В октябре 2019 года Сергей Бут пришел работать на Ильском нефтеперерабатывающем заводе инженером АСУ ТП — автоматических систем управления технологическими процессами. Но рядовым инженером пробыл недолго — уже через четыре месяца спустя получил должность ведущего. Что помогло быстро продвинуться на новом месте? Профильное образование, опыт, а также, как признается сам Сергей, учеба в GeekBrains. Здесь он осваивал информационную безопасность, системное администрирование и навыки тестировщика. Как эти знания пригодились ему при трудоустройстве и в работе? Какую еще IT-специальность он изучает на нашей площадке? Обо всем по порядку.

— Сергей, добрый день! Если правильно понимаю, изучать тестирование и информационную безопасность вы начали, когда уже состоялись как инженер. Расскажите о своей карьере до учебы в GB. Почему решили заниматься автоматизацией, чем вам это нравится, какое образование получили в этой сфере?

Я окончил Кубанский государственный технологический университет (КубГТУ) по специальности «автоматизация технологических процессов и производств». На нее я прошел без экзаменов, потому что школу окончил с золотой медалью и сдал централизованное тестирование (тогда еще не было ЕГЭ). 

Сначала рассматривал факультет автоматизации как запасной вариант — хотел стать программистом и поступить на «программное обеспечение». Но из-за очень большого конкурса «автоматом» туда не брали — нужно было сдать математику. На экзамене я переволновался, допустил досадную ошибку в уравнении и недобрал баллов.

Стал изучать автоматизацию. Специальность в итоге пришлась мне очень по душе: понравилось работать с «железками», программировать контроллеры. Это большая ответственность, и порой у тебя даже нет права на ошибку! Ведь когда занимаешься промышленной автоматикой, приходится управлять оборудованием стоимостью в несколько миллионов рублей. А на опасных производствах ошибка в программном обеспечении может вообще угрожать безопасности людей.

После университета я два года работал на станках с ЧПУ (числовым программным управлением). Сначала как инженер-технолог, потом — начальник сектора. Дальше почти десять лет трудился в ООО «НОИНТ» инженером-программистом, ведущим инженером-программистом, начальником отдела.

C октября 2019 года работал инженером автоматических систем управления технологическими процессами в КНГК-ИНПЗ (Кубанская нефтегазовая компания, Ильский нефтеперерабатывающий завод). А в марте стал там ведущим инженером.

— У вас есть и второе образование — менеджмент. Вы получали его, чтобы лучше понимать процессы на предприятии? Или хотели попробовать принципиально новое направление?

Во времена моей учебы в КубГТУ было модно получать два высших образования одновременно. В нашей группе на второе высшее решились три четверти студентов. Занятия шли несколько раз в неделю по вечерам. Как в известной комедии, «Все побежали — и я побежал».

Менеджмент организации становился все более полезным, когда я начал продвигаться по карьерной лестнице. У меня появились подчиненные, я принимал все большее участие в решении «глобальных вопросов». Тут знания и пригодились. Редкий случай, когда с двумя высшими работаешь по обоим направлениям одновременно, здорово! В итоге о времени и ресурсах, затраченных на освоение этих специальностей, я не жалел ни разу.

— В GeekBrains вы пришли изучать информационную безопасность. До этого пробовали тестирование ПО. Сейчас осваиваете системное администрирование. Зачем вам столько всего?

В области автоматизации технологических процессов очень мало специалистов, которые занимаются информационной безопасностью. Я решил совместить эти области знаний: автоматизацию и ИБ. А поскольку безопасник должен в совершенстве знать Linux-системы, я купил еще и обучение по программе «Системный администратор».

Тестирование мне близко: еще в детстве проверял работоспособность всего вокруг, начиная с игрушек :) Это в моем характере — вникать в каждую мелочь и изучать реакцию объекта на нестандартные воздействия. Обучение в GeekBrains по профессии «Тестировщик ПО» упорядочило мои знания и навыки, помогло их «разложить по полочкам». 

Пользоваться этими знаниями я начал практически сразу — мне постоянно надо проверять свою и чужую работу, изменения, которые вносятся в ПО разных объектов на заводе. Теперь я понимаю, что нужно тестировать в первую очередь, что во вторую, а что можно не тестировать вообще.

— Для чего вам нужны знания безопасника и системного администратора?

— О, здесь, пожалуй, нужен небольшой экскурс в историю. Раньше автоматизация была, можно сказать, локальной. На установке стояли датчики, сигналы шли управляющему устройству, которое при определенных условиях подавало сигналы на насосы, задвижки, двигатели и другие механизмы. 

С развитием промышленной автоматизации такие системы росли и усложнялись. Появились беспроводные интеллектуальные датчики, а в качестве управляющих устройств стали использовать «умные» контроллеры, объединенные в сети. 

Автоматизация затронула и ведение технологических журналов. На смену тетрадкам с записями от руки пришли автоматизированные системы, которые собирают и накапливают информацию в специализированных базах данных. Появилась возможность автоматически обрабатывать эту информацию, «сводить» ее в отчеты и передавать в системы управления предприятием: CRM, ERP. 

Развитие автоматизации — это большая тема. Она связана с историей промышленности и, в частности, с четвертой промышленной революцией, на пороге которой мы сейчас стоим. Некоторые специалисты считают, что четвертая революция уже началась. Если интересно — здесь моя статья по теме, написанная еще на прошлом месте работы.

Так вот, когда системы стали большими и сложными, остро встал вопрос их защиты. У злоумышленников появилась возможность проникать во внутренние сети предприятий и выводить из строя оборудование, о стоимости и опасности сбоев которого я говорил выше. Поэтому промышленные сети сегодня обязательно нужно защищать. 

Проблема в том, что решения для информационной безопасности промышленных объектов, отличаются от аналогов для обычной корпоративной сети. Например, для сетей промышленной автоматики крайне важна доступность. Средства защиты не должны даже минимально замедлять работу сети!

Здесь нужны инженеры высокой квалификации, которые разбираются в ИБ и досконально знают систему, в которую вмешиваются. Судя по тому, с чем мне приходится сталкиваться, такие специалисты, к сожалению, редкость.

— Новая должность — новая ответственность, а вы еще продолжаете учиться. Хватает ли времени? Как восстанавливаете силы после работы и как любите отдыхать?

Времени не хватает! Лучший отдых для меня — это полеты на самолете. Летаю на симуляторе X-Plane на Boeing 737-800. Иногда интересно осуществить стандартный перелет из одного аэропорта в другой, иногда придумываю нештатные ситуации — отказы — и пытаюсь посадить самолет в целостности и сохранности. Это по настроению.

Еще у нас в Краснодаре есть авиатренажер Boeing 737-800, который в точности воспроизводит реальную кабину пилотов. Все это находится на подвижной платформе, поэтому создается впечатление, что управляешь настоящим самолетом. В полете тебя сопровождает опытный инструктор. Я летаю постоянно с одним и тем же — он настоящий пилот, много отлетал именно на Boeing 737-800. С ним очень интересно общаться — постоянно узнаю новое.

— Как руководство узнало о ваших новых навыках в IT? Через сколько времени с начала учебы вы почувствовали практическую пользу от новых знаний?

— Я уже учился в GeekBrains, когда пришел устраиваться на нынешнюю работу. О том, что помимо промышленной автоматизации я изучал смежные направления, руководители предприятия узнали уже на собеседовании. В том числе и поэтому повышение я получил очень быстро.

— Чему вы успели научиться в GeekBrains к моменту перехода на новую работу? 

К началу поиска новой работы я отучился всего один семестр на факультете информационной безопасности в GeekUniversity. Дальше принял решение перейти на профессию «Специалист по ИБ» — обучение там более концентрированное и сжатое.

Когда будущий работодатель рассматривал мою кандидатуру, он, конечно, обратил внимание на дополнительное образование, и это стало еще одним аргументом в мою пользу. Думаю, это способствовало и быстрому повышению в должности.

— Как примерно выглядит ваш рабочий день: сколько времени уходит на организационные моменты и руководство, сколько на код и тестирование?

Каждый мой рабочий день отличается от предыдущих: приходится решать задачи по мере поступления. Есть одна-две глобальные фоновые задачи, обычно связанные с модернизацией ПО для какого-либо объекта на заводе. Но очень редко выдается день, когда бы на заводе ничего не сломали, никто нигде не накосячил и ничего не вышло из строя. Поэтому приходится прерывать фоновые задачи и ехать решать острые вопросы.

— Какие темы изучаете сейчас в Geekbrains и что еще предстоит?

Сейчас я продолжаю изучать профессию «Системный администратор». Считаю, что специалист по информационной безопасности должен досконально знать Unix-системы и очень глубоко разбираться в сетях и сетевой безопасности. Поэтому специальности «системный администратор» и «специалист по ИБ» очень органично дополняют друг друга.

В будущем хочу изучить C# и Unity, чтобы попробовать разрабатывать свои игры. Тем более что владение C# и Visual Studio, по-моему, никогда не будет лишним.

— Раз вы упомянули Unity... Какую игру вам было бы интересно создать? Свой авиасимулятор, например? :) А еще же в Unity можно моделировать технические системы и процессы. Тоже в перспективе польза для работы?

Первая мысль была сделать бродилку с картой нашего завода. Но, боюсь, мне одному это не под силу. А интересная идея для реализации скорее всего родится уже в процессе обучения, когда я лучше узнаю возможности движка.

— Есть ли пожелания к GeekBrains? Что бы вы улучшили на курсах, которые прошли и проходите?

Есть несколько пожеланий. Во-первых, было бы неплохо предложить выбор интенсивности обучения: одно или два занятия в неделю. При насыщенной программе занятий бывает, что два урока в неделю осилить не успеваешь. Тем более, у многих учеников есть еще работа, семья и другие текущие обязанности.

Во-вторых, я бы уделил больше внимания разработке учебных программ и методических материалов. К сожалению, по некоторым курсам методички долго не обновляются или выглядят сырыми. Вот, вроде, и всё… :)

— Какие практические задания и проекты по специальностям вам были интересны или полезны?

Мне больше всего понравились курсы по компьютерным сетям и этичному хакингу. Преподаватели очень интересно рассказали о темах, которые в вузе обычно дают сухо и скучно. Потому что в вузе преподаватель — это, как правило, теоретик, и редко когда ему важно, чтобы студент усвоил материал как можно полнее. В GeekBrains, по-моему, все наоборот: большинство преподавателей — практикующие специалисты, которые дают актуальные знания в доступной форме.

Очень нравится проект наставничества. Когда объясняешь кому-то материал, который недавно изучил сам, глубже вникаешь в тему, осознаешь вещи, на которые не обращал внимания. Кажется, Эйнштейн сказал: «То, чего вы не можете объяснить шестилетнему ребёнку, вы не понимаете сами». Наставничество помогает осознавать пробелы в своих знаниях и восполнить их.

— Сергей, спасибо, что поделились своей историей! По-моему, это хороший пример того, как широта знаний переходит в новые возможности, в том числе карьерные. Успешного вам продолжения учебы и дальнейшего роста в выбранном направлении!

Прежде чем рассказывать о том, какие риски информационной безопасности могут поджидать вас при работе, хочу представиться: меня зовут Камила Иосипова. Я являюсь старшим менеджером по информационной безопасности IT-компании ICL Services, работаю в данной организации уже 5 лет. Также я являюсь сертифицированным аудитором информационных систем CISA (сертификация ISACA, расшифровывается как Certified Information Systems Auditor).

В 2018 объем утечек данных в компаниях вырос на 5%. Человеческий фактор является одной из основных причин возникновения инцидентов, связанных с информационной безопасностью. Беспечность, неосторожность, мотив, умысел – вот те причины, по которым сотрудники ваших компаний могут умышленно или неумышленно свести бизнес на дно. Как обезопасить себя и своих клиентов, что делать для развития культуры работы с данными у сотрудников, и какие при этом применять методы расскажу далее.

План по налаживанию работы в области ИБ

Если взглянуть глобально, то можно увидеть, что в области информационной безопасности прослеживается определенная закономерность: внимание к ИБ во многом зависит от деятельности компании. Например, в государственных органах или банковской сфере существуют более жесткие требования, следовательно, уделяется больше внимания обучению сотрудников, а значит и культура работы с данными более развита. Однако сегодня обратить внимание на эту проблему стоит каждому.

Итак, вот несколько практических шагов, которые помогут вам наладить работу в области ИБ:

1 шаг. Разработайте и внедрите общую политику информационной безопасности, которая будет содержать основные принципы работы компании, цели и задачи в области управления ИБ.

2 шаг. Введите политику классификаций и уровни конфиденциальности.

При этом необходимо не просто написать документ, к которому сотрудник будет иметь доступ 24 на 7, но и проводить различные обучающие мероприятия, рассказывать о вносимых изменениях. Придерживайтесь правила: предупрежден – значит вооружен. Пусть в компании ведется постоянная работа в данном направлении.

3 шаг. Развивайте проактивный подход.

Это как профилактика в медицине. Согласитесь, гораздо дешевле и проще пройти профилактическое обследование, чем лечить запущенную болезнь. Например, в нашей компании проактивный подход работает так: для работы с информацией в коммерческих проектах мы разработали Стандарт управления ИБ в проектах, который содержит необходимый минимум требований по ИБ для обеспечения определенного уровня зрелости процессов ИБ в коммерческом проекте. Там описано что нужно делать, чтобы поддерживать определенный уровень зрелости процесса управления безопасностью. Этот стандарт мы внедрили в проекты и теперь ежегодно проводим внутренние аудиты: проверяем насколько проекты соответствуют этим требованиям, выявляем риски ИБ и лучшие практики, которые могут помочь и другим проектным менеджерам.

Помимо аудитов хорошо работает Knowledge sharing. Если «гром грянул» в одном из проектов, остальным хорошо об этом узнать и успеть принять необходимые меры.

4 шаг. Все документы, объясняющие правила, делайте: структурированными, понятными и емкими.

Как показывает практика, длинные многостраничные тексты никто не читает. Документ необходимо писать понятным языком. Также, он должен быть в согласии с бизнес-целями и санкционировано топ-менеджментом – это будет более весомым аргументом для сотрудников почему этим правилам нужно следовать.

5 шаг. Проводите тренинги, беседы, деловые игры и тому подобное.

Очень часто люди не понимают, как некоторые правила связаны с их конкретной работой, поэтому нужно приводить примеры, объяснять, показывать, как они могут это применить. Здесь важно показать последствия, вплоть до потери бизнеса, и какие конкретно последствия ждут сотрудника, вплоть до уголовной ответственности.

Чтобы внедрять все вышеперечисленное в компании, необходимы ресурсы, как материальные, так и человеческие. Поэтому сейчас во многих компаниях стала появляться должность Директора по информационной безопасности (CISO). Благодаря данной должности есть возможность донести до руководителей бизнеса важность продвижения каких-либо решений, выделения средств и т.д. CISO способен продвигать информационную безопасность в компании на всех уровнях.

Задачи, которые он берет на себя, обширны: коммуникации с топ-менеджментом, обоснование тех или иных решений, коммуникации с владельцами процессов для внедрения безопасности во по всем направлениям. С точки зрения киберугроз, он является точкой контакта, при этом он управляет, определяет стратегии по реагированию на киберугрозы, координирует работу по реагированию на атаки.

Обучение сотрудников: сложно, долго, но необходимо

Однако, прежде чем учить людей определенным правилам, необходимо понимать одну вещь: нельзя останавливаться на человеческом факторе, за ним может быть что-то другое – недостаток ресурсов, знаний или технологий. Здесь самый эффективный метод – проводить анализ истинных причин, добираться до корневой причины.

При работе с людьми необходимо подбирать ключик буквально к каждому. Все люди разные, соответственно и методы применять нужно разные. В одном из интервью с сотрудником, специалист сказал мне: я буду что-то делать, только если буду знать, что мне попадет за невыполнение требования. И наоборот, на некоторых действует только положительная мотивация, такая как хорошая оценка качества работы, поощрение за успешное прохождение тренингов.

Бытует мнение, что специалисты ИБ часто выступают в качестве «тормоза» инноваций, особенно когда они ограничивают применение новых технологий и моделей работы бизнеса. Это действительно может быть так, однако, важно помнить следующее: «Security is like brakes on your car. Their function is to slow you down. But their purpose is to allow you to go fast. Dr.Gary Hinson» («Безопасность – это как тормоза на твоей машине. Их функция – замедлить тебя. Но их цель в том, чтобы дать тебе возможность двигаться быстро»). Важно понимать, что без этих правил невозможно идти дальше, ведь в какой-то момент ты просто не сможешь развивать свой бизнес, если не будешь защищаться от киберугроз и управлять рисками ИБ. Для того, чтобы соблюсти баланс, в нашей компании используется риск-ориентированный подход, который лежит в основе стандарта ISO 27001. Данный подход позволяет выбрать применимые к нам требования и меры безопасности, которые необходимы для того, чтобы защититься от актуальных для нас угроз. С помощью этого подхода мы можем выбирать и с финансовой точки зрения: насколько целесообразно применение тех или иных мер. Например, мы можем поставить биометрический сканер на каждой переговорке, но насколько это нам нужно, какую ценность приносит, какие риски снижает? Не всегда ответ очевиден.

Мы в ICL Services понимаем, что нам важна конфиденциальность информации, с которой мы работаем, для этого мы шифруем ноутбуки, ведь даже если ноутбук потеряется, информация не попадет в руки злоумышленников. Вот это критично, и на это мы готовы тратить средства.

Я считаю, что только таким образом можно соблюсти баланс между безопасностью и ценностью для бизнеса: выбирать, быть в курсе инноваций и всегда оценивать риски (насколько стоимость реализации риска сопоставима с затратами на закупку того или иного решения для защиты).

Комплексный подход – идеальный рецепт ИБ

На мой взгляд, комплексный подход в работе с безопасностью является самым эффективным, ведь ИБ – это вопрос человеческой осведомленности, поведения и правильной организации бизнес-процессов, с учетом требований безопасности. Инциденты чаще всего случаются из-за сотрудников: люди ошибаются, устают, могут нажать не на ту кнопку, поэтому здесь половина успеха – это технические ограничения, от случайных непреднамеренных инцидентов, вторая половина – культура безопасности каждого сотрудника.

Поэтому важно проводить профилактические беседы, тренинги. В современном мире киберугрозы рассчитаны на людей: если ты получил фишинговое письмо, оно безвредное, пока ты не дотянешься до ссылки и не кликнешь на нее. В нашей компании идет упор на сознательность персонала, на работу с людьми, на осведомленность. Ну и третий момент – организационный, люди должны знать правила, правила должны быть прописаны, должна быть  определенная политика, которой всем необходимо следовать.

Помните: в мире киберугрозы очень распространены, и при этом последствия атак очень серьезные – до полной потери бизнеса, банкротства. Естественно, вопрос стоит на повестке. Безопасность в наше время уже просто обязана быть частью корпоративной культуры, и топ-менеджмент является первой заинтересованной стороной в данном вопросе, поскольку управляет бизнесом, и при реализации рисков понесет ответственность в первую очередь.

Вот несколько советов, которые позволят вашим сотрудникам избежать инцидентов ИБ:

1. Нельзя проходить по непроверенным ссылкам;
2. Нельзя распространять конфиденциальную информацию;
3. Нельзя записывать пароль на бумажке и клеить стикер;
4. Нельзя пользоваться USB-носителями, в которых вы не уверены (злоумышленник может оставлять зараженное физическое устройство в том месте, где его обязательно найдет жертва);
5. При регистрации на сайтах, указывая номер телефона и почтовый адрес, внимательно смотрите, для чего необходима данная информация, возможно таким образом, вы подпишитесь на платную рассылку.

Я надеюсь, что со временем безопасность станет ключевым элементом корпоративной культуры в каждой компании.

В совершенстве овладеть навыками для работы в области информационной безопасности вы можете на факультете GeekUniversity.

Кем вы сможете работать по окончании факультета информационной безопасности и где набрать опыт? Есть ли смысл учиться на безопасника, если вы живете в маленьком городе? Обо всем этом расскажет Сергей Кручинин — руководитель образовательных проектов GeekBrains. Этот человек руководит работой деканов всех 8 факультетов GeekUniversity и согласует учебные планы.

— Сергей, начнем с главного. Специалист по информационной безопасности — это широкое понятие. Чему конкретно вы учите?

— Прежде всего хочу сказать, что программа факультета разработана практикующими специалистами. Особая благодарность Никите Ступину — специалисту по информационной безопасности Mail.Ru и декану нашего факультета. Мы будем делиться со студентами лучшими практиками безопасности, которые уже используются в Mail.Ru Group.

Чтоб никто не запутался, надо понимать, что в сфере информационной безопасности (ИБ) есть «бумажная» и практическая работа. «Бумажные» специалисты следят, отвечает ли система безопасности — по документам — требованиям закона. На деле в ней может быть полно дыр, которые никто не ищет и не устраняет, но в документации — все по стандарту.

Не надо так

Мы делаем упор не на «бумажную», а на практическую безопасность веб-приложений, сетей, оборудования и данных. Наши студенты изучат методы и технологии взлома, инструменты хакеров, работу систем, которые предстоит защищать. Все эти знания необходимы для поиска и закрытия уязвимостей.

С «бумажной» стороной ИБ наши студенты тоже кратко познакомятся: научатся составлять регламенты и инструкции для сотрудников предприятия. Стандарты и документация ни в коем случае не бесполезны, но нельзя подменять ими реальную защиту.

— Почему в GeekUniversity выбрали именно такой путь?

— Практическая безопасность важнее. Сильному бизнесу интересен прежде всего результат. Я бы советовал начинать с практики еще и потому, что она скорее приведет вас в молодую и прогрессивную IT-команду.

На «бумажные» вакансии чаще идут люди 40–50 лет с особым типом мышления, вузовским образованием и опытом работы в госучреждениях. Они смотрят на вещи формально. Во время аудита они задают вопросы типа «Есть ли у вас система обнаружения вторжений?». Или, чтобы что-то проверить, просят у клиента пароль от root-а. Наш выпускник без пароля посмотрит на среднестатистической машине, что ему нужно, и сам поменяет пароль, если потребуется.

В GeekUnivestity мы готовим специалистов, которые будут востребованы в Mail.Ru Group и аналогичных компаниях — смогут участвовать в обеспечении безопасности крупного почтового сервиса, например.

— Кстати, специалистов по каким направлениям безопасности берут в компанию Mail.Ru Group?

— Среди приоритетов — продуктовая безопасность (Application Security), есть даже открытая вакансия. Специалисты в этой области умеют находить уязвимости веб-сервисов, нейтрализовывать инъекции SQL, OS Command injection и другое. Также востребованы специалисты по инфраструктурной безопасности. Их компетенции: защита на уровне сети (L3, L4, TCP/IP, фаерволы), безопасность операционных систем (контроль за обновлением пакетов и ядра), парольные политики, сканирование периметра — перечислять можно долго.

— Для тех, кто только знакомится с терминологией, — что такое инъекции в веб-сервисах?

— Это когда вместо ожидаемых приложением данных, таких как идентификатор сообщения, злоумышленник вбивает нужную ему команду, а скрипт ее выполняет. Мошенник получает доступ к конфиденциальным данным или даже к машине, на которой найдена уязвимость.

— Какие еще угрозы вы учите находить?

— Бинарные, криптографические. Видов уязвимостей много. Одной только веб-безопасности посвящены первые две четверти учебного года. Это очень важное направление, потому что бизнес из оффлайна переходит в онлайн, а пользовательские данные идут в веб и в облака. Еще 10 лет назад такси заказывали только по телефону. Теперь — в основном через сервисы типа Uber и Яндекс.Такси. И главный вопрос — насколько защищен веб-сервис, которому ты доверяешь свои данные.

Если разработчики сайта не позаботились о безопасности, более-менее продвинутый пользователь может прочитать чужие сообщения, посмотреть фотографии и так далее. Есть набор веб-уязвимостей, рассчитанных на беспечность программиста. Мы объясняем студентам, как злоумышленники находят и эксплуатируют такие уязвимости, к чему это может привести и как это предотвратить.

Знать такие вещи полезно и веб-разработчикам, и руководителям проектов, и всем, кто хочет защищать конфиденциальные данные посетителей своего сайта. Либо нужно привлекать специалиста-практика, который проведет аудит. Выявить угрозы — это меньше чем полдела. Нужно еще придумать, как их устранить, а потом проследить, чтобы защита работала.

Офис GeekBrains: работаем допоздна, лишь бы студенты получили знания

Кроме веб-безопасности наши студенты подробно изучают сетевую безопасность. Эти направления частично связаны, потому что есть угрозы, которые затрагивают не только серверную, но и клиентскую часть сервиса.

Например, некоторые сайты, в том числе крупных организаций, не шифруют трафик. Это позволяет перенаправлять его на подставные машины и перехватывать все, что пользователи хотели отправить на сервер.

— А если человек живет в маленьком городе, где нет передовых IT-компаний? Вот он выучился на безопасника-практика. Кем ему работать?

— Стек технологий, который мы преподаем, завязан и на системное администрирование, и на другие смежные с ИБ области. Если человек старательно учится, у нас он станет специалистом широкого профиля. Сейчас объясню подробнее.

Хороший безопасник должен уметь админить. Если вы посмотрите на резюме специалистов по информационной безопасности, у многих в карьере был этап сисадминства.

Наши студенты плотно изучают Linux. Кто раньше не работал с этой операционной системой, прежде всего научится ставить ее на виртуальной машине. Дальше студенты осваивают работу в терминале, установку программного обеспечения и решение базовых задач.

Еще мы учим работе с сервисами: как поднять сервер Nginx или Apache, базу СУБД, настроить DNS-сервер BIND и почту. Нужно только помнить, что знания не приходят автоматически после оплаты обучения — придется прикладывать усилия.

— Строить и настраивать сети — тоже учите?

— Да. Сетевой инженер — еще одна профессия, с которой перекликается работа безопасника. Надо уметь как минимум настраивать сетевые фильтры, закрывать порты, отслеживать активные соединения.

При изучении компьютерных сетей студенты отработают практические навыки на тренажере Cisco Packet Tracer. Мы его выбрали ради наглядности, но умение работать с оборудованием Cisco — еще и бонус к резюме.

Краеугольная тема сетевой безопасности — TCP/IP. Это модель передачи данных по сети. С разными ее реализациями админы и безопасники работают постоянно. Мы рассказываем, что такое протоколы канального и сетевого уровня, как они работают, зачем нужен MAC-адрес. Мало кто в этом разбирается, хотя именно на канальном уровне выстроены многие типы атак.

Изучаем сетевые технологии

Дальше мы объясняем, как устроен интернет, как работает провайдерская сеть и как настроить сеть предприятия — тоже на примере оборудования Cisco.

— Вернемся к ситуации «выпускник не хочет переезжать из маленького города». Где работать?

— Начнем с того, что везде есть провайдеры. Нашего выпускника они с удовольствием возьмут сетевым инженером. Причем это будет сетевой инженер с очень хорошим пониманием безопасности. В карьерном плане у него будет преимущество перед людьми, которые раньше только прокладывали сети: обжимали витую пару и бегали с ней по чердакам. Нашему инженеру-безопаснику будет проще дорасти до руководителя. У провайдеров есть сайты и какие-то сервисы — здесь тоже можно себя проявить.

Следующий момент — везде нужны сисадмины. Если в компании нет отдельного специалиста по информационной безопасности, его обязанности выполняет системный администратор. И снова — наш выпускник получает преимущество перед админами, которые изучали безопасность сами и поверхностно.

От себя лично добавлю, что если у вас есть возможность переехать в Москву или Санкт-Петербург и поработать в крупной местной или международной компании, оно того стоит. У нас есть студенты, которым это уже удалось.

— А как насчет работы с приложениями? Ведь безопасник должен еще и софт держать под контролем.

— Да, мы учим дизассемблированию и анализу приложений, чтобы студенты могли выявлять вредоносный код.

Нужно понимать, что злоумышленники и те, кто с ними борются, используют одни и те же инструменты. «Черные» (плохие) хакеры анализируют программное обеспечение и ищут уязвимости, которыми можно воспользоваться. «Белый» (этичный) хакер ищет ошибки, чтобы закрыть дыры в безопасности.

Мы учим исследовать код. Если программист был неосторожен, при определенных условиях программа может выдать конфиденциальные данные. Например, отправить пользователю кусок оперативной памяти, где хранятся пароли, закрытые ключи и другие интересные вещи.

Мы также учим программировать на языке Python. С ним удобно автоматизировать задачи или писать свои инструменты анализа данных. Эти навыки выводят безопасника на более высокий профессиональный уровень.

Еще у нас есть курс «Операционные системы». Он рассказывает об архитектуре ОС, о том, как отличаются угрозы безопасности в Linux, DOS, Windows, и другое.

Мы объясняем, что такое пространство ядра и пространство пользователя, как работает память, почему одно приложение в современных операционных системах не может изменить данные другого приложения. Чем процесс отличается от потока.

Ближе к концу курса — в четвертой четверти — студенты знакомятся с темой бинарных уязвимостей.

— Ты упомянул, что составлению регламентов и работе с документами студенты тоже учатся.

— Мы рассказываем о взаимодействии с силовыми и контролирующими структурами — ФСТЭК и ФСБ. Учим, когда и как применять предусмотренные законом РФ стандарты безопасности.

Есть и еще один важный момент. Мы учим основам социальной инженерии. Потому что злоумышленник никогда без нужды не идет сложным путем. Прежде чем что-то ломать, он пробует выманить пароль или другую нужную информацию у пользователя. Мы рассказываем, как учесть подобные схемы при составлении инструкций для сотрудников компании.

— То есть вы готовите «универсального солдата» безопасности?

— Мы готовим человека, который умеет взламывать и защищать. Необходимо понимать методы взлома, чтобы грамотно выстроить информационную систему.

Хороший безопасник обладает теми же навыками, что и злоумышленник. Но применяет их не в корыстных и/или преступных целях, а чтобы защитить систему и, в конечном итоге, — пользователей.

Взломать можно что угодно — это вопрос времени и ресурсов. Но обход хорошо выстроенной защиты может нападающего попросту разорить.

— Как расставлены приоритеты между изучаемыми направлениями?

— Главный упор на веб-безопасность. К ней примыкают сетевая инженерия и системное администрирование. По остальным направлением мы даем базовые знания, которые можно развивать в зависимости от интересов учащегося.

— Где студенту-безопаснику набирать практический опыт? Какие достижения он по итогам учебы сможет записать себе в резюме? И как прокачаться самому?

— Угрозы можно моделировать. Для этого есть специальные инструменты. Начинать лучше с простых вещей: берем и ставим на сайт «глючное веб-приложение» — bWAPP (buggy web application). Оно изначально создано небезопасным, чтобы на нем «этичные хакеры» тренировались находить и блокировать уязвимости.

Еще есть DVL — специальный Linux-дистрибутив с преднамеренными ошибками настройки.

Такие инструменты очень полезны, но они могут студентам быстро надоесть, поэтому мы заготовили более интересные испытания. Например, состязания типа Capture the flag. Вы получаете доступ к удаленной машине, но заранее не знаете ее уязвимостей и должны их найти. Победы в таких конкурсах и соревнованиях на рынке ценятся — их можно смело записывать в резюме. Взломать серьезный тренажер не легче, чем реальный сайт.

Также стоит участвовать в конкурсах типа Bug Bounty. Это когда организация предлагает вознаграждение тем, кто найдет уязвимости в продукте. Мы расскажем, как участвовать в подобных программах. Если у вас прокаченный аккаунт на hackerone, вам будут рады в крупных компаниях, в том числе зарубежных.

Еще наш студент может предлагать владельцам сайтов услуги аудита: находить и закрывать уязвимости. Главное — договориться с хозяином сайта заранее, потому что грань между «черным» и «белым» хакерством очень тонка и за непрошеную помощь можно попасть под статью.

— Есть ли смысл предлагать аудит безопасности тем, кто о ней не беспокоится? Бывает, уязвимость видна даже неспециалисту, но ее никто не устраняет...

— Пробовать стоит. Некоторым действительно бесполезно писать, но есть и те, кто не задумывался о проблеме. Я одному владельцу сайта объяснил, что он использует HTTP, а пора бы уже на HTTPS перейти, потому что иначе пароли пользователей передаются по незащищенному каналу связи. И человек прислушался. Если сайт приносит доход, владелец заинтересован в его развитии и, скорее всего, пойдет на диалог.

— Вот человек победил в конкурсе, провел кому-то аудит, но еще не работал в штате. При поиске работы это проблема?

— Нет. Наш выпускник целый год провел с GeekBrains и Mail.Ru Group. Он уже представляет себе работу безопасника в крупной компании, знает весь стек технологий и собрал стартовое портфолио. С точки зрения среднестатистического работодателя это немало.

— Будет чем блеснуть на собеседовании...

— Само собой. Не исключено, что выпускник будет разбираться в каких-то вопросах лучше будущего руководителя.

— Сергей, спасибо огромное! Теперь у меня целостная картина, чему и зачем учат на факультете информационной безопасности. Если у читателей остались вопросы — надеюсь, они их зададут в комментариях. А мы с тобой еще найдем время так же подробно поговорить о другом факультете — искусственного интеллекта.

— О новом факультете и о направлении Data Science действительно многое можно рассказать. Так что до следующего раза.

Анонимность в интернете не интересует только того, кто им не пользуется. Я сама тот еще параноик — не хочу, чтобы мою переписку о котиках кто-то читал. Веб-камеру тоже заклеила, на всякий случай. Решила разобраться, насколько это оправданно.

Почему сложно быть анонимным в интернете

Абсолютной анонимности достичь практически невозможно. Андрей Заикин, руководитель направления информационной безопасности КРОК объясняет: «Существуют средства, обеспечивающие маскировку реальных IP-адресов, их подмену, шифрование трафика и другие. Однако, стоит понимать, что, во-первых, эти средства серьезно снижают удобство использования интернет-сервисов, а во-вторых, уровень анонимности также определяется ресурсами и квалификацией специалистов “на другом конце провода”. Поэтому задача обеспечения анонимности носит вероятностный характер».

Вадим Чакрян, инженер по информационной безопасности в компании DataArt, считает, что анонимность в интернете больше похожа на иллюзию. Социальные сети, поисковые системы, торговые площадки, коммерческие и некоммерческие веб-сервисы и браузеры собирают информацию о пользователях.

«Нас уверяют, что данные, которые собираются, анонимизированы, во многих случаях это так и есть. Но можно ли быть уверенными, что используемое ПО не собирает “немного больше”? Яркий пример нарушения конфиденциальности и приватности — история с Facebook и Cambridge Analytica. Данные обрабатываются алгоритмами машинного обучения, которые могут знать о вас намного больше, чем вы сами», — говорит эксперт.

Многие действия, направленные на сохранение анонимности, бесполезны — они  успокаивают только психологически.

Заклеили веб-камеру, но оставили микрофон включенным, например, чтобы использовать голосового помощника? Вас могут слушать, по крайней мере — искусственный интеллект. Используете Tor-браузер и VPN-сервисы, но посещаете сайты, которыми вы пользовались без них, или хвастаетесь новеньким тату? Вы не анонимны. Случайно раскрыть личность можно, даже обсуждая погоду.

Чем дольше вы под одним и тем же псевдонимом, тем выше вероятность допустить глупую ошибку, по которой вас можно будет вычислить. Мы люди, от этого никто не застрахован. Поэтому нужно постоянно менять свою «цифровую личность».

Есть много банальных способов «спалиться».

Помните, что ваше устройство оставляет уникальный отпечаток. Вас можно вычислить по ходу часов, списку шрифтов и плагинов, информации об установленных расширениях, размеру экрана и прочим параметрам. Это как отпечаток пальца, но в сети. По этой уникальной комбинации данных можно определить конкретного пользователя. Даже Tor не так безопасен, как кажется. Вадим Чакрян замечает: «Не забывайте о косвенных методах идентификации устройства через анализ его уникальной информации, даже если вы выходите в интернет через приватный режим браузера и вычищаете куки или используется Tor/I2P».

В общем, всё сложно, и вряд ли стоит по-настоящему заморачиваться, если вы не делаете ничего недостойного.

Как стать «немного анонимным»

Достичь базового уровня анонимности, когда большинство людей не знают, кто вы — простая задача даже для «чайника». «Все, что нужно — это VPN, блокировщик рекламы и инструмент конфиденциальности (privacy tool), например, Privacy Badger. Этот уровень контроля поможет запутать ваши следы в интернете и сбить с толку тех, кто попытается собрать личные данные», — объясняет Бен Уильямс, операционный директор блокировщика рекламы Adblock Plus.

Следующий уровень — достижение анонимности от государства. «Государство может заставить технические компании сдавать информацию, которая заперта в вашем телефоне, — информацию, которую даже сами компании не знают (например, как в ситуации с Apple в случае массовой стрельбы в Сан-Бернардино). Используя специальные браузеры, отказываясь от смартфонов и предпринимая множество других шагов, которые я даже не рассматривал, можно отвоевать приватность в интернете. Однако, оставаясь активным пользователем гаджетов, для достижения реальной онлайн-анонимности нужно быть ученым-программистом», — продолжает Бен Уильямс.

Радикальная прозрачность как альтернатива шифропанку

Многие эксперты пророчат радикально прозрачное будущее. Даниэль Лаример, разработчик, сооснователь BitShares и Steemit, считает, что лучший способ достичь свободы в интернете — использовать метод Айкидо. Это значит — не принимать удар, а тянуть оппонента за собой, выводя из равновесия. То есть не сопротивляться с помощью всевозможного шифрования, а требовать от всех (и правительства в том числе) максимальной открытости.

«Когда заходит речь о приватности, выясняется, что мы, как общество, живем по двойным стандартам. Мы хотим знать всё обо всех и одновременно заботимся о том, чтобы никто не знал ничего лишнего о нас. Просить других добровольно не шпионить за нами означает просить их действовать вопреки их собственным интересам», — считает Даниэль.

С такой логикой соглашается и Вячеслав Золотухин, идеолог и основатель умной системы управления задачами EvoDesk: «Я уверен, что тренд на ближайшее время — это не только максимальная открытость, но и так называемая “подтверждаемая открытость”. То есть меньше голословной информации, и все больше той, которой действительно можно доверять. Если вы нанимаете сотрудника, вы хотите знать максимум информации о нем до его вступления в должность. Если вы пытаетесь устроиться на работу, то хотели бы заранее узнать о том, какое начальство и коллеги вас будут окружать. Если вы собираетесь совершить покупку, то собираете отзывы и комментарии о товаре и продавце». Эксперт считает, что информационный вакуум не может быть односторонним: если мы хотим знать всё обо всех, то и нам придется рассказать всё о себе.

«Анонимность сильно переоценена. Это как в анекдоте про Неуловимого Джо, который неуловим только потому, что никому не нужен. Люди пытаются быть максимально скрытными, при этом не понимая, какие блага дает им открытость. Например, знание о том, какие запросы вы делаете в поисковиках, позволяет системам контекстной рекламы давать вам максимально таргетированные объявления вместо того чтобы показывать все подряд, увеличивая информационный шум вокруг вас», — продолжает Вячеслав.

Шифропанк VS радикальная открытость

Достижение абсолютной анонимности, «шифропанковой нирваны» звучит романтично, но на деле — это опасно, так как моральный уровень многих людей может быть невысоким. «Эта свобода далась бы ценой предоставления опасным лицам права воровать, вымогать и похищать людей за выкуп. Это позволило бы опасным лицам стереть свое криминальное досье и продолжать обманывать других», — считает Лаример. Можно возразить, что злоумышленники всегда найдут способ обмануть людей. Но, с другой стороны, порог вхождения для них будет выше. Вопрос только в доверии к регуляторам.

По мнению Вадима Чакряна, нужно найти золотую середину: «Я — убежденный сторонник прозрачности и доверия в системах, которые касаются социальных аспектов жизни, и настолько же убежденный сторонник приватности каждой частной жизни в отдельности. Не хотелось бы очутиться в мире из серии «Нырок» сериала «Черное зеркало», где у каждого человека есть социальный рейтинг, от которого зависит, как ему позволено жить. В Китае, кстати, уже есть подвижки в эту сторону».

Как по мне, переход к открытости уже происходит и за некоторыми явлениями наблюдать очень смешно. Люди постят в соцсети дорогие покупки, интимные подробности быта. Даже Павел Дуров публикует фотографии из путешествий в Instagram. При этом мало кто думает, что это может быть опасно, но за свои «привет, как дела?» многие очень переживают. Возможно, в 2030 году будет нормой постить свой поток мыслей в новомодную социальную сеть на блокчейне. Главное, чтобы анонимность не давала преимуществ и все были одинаково открыты.

А что вы думаете по этому поводу?

Спрос на специалистов в отрасли информационной безопасности растёт вместе с увеличением числа угроз. По исследовательским данным, в 2017 году в России зафиксировано в 5 раз больше кибератак, чем годом ранее. При этом злоумышленники украли с банковских счетов более 1 млрд рублей.

Прогнозы неутешительны. Эксперты считают, что число атак будет расти. Поэтому IT-рынок заинтересован в подготовке специалистов по информационной безопасности. GeekUniversity принимает вызов и открывает набор на новый факультет Информационной безопасности.

Чему вы научитесь

Программа обучения на новом факультете рассчитана на год и состоит из четырёх четвертей:

• В первой четверти вы изучите client-side-уязвимости, познакомитесь с работой веб-протоколов.
• В второй четверти вас ждут server-side-уязвимости и практическая работа в реальной BugBounty-программе. Вы узнаете, как обеспечивать безопасность мобильных и веб-приложений, проведёте аудит веб-сервиса.
• В третьей четверти вы рассмотрите аспекты безопасности компьютерных сетей, научитесь приёмам взлома, чтобы понимать, как мыслят злоумышленники.
• Четвёртая четверть будет самой сложной, но крайне полезной. Вы разберётесь с криптографией, бинарными багами. А основы социальной инженерии помогут вам решать проблемы безопасности не только на стороне «железа», но и с пользователями.

Эти знания позволят приступить к работе сразу после выпуска с факультета. Как и всегда, GeekUniversity гарантирует трудоустройство. Но плюс профессии специалиста по информационной безопасности в том, что вам не обязательно работать в компании. Работа с BugBounty-программами позволяет зарабатывать дистанционно большие суммы. Например, компания Intel в 2018 году готова заплатить за найденные «дыры» в уязвимости до 250 тысяч долларов. Не исключено, что первые гонорары успешные студенты смогут получить ещё в процессе учёбы.

Выпускники получат свидетельство установленного образца и именной сертификат, а также смогут добавить в портфолио как минимум четыре аудита реальных компаний и проектов.

Что нужно для поступления

При поступлении абитуриенту будет предложено пройти тест и ответить на теоретические вопросы о Linux. Знание этой операционной системы необходимо, чтобы в полном объёме освоить программу факультета.

Но это не значит, что те, кто не знаком с Linux, поступить не смогут. Для таких абитуриентов в GeekUniversity предусмотрен подготовительный курс. После его прохождения вы будете уметь устанавливать и настраивать Ubuntu, администрировать Unix-подобные операционные системы.