли здесь защиту? А там посмотрели? А протоколы? Что есть в интернете про это?».
Как выглядит кибератака? Что происходит во время нее?
Атаки разные бывают. Бывает такое, что все съезжаются в офис, начинается очень активное взаимодействие, печатают все на клавиатуре. Безусловно, это командная работа, если серьезная атака идет на компанию. Это может быть DDoS, может быть Advanced Persistent Threat (APT), то есть устойчивая, долго развивающаяся внутри сети, которую сложно заметить. Обычно они уже полгода существуют, когда их находят. Если вдруг массовая история происходит, то собирается ситуационный центр. Там присутствуют обязательно специалисты IT, Security Operations Center (SOC) [то есть центр мониторинга информационной безопасности – прим. ред.], которые работают с этой атакой. Проводится, во-первых, ее локализация, определение ее масштабов, во-вторых, стараются ее в этих масштабах сохранить. И дальше уже разрабатывается план вычищения вируса.
Атаки бывают совершенно разные. Иногда бывает так, что все съехались в офис, начали суетиться, бегать к оборудованию, кто-то в дата-центр поехал. В основном, все можно сделать удаленно, если у компании не пропал доступ к VPN. Тогда подключаются эксперты SOC – их можно хоть в ночи разбудить, – которые находят эту атаку и кричат: «Все пропало, все встаем». На самом деле будят только тех, кого надо, например, вторую линию SOC. Это более продвинутые ребята с точки зрения технологий, они хорошо знают инфраструктуру, работают уже не шаблонно. Бывает, и третья линия подключается. С дежурными сменами IT удаленно создаются видеочаты. У нас Security Operations Center большой, есть комната с мониторами, где сидят специалисты, все это выглядит очень красиво.
Все происходит в зависимости от критичности. В основном проходит достаточно тихо. В мыле только те, кто действительно работает над проблемой, чтобы что-то вычислить с компьютеров, перенастроить сетевое оборудование. Руководство подключается до определенного уровня, в зависимости от серьезности. Так-то можно и генерального директора разбудить, а если началась публичная история, то там PR подключается. Лучше всего, когда внутренняя служба со своей атакой разбирается сама и доносит до генерального директора, SEO, до всех релевантных служб, таких как PR, IT, юристы, информацию изнутри. Провал, если мы получили информацию с «рынка», извне.
Атаки бывают совершенно разные. Иногда бывает так, что все съехались в офис, начали суетиться, бегать к оборудованию, кто-то в дата-центр поехал. В основном, все можно сделать удаленно, если у компании не пропал доступ к VPN. Тогда подключаются эксперты SOC – их можно хоть в ночи разбудить, – которые находят эту атаку и кричат: «Все пропало, все встаем». На самом деле будят только тех, кого надо, например, вторую линию SOC. Это более продвинутые ребята с точки зрения технологий, они хорошо знают инфраструктуру, работают уже не шаблонно. Бывает, и третья линия подключается. С дежурными сменами IT удаленно создаются видеочаты. У нас Security Operations Center большой, есть комната с мониторами, где сидят специалисты, все это выглядит очень красиво.
Все происходит в зависимости от критичности. В основном проходит достаточно тихо. В мыле только те, кто действительно работает над проблемой, чтобы что-то вычислить с компьютеров, перенастроить сетевое оборудование. Руководство подключается до определенного уровня, в зависимости от серьезности. Так-то можно и генерального директора разбудить, а если началась публичная история, то там PR подключается. Лучше всего, когда внутренняя служба со своей атакой разбирается сама и доносит до генерального директора, SEO, до всех релевантных служб, таких как PR, IT, юристы, информацию изнутри. Провал, если мы получили информацию с «рынка», извне.
Есть ли регулярность у таких серьезных атак? Как часто они происходят?
Критичные инциденты случаются крайне редко. Последний раз у нас была DDoS-атака, но тогда они случались у всех подряд. Наверное, не все выезжали в офис, так как это были выходные, но какие-то люди поехали, все бросили. Некоторые прямо с шашлыками в зубах побежали. Вариантов же нет, надо ехать. Вообще же есть дежурные люди. Но руководители все на телефонах и в видеочатах решали этот вопрос.
Для понимания: вообще у нас фиксируется порядка 18 тысяч инцидентов в год. Это много. И все эти инциденты ожидаемы. То есть под них всех есть определенный шаблон поведения, что должен сделать специалист на первой линии SOC, как он его отработает, с кем должен связаться. Многое из этого автоматизировано и вообще не требует человеческого вмешательства. Высветился у нас, и побежал в средства автоматизации реагирования. И они уже что-то сделали с компьютерами, будь это заражение вирусное на одном из серверов или рабочих станций.
В организациях, где я раньше работал, у руководителя инфраструктуры поддержки висел бубен, в который он стучал, когда что-то ломалось. Потому что порой ты не понимаешь, что там произошло, приходится подключать огромное количество людей. Пока это все происходит, надо как-то нервы успокоить.
Для понимания: вообще у нас фиксируется порядка 18 тысяч инцидентов в год. Это много. И все эти инциденты ожидаемы. То есть под них всех есть определенный шаблон поведения, что должен сделать специалист на первой линии SOC, как он его отработает, с кем должен связаться. Многое из этого автоматизировано и вообще не требует человеческого вмешательства. Высветился у нас, и побежал в средства автоматизации реагирования. И они уже что-то сделали с компьютерами, будь это заражение вирусное на одном из серверов или рабочих станций.
В организациях, где я раньше работал, у руководителя инфраструктуры поддержки висел бубен, в который он стучал, когда что-то ломалось. Потому что порой ты не понимаешь, что там произошло, приходится подключать огромное количество людей. Пока это все происходит, надо как-то нервы успокоить.
Вы только отражаете атаки или потом еще ловите тех, кто нападает? И 18 тысяч атак по несколько сотен в день – это 18 тысяч человек? Или это, может быть, одна группа, которая так усиленно атакует?
Мы говорили, какая цель стоит за злоумышленниками. И эти 18 тысяч в принципе могут быть даже не группой, а просто гуляющим вирусом. Спам пришел, человек открыл, что-то неадресное прилетело. Я не говорю, что это 18 тысяч адресных атак, с которыми сложнее всего бороться, когда целятся в тебя, под тебя копают, проводят анализ, как ты устроен, какие у тебя средства защиты, эшелоны, на каких устройствах они сделаны. В сложных случаях моделируют эту историю, если у злоумышленников серьезная цель, монетизация.
Например, в США была критическая атака на нефтепровод Colonial Pipeline в 2021 году. Они даже в какой-то момент остановили перекачку нефти. И президент США вмешивался в эту историю. То есть это очень серьезный случай. Наверняка там готовились под это дело. Так же с иранскими центрифугами – там исключительно под них была заточенная история, насколько это известно в публичном пространстве. Все это требует определенных ресурсов, навыков. Хакерские преступные группы инвестируют огромные деньги в то, чтобы запрограммировать и внедрить вирус. Для этого надо кому-то приехать, подключить устройство, а это опасно. Сам хакер, наверное, не поедет. Кто стоит за ним, тоже не поедет подключать это устройство. Надо нанять человека. Так атака раскладывается на огромное количество этапов. На каждом из них можно выявить те или иные ее сигналы.
Например, в США была критическая атака на нефтепровод Colonial Pipeline в 2021 году. Они даже в какой-то момент остановили перекачку нефти. И президент США вмешивался в эту историю. То есть это очень серьезный случай. Наверняка там готовились под это дело. Так же с иранскими центрифугами – там исключительно под них была заточенная история, насколько это известно в публичном пространстве. Все это требует определенных ресурсов, навыков. Хакерские преступные группы инвестируют огромные деньги в то, чтобы запрограммировать и внедрить вирус. Для этого надо кому-то приехать, подключить устройство, а это опасно. Сам хакер, наверное, не поедет. Кто стоит за ним, тоже не поедет подключать это устройство. Надо нанять человека. Так атака раскладывается на огромное количество этапов. На каждом из них можно выявить те или иные ее сигналы.
Ловят ли злоумышленников в конечном итоге, стоит ли такая задача?
Когда мы видим все эти сигналы на каждом этапе, безусловно, наша первая задача –остановить атаку. Дальше надо понять, что это было. 18 тысяч – это неадресные кейсы. Наша цель – предотвратить дальнейшее повторение таких же атак на нас. Во-первых, проводится огромная внутренняя работа. Мы разбираем каждый случай, понимаем, как смогли злоумышленники пройти на следующий уровень, смотрим, где мы их поймали. Есть матрицы, которые показывают, на каких этапах и какие были признаки атак, какие меры защиты применяются. Мы все это анализируем. В дальнейшем применяются средства защиты, компенсирующие и устраняющие вероятность повторной атаки.
Еще один этап, который выходит уже за пределы просто киберреагирования, – это взаимодействие с правоохранительными органами. Надо всегда понимать, был ли ущерб. Если он есть, то есть было проникновение в данные, тогда надо вызывать полицию. В определенных случаях еще и ФСБ, взаимодействовать с ними, заводить уголовное дело, расследовать, участвовать в судах. Мы так тоже делаем, если вдруг есть материальные последствия, где мы можем доказать ущерб.
Как доказать ущерб – это отдельная история. Есть целое направление форензики, криминалистическое исследование, призванное доказать, что было проникновение. Есть и доведенные до реализации уголовные дела, когда люди были осуждены на сроки.
Еще один этап, который выходит уже за пределы просто киберреагирования, – это взаимодействие с правоохранительными органами. Надо всегда понимать, был ли ущерб. Если он есть, то есть было проникновение в данные, тогда надо вызывать полицию. В определенных случаях еще и ФСБ, взаимодействовать с ними, заводить уголовное дело, расследовать, участвовать в судах. Мы так тоже делаем, если вдруг есть материальные последствия, где мы можем доказать ущерб.
Как доказать ущерб – это отдельная история. Есть целое направление форензики, криминалистическое исследование, призванное доказать, что было проникновение. Есть и доведенные до реализации уголовные дела, когда люди были осуждены на сроки.
Кто чем занимается в команде информационной безопасности? Где этому учиться? Какие нужны для этого навыки?
Информационная безопасность делится с точки зрения профессий на техническую и организационную. Техническая – это как раз все, что связано с техникой, со взломами, реверс-инжинирингами прикладного программного обеспечения, исследованиями защищенности сетей, сопровождением и внедрением различных инструментов защиты. Таких инструментов много разных, это очень интересный отдельный мир. Есть люди, которых прямо хлебом не корми, дай этим позаниматься. От множества настроек зависит, взломают нас или нет.
Техническая история – это red teams, такие команды, которые состоят из «белых хакеров», у них есть задачи по принципу capture the flag, то есть захвати флаг. Они проводят исследования защищенности. Туда же относятся всякие дисциплины по криптоанализу, расшифровыванию кодов, история по разработке. Это отдельное направление. Их редко в индустрии держат, больше на разработчиков программных обеспечений по информационной безопасности. Такой специалист еще хорошо разбирается в методах защиты, в средствах и методах атак. Безусловно, они дорого стоят, к тому же, редкие – их надо еще поискать.
Туда же можно отнести то, что находится на грани с организацией – архитектор по информационной безопасности, который выстраивает вообще всю эшелонированную систему защиты на техническом уровне, то есть где какие расположить средства защиты, где какой вирус должен быть, как мониторить, какие должны быть события, куда направлять. Это тоже довольно дорогая специальность. Их очень мало. Такие специалисты обладают широким знанием технического спектра и при этом понимают, как организовать систему в конкретном окружении.
Переходя дальше к организационной безопасности, где технари смогли бы применить свои профессиональные знания к конкретному окружению, нужно, чтобы кто-то оценил риски, что мы вообще в компании защищаем. Говоря про индустрию, мы не должны защищать все подряд, есть регулирование. Например, банковская сфера, транспорт, авиакомпании, производственная сфера – это ключевые инфраструктуры, где есть регуляторные предписания, как и что надо защищать. Это упрощает жизнь информационному безопаснику, потому что ему не надо на рисках обосновывать какие-то определенные вещи бизнесу, владельцам компании. Есть предписания – будь любезен исполнить. Есть свои тонкости, как это все выполнить таким образом, чтобы было эффективно, оптимально с точки зрения денег, трудозатрат, чтобы все это работало. При этом существует очень много регуляторных требований в части отчетности. Под это тоже есть специальность, которую иногда называют «бумажной безопасностью». На самом деле это очень сложная работа – во всех тонкостях законодательства разбираться. Есть еще отдельно архитектура управления рисками, где много математики.
Техническая история – это red teams, такие команды, которые состоят из «белых хакеров», у них есть задачи по принципу capture the flag, то есть захвати флаг. Они проводят исследования защищенности. Туда же относятся всякие дисциплины по криптоанализу, расшифровыванию кодов, история по разработке. Это отдельное направление. Их редко в индустрии держат, больше на разработчиков программных обеспечений по информационной безопасности. Такой специалист еще хорошо разбирается в методах защиты, в средствах и методах атак. Безусловно, они дорого стоят, к тому же, редкие – их надо еще поискать.
Туда же можно отнести то, что находится на грани с организацией – архитектор по информационной безопасности, который выстраивает вообще всю эшелонированную систему защиты на техническом уровне, то есть где какие расположить средства защиты, где какой вирус должен быть, как мониторить, какие должны быть события, куда направлять. Это тоже довольно дорогая специальность. Их очень мало. Такие специалисты обладают широким знанием технического спектра и при этом понимают, как организовать систему в конкретном окружении.
Переходя дальше к организационной безопасности, где технари смогли бы применить свои профессиональные знания к конкретному окружению, нужно, чтобы кто-то оценил риски, что мы вообще в компании защищаем. Говоря про индустрию, мы не должны защищать все подряд, есть регулирование. Например, банковская сфера, транспорт, авиакомпании, производственная сфера – это ключевые инфраструктуры, где есть регуляторные предписания, как и что надо защищать. Это упрощает жизнь информационному безопаснику, потому что ему не надо на рисках обосновывать какие-то определенные вещи бизнесу, владельцам компании. Есть предписания – будь любезен исполнить. Есть свои тонкости, как это все выполнить таким образом, чтобы было эффективно, оптимально с точки зрения денег, трудозатрат, чтобы все это работало. При этом существует очень много регуляторных требований в части отчетности. Под это тоже есть специальность, которую иногда называют «бумажной безопасностью». На самом деле это очень сложная работа – во всех тонкостях законодательства разбираться. Есть еще отдельно архитектура управления рисками, где много математики.
Какие специальности искать школьникам? Этому учат в вузах?
Часто человек приходит и говорит: «Я хочу заниматься чем-то в информационной безопасности» и не понимает, что он хочет. Некоторые прямо точно знают, что хотят, приходят со словами: «Я хочу заниматься только реверс-инжинирингом. Хочу разбирать программное обеспечение, как оно было собрано, где ошибки». Они не всегда имеют профильную специальность в вузе. Ребята, которые глубоко развиты технически, в основном самоучки. У них часто есть высшее образование, но не всегда. Это уникальная история, когда приходят люди, и они уже готовы.
Мы, конечно, делаем выбор в пользу профильного высшего образования. Это важно, потому что дает тебе большой фундамент, на котором потом строится дом твоей профессиональной карьеры, твоего развития.
Карьера может быть как вертикальной, так и горизонтальной – даже в информационной безопасности. Сейчас этому учат все ведущие вузы страны. Моя альма-матер – это МГТУ имени Н.Э. Баумана. Я туда пошел, когда сказал: «Хочу быть хакером, пусть меня научат», при этом еще ничего про это не зная. Там я связался с сообществом, которое показало мне какие-то вещи. Дальше начал уже сам развиваться.
У нас получение высшего образования обычно обязательно. Это верно и для информационной безопасности. Мы пока склоняемся к тому, что оно надо, потому что дает базу, настраивает твой образ мышления, дает тебе фундаментальные маленькие кирпичики, из которых ты можешь потом строить стены. Это для нас важно.
И дальше обучение идет на работе. Если человек хочет строить карьеру, обычно он идет куда-то в индустрию, попадает на работу в ту или иную организацию. Если он хочет быть разработчиком, он пойдет к вендору, к производителю программного обеспечения, к тем, кто сервисы оказывает. Есть сервис-провайдеры, которые курируют кафедры. Там у ребят в принципе уже есть путь развития. Они могут пойти непосредственно к тому или иному сервис-провайдеру. И дальше так, как закрутит.
Но в целом надо понимать, чего ты хочешь, к чему ты больше склонен: к организационному управлению, информационному выстраиванию периметров обоснования бюджетов, или тебе интересно именно руками копаться, исследовать. Если первое, то надо идти в вуз, потом в индустрию, где тебя научат, расскажут, построят карьерный путь. Не надо бояться спрашивать: «Что я получу?». Надо точно понимать, что ты хочешь через два-три года, какой твой путь развития. Желательно понимать это уже в институте, попробовать пройти практику. Потому что может оказаться, что все не так, как ты себе представляешь. Ты можешь попробовать и понять, что тебе не нравится, что надо другое. Я знаю людей, которые отучились в Бауманке и пошли вообще в инвестиционный бизнес.
Плюс, есть профессиональные курсы. Сейчас их поменьше стало, правда. Я надеюсь, что в скором времени появится что-то отечественное. Например, сертификат информационной безопасности CISSP (Certified Information Systems Security Professional). Его получают через определенное время опыта на работе. Мне кажется, он один из самых интересных с точки зрения именно менеджерских сертификатов. При этом он считается техническим документом для руководителя по информационной безопасности. Есть еще технический сертификат OCP (Oracle Certified Professional), когда ты проходишь, сдаешь экзамены. Он считается очень сложным. Если человек с этими сертификатами справился, то он будет очень охотно принят в компанию, привнесет ей дополнительные ценности. А дальше опыт.
Мы, конечно, делаем выбор в пользу профильного высшего образования. Это важно, потому что дает тебе большой фундамент, на котором потом строится дом твоей профессиональной карьеры, твоего развития.
Карьера может быть как вертикальной, так и горизонтальной – даже в информационной безопасности. Сейчас этому учат все ведущие вузы страны. Моя альма-матер – это МГТУ имени Н.Э. Баумана. Я туда пошел, когда сказал: «Хочу быть хакером, пусть меня научат», при этом еще ничего про это не зная. Там я связался с сообществом, которое показало мне какие-то вещи. Дальше начал уже сам развиваться.
У нас получение высшего образования обычно обязательно. Это верно и для информационной безопасности. Мы пока склоняемся к тому, что оно надо, потому что дает базу, настраивает твой образ мышления, дает тебе фундаментальные маленькие кирпичики, из которых ты можешь потом строить стены. Это для нас важно.
И дальше обучение идет на работе. Если человек хочет строить карьеру, обычно он идет куда-то в индустрию, попадает на работу в ту или иную организацию. Если он хочет быть разработчиком, он пойдет к вендору, к производителю программного обеспечения, к тем, кто сервисы оказывает. Есть сервис-провайдеры, которые курируют кафедры. Там у ребят в принципе уже есть путь развития. Они могут пойти непосредственно к тому или иному сервис-провайдеру. И дальше так, как закрутит.
Но в целом надо понимать, чего ты хочешь, к чему ты больше склонен: к организационному управлению, информационному выстраиванию периметров обоснования бюджетов, или тебе интересно именно руками копаться, исследовать. Если первое, то надо идти в вуз, потом в индустрию, где тебя научат, расскажут, построят карьерный путь. Не надо бояться спрашивать: «Что я получу?». Надо точно понимать, что ты хочешь через два-три года, какой твой путь развития. Желательно понимать это уже в институте, попробовать пройти практику. Потому что может оказаться, что все не так, как ты себе представляешь. Ты можешь попробовать и понять, что тебе не нравится, что надо другое. Я знаю людей, которые отучились в Бауманке и пошли вообще в инвестиционный бизнес.
Плюс, есть профессиональные курсы. Сейчас их поменьше стало, правда. Я надеюсь, что в скором времени появится что-то отечественное. Например, сертификат информационной безопасности CISSP (Certified Information Systems Security Professional). Его получают через определенное время опыта на работе. Мне кажется, он один из самых интересных с точки зрения именно менеджерских сертификатов. При этом он считается техническим документом для руководителя по информационной безопасности. Есть еще технический сертификат OCP (Oracle Certified Professional), когда ты проходишь, сдаешь экзамены. Он считается очень сложным. Если человек с этими сертификатами справился, то он будет очень охотно принят в компанию, привнесет ей дополнительные ценности. А дальше опыт.
Блиц
Легко ли заниматься информационной безопасностью?
Это огромный мир, и это сложно.
Какой совет по личной безопасности вы можете дать в нынешней ситуации?
Всегда думайте, что и куда вы загружаете, что вы фотографируете. Исходите из того, что нет идеально защищенных систем. Взломать можно все. Причем, если говорить о государственных уровнях, об уровнях компаний-производителей телефонов, можно до любых теорий заговоров договориться. Но в целом взломать можно все. Используйте сервисы, которые дают вам множество факторов безопасности: это и уведомление о входе, анализы аномальной активности с вашей стороны, которые могут заблокировать вас, подтвердить, вы это или не вы, двухфакторное подтверждение входа, например, по SMS или по QR-коду, или экосистемное подтверждение с запуском другого приложения.
Плюс, обращайте внимание на компании, которые действительно беспокоятся об информационной безопасности. Понятно, что не везде за этим можно уследить. Вы платите пластиковыми карточками в магазинах. Не все магазины одинаково хороши с точки зрения информационной безопасности. Тут надо думать о том, чтобы была отдельная карта [для покупок]. Раньше были Apple Pay, Google Pay, которые чуть более защищенные. Сейчас, мне кажется, можно опять вернуться к тому, чтобы иметь отдельную карточку на платежи в интернете, управлять их лимитами.
Можно совсем заморочиться и открыть лимит только на определенную оплату, а потом опять закрывать. Практически гарантированно, но неудобно. Поэтому надо искать баланс, в этом плане для себя оценивать, что вы готовы или не готовы потерять. Это основное. Не забывайте про безопасность в любом случае. И сохраняйте спокойствие, потому сейчас очень много происходит фишинговых атак, когда звонит «следователь» или «специалист банка». Они звонят очень много кому и иногда попадают так, что человек находится в определенном состоянии, и они его только усиливают, это резонирует. Человек потом сам не знает, как так произошло. Даже люди, которые занимаются информационной безопасностью, чуть не попадались на такие уловки. Я знаю таких людей. Слава богу, что просто вовремя опомнились, а то тоже отдали бы свои пароли. Всегда нужно просто сбросить, если звонит «следователь». Если это был настоящий следователь, тебя вызовут, с повесткой придут, если надо. Такие методы у государства. Это официальные каналы взаимодействия. Если «из банка» – повесьте трубку, перезвоните по номеру, указанному на банковской карте. Тогда вы получите ответ.
Можно ли стать миллионером, не будучи хакером, а борясь с ними?
Да. Более того есть люди, которые это уже сделали, например, Юрий Максимов, Касперский Евгений. Вы же понимаете, что основное – это не деньги. Основное – это все-таки стараться помочь людям, иметь идею. И дальше, развивая эту идею в стремлении помочь людям, деньги как средство приходят. Люди становятся миллионерами не потому, что они хотели стать миллионерами, а потому, что они что-то сделали, дали работу куче других людей, которые занимаются в этом направлении.
Это огромный мир, и это сложно.
Какой совет по личной безопасности вы можете дать в нынешней ситуации?
Всегда думайте, что и куда вы загружаете, что вы фотографируете. Исходите из того, что нет идеально защищенных систем. Взломать можно все. Причем, если говорить о государственных уровнях, об уровнях компаний-производителей телефонов, можно до любых теорий заговоров договориться. Но в целом взломать можно все. Используйте сервисы, которые дают вам множество факторов безопасности: это и уведомление о входе, анализы аномальной активности с вашей стороны, которые могут заблокировать вас, подтвердить, вы это или не вы, двухфакторное подтверждение входа, например, по SMS или по QR-коду, или экосистемное подтверждение с запуском другого приложения.
Плюс, обращайте внимание на компании, которые действительно беспокоятся об информационной безопасности. Понятно, что не везде за этим можно уследить. Вы платите пластиковыми карточками в магазинах. Не все магазины одинаково хороши с точки зрения информационной безопасности. Тут надо думать о том, чтобы была отдельная карта [для покупок]. Раньше были Apple Pay, Google Pay, которые чуть более защищенные. Сейчас, мне кажется, можно опять вернуться к тому, чтобы иметь отдельную карточку на платежи в интернете, управлять их лимитами.
Можно совсем заморочиться и открыть лимит только на определенную оплату, а потом опять закрывать. Практически гарантированно, но неудобно. Поэтому надо искать баланс, в этом плане для себя оценивать, что вы готовы или не готовы потерять. Это основное. Не забывайте про безопасность в любом случае. И сохраняйте спокойствие, потому сейчас очень много происходит фишинговых атак, когда звонит «следователь» или «специалист банка». Они звонят очень много кому и иногда попадают так, что человек находится в определенном состоянии, и они его только усиливают, это резонирует. Человек потом сам не знает, как так произошло. Даже люди, которые занимаются информационной безопасностью, чуть не попадались на такие уловки. Я знаю таких людей. Слава богу, что просто вовремя опомнились, а то тоже отдали бы свои пароли. Всегда нужно просто сбросить, если звонит «следователь». Если это был настоящий следователь, тебя вызовут, с повесткой придут, если надо. Такие методы у государства. Это официальные каналы взаимодействия. Если «из банка» – повесьте трубку, перезвоните по номеру, указанному на банковской карте. Тогда вы получите ответ.
Можно ли стать миллионером, не будучи хакером, а борясь с ними?
Да. Более того есть люди, которые это уже сделали, например, Юрий Максимов, Касперский Евгений. Вы же понимаете, что основное – это не деньги. Основное – это все-таки стараться помочь людям, иметь идею. И дальше, развивая эту идею в стремлении помочь людям, деньги как средство приходят. Люди становятся миллионерами не потому, что они хотели стать миллионерами, а потому, что они что-то сделали, дали работу куче других людей, которые занимаются в этом направлении.