Галузі майбутнього: що відбувається в світі Cybersecurity

«Якби студент коледжу запитав у мене поради з приводу професії, яка приносила б хороший і стабільний дохід наступні 30 років, я б відповів, що це сфера кібербезпеки. На експертів у цій галузі буде великий попит. З проблемами кібербезпеки стануть стикатися абсолютно всі компанії і приватні особи», – підкреслював у своїй книзі «Індустрії майбутнього» американський експерт в області інновацій Алек Росс.

Кіберексперти розповіли нашому виданню, що оплата праці таких висококваліфікованих фахівців в Україні вже досягає $10 000. Чому їхні послуги так високо оцінюються? Де краще освоїти професію? Які перспективи розвитку у цієї сфери? На ці та інші питання знайшов відповіді Mind.

Які чинники спонукають підприємства збільшувати бюджети на забезпечення кібербезпеки? Захист систем, мереж і програмних застосунків від цифрових атак стає все більш актуальним і складним завданням. З кожним днем ​​хакери удосконалюють свою стратегію й тактику, генерують нові види загроз, придумують більш витончені лазівки, щоб достукатися «до клієнта».

За даними дослідження McAfee і CSIS, світовий збиток від хакерських атак вже сягає $600 млрд на рік. «Цифровий світ проник майже у кожен аспект нашого життя. Тепер злочини стали більш прибутковими, менш ризикованими і ніколи не були настільки легкими», – зазначив головний технічний директор McAfee Стів Гробман, коментуючи підсумки дослідження.

«Аби помститися», світ озброюється проти хакерів. Нещодавно стало відомо, що дев'ять країн ЄС мають намір створити групи швидкого реагування для протидії кібератакам в рамках нового пакту про оборону Євросоюзу.

За словами співзасновника платформи Hacken, CEO Information Security Group Єгора Аушева, новий поштовх для розвитку кібербезпеки дасть Загальний регламент про захист персональних даних (GDPR), що нещодавно набрав чинності. «Тепер всі компанії у світі, в тому числі і в Україні, зобов'язані належним чином зберігати персональні дані громадян і компаній ЄС. Штрафи в разі витоку інформації досягають мільйонів євро», – підкреслює спікер.

«На жаль, у більшості випадків наш бізнес починає удосконалюватися після болючих стусанів: успішні атаки хакерів спонукають компанії замислюватися про захист. На щастя, в Україні вже є зрілі компанії, які впроваджують підходи ризик-менеджменту і управляють кіберризиками, не тільки купуючи програмне і апаратне забезпечення, а й вибудовуючи плани із кіберстійкості бізнесу», – розповідає операційний директор компанії 10Guards Віталій Якушев. Найголовніше, на його думку – не витратити бюджет на придбання продуктів і послуг, а ефективно інвестувати у безпеку, аби кожна вкладена копійка працювала.

«Українські підприємства стали збільшувати бюджет на кібербезпеку після інцидентів, що вже відбулися. Вони послужили каталізатором. Компанії відчули значення «витоку інформації» та «кібератаки», які раніше були в області теорії. Три масштабні кібератаки 2017 року вельми добре продемонстрували бізнесу, якими можуть бути наслідки. І після них ринок почав стрімко зростати», – зазначає менеджер із захисту інформації ДТЕК Антон Лещенко.

Другою причиною збільшення бюджетів він вважає злиття із зарубіжною компанією. У цьому випадку функцію інформаційної безпеки починають вибудовувати за міжнародними стандартами ISO 27001 (2) тощо.

Динаміка світового обсягу інвестицій у захист від хакерів. За оцінками IDC, у 2017 році світові витрати компаній на забезпечення кібербезпеки досягли $81,7 млрд, збільшившись на 8,2% порівняно з 2016-м. Найбільшою статтею витрат у минулому році, згідно з думкою експертів Gartner, стали послуги інформаційної безпеки, на них підприємства виділили $53 млрд ($48,8 млрд – у 2016-му). Рішення для захисту інфраструктури коштували компаніям $16,2 млрд (роком раніше – $15,2 млрд). Устаткування для мережевої безпеки – $10,93 млрд ($9,8 млрд).

Українські реалії. Аналогічної статистики щодо вітчизняних підприємств поки що немає. Разом з тим експерти відзначають, що українські компанії стали більш трепетно ​​ставитися до кібербезпеки з літа минулого року. «Тільки від вірусу Petya вітчизняна економіка втратила $466 млн, або 0,5% ВВП», – раніше розповідали Mind експерти.

За даними дослідження Ernst&Young, 75% представників великих компаній України заявляють про необхідність збільшення витрат на кібербезпеку на 50% і більше у 2018 році. І тільки 11% респондентів повідомили, що не мають програм контролю доступу або обмежуються неформальними заходами. При цьому 78% опитаних оцінили ступінь зрілості виявлення вразливостей в їхніх компаніях як дуже низьку або середню.

На думку Антона Лещенка, поки ж підприємства виділяють недостатньо коштів на захист персональних даних. «Показовим є приклад кількох українських компаній, у яких персональні дані клієнтів були доступними в Darknet. Але ці інциденти свідчать про те, що у подальшому витрати по цьому напряму будуть підвищуватися», – вважає спікер.

Кіберексперт, глава правління ІнАУ Олександр Федієнко головним «стимулом» для озброєння компаній називає фінансові ризики. «Все дуже просто: керівництво підприємства оцінює, чи зупиниться підприємство при кіберзагрозі, чи буде монетизований тимчасовий простій, чи «світить» компанії недоотримати прибуток. Ці фактори і будуть впливати на прийняття рішення, наймати фахівця з безпеки або обійтися послугами сторонніх організацій. Якщо простій ні на що не вплине, компанії не будуть залучати таких фахівців», – зазначає спікер.

У Ernst&Young підкреслюють, що для поліпшення готовності до реагування на кібератаки більшість компаній визнає важливість створення центру забезпечення інформаційної безпеки (Security Operation Centre, SOC). Поки власні центри відкрили лише кілька вітчизняних компаній. Нещодавно про запуск комерційного SOC оголосила компанія «Октава Кіберзахист» Олександра Кардакова.

«Створення компанією Security Operation Centre – це не просто поява іноземної абревіатури у структурі підприємства. Це шлях до реагування на інциденти інформаційної безпеки у форматі 24/7», – зазначає менеджер із захисту інформації ДТЕК.

На думку Єгора Аушева, в Україні зростатиме й число CERT (команд швидкого реагування на комп'ютерні інциденти). «За даними ENISA, зараз у нашій країні є лише один CERT. У той час як у Німеччині їх 36, а в Чехії – 30. Україна рухається в бік євроінтеграції, у тому числі і в цифровому просторі. Це означає, що ми повинні будемо відповідати європейським стандартам, і кількість CERT буде збільшуватися найближчими роками», – прогнозує співзасновник Hacken.

«Статус CERT отримують компанії, які пройшли відповідну акредитацію і щорічно платять $2000 внеску», – уточнює Олександр Федієнко. В Україні з'являється все більше компаній, які займаються моніторингом кіберзагроз, реагуванням на інциденти, консультуванням без «корочки» CERT. Експерт наводить приклад Сys-centrum. Раніше ця компанія була другою українською CERT, тепер вона продовжує роботу без статусу.

Чому у майбутньому галузь набиратиме обертів? Вже до 2020 року світовий збиток від кіберзлочинів може досягти $2 трлн, а витрати компаній на захист від хакерів – $100 млрд, прогнозують експерти.

«З кожним роком ми оцифровуємо все більше сфер життя і бізнесу, повсюдно використовуємо інтернет речей. І всім цим цифровим «помічникам» потрібен буде захист від несанкціонованого доступу. Крім битв людського інтелекту, будуть бої так званих штучних інтелектів, як з боку кібербезпечників, так і з боку кіберзлочинців», – припускає Віталій Якушев.

Олександр Федієнко вважає, що наступаюча ера інтернету речей несе нові ризики і виклики. «У поле кіберзагроз потраплятиме все більше «персоналій». Ми станемо спостерігати атаки, спрямовані не тільки проти машин або інформації, а й на підміну значень. Наприклад, з сенсора кардіографа на тілі людини, що призведе до зміни режиму управління і, можливо, смерті пацієнта», – вважає експерт.

Антон Лещенко також упевнений, що з кожним роком кількість проблем зростатиме, з'являться нові протоколи, стандарти, збільшиться обсяг коду. «Не існує універсальних технічних засобів, які б вирішували ці проблеми, тому затребуваними лишатимуться правильно організована система управління інформаційною безпекою та технічні компетенції», – зазначає менеджер із захисту інформації ДТЕК.

«Стусаном» для зростання галузі в Україні стануть і законодавчі нормативи. «У нашій країні лише недавно – у 2017 році – був прийнятий перший в історії незалежності закон «Про основи кібербезпеки». В подальшому стануть з'являтися і нові закони, і регулювання, які будуть притягати до відповідальності осіб за недбале ставлення до кібербезпеки. Це призведе до зростання витрат компаній на цю сферу та збільшення попиту на співробітників», – прогнозує Єгор Аушев.

Наскільки будуть затребуваними на ринку праці фахівці з кібербезпеки? Єгор Аушев констатує, що ця професія вже зараз стає однією з найбільш затребуваних і високооплачуваних у світі. «Жодна сучасна галузь не може відмовитися від послуг фахівців з кібербезпеки, особливо це актуально у зв'язку з діджіталізацією приватних і державних компаній. Також однією з основних переваг цієї професії є те, що кожен може працювати віддалено – перебуваючи в Україні і забезпечуючи безпеку великих світових компаній», – розповідає співзасновник Hacken.

За словами Віталія Якушева, незважаючи на те що ринок послуг з кібербезпеки в Україні – на етапі зародкового зростання, вже зараз фахівців не вистачає. «Хоча дефіцит, за великим рахунком, викликаний аутсорсингом – продажем послуг з кібербезпеки за кордон. Разом з тим кібербезпека – велика дисципліна, і в одних її напрямках є величезний дефіцит, а в інших, може, і існує надлишок фахівців, яких за старими програмами випускають вузи, хоча потреби в них немає», – вважає операційний директор 10Guards.

Олександр Федієнко впевнений, що найбільш затребуваними в майбутньому будуть аналітики загроз. «Ці фахівці прогнозують і аналізують можливі загрози. А механізми захисту у практичній площі – можуть втілити й інші фахівці», – вважає експерт.

Єгор Аушев переконаний, що зростатиме попит на «білих» хакерів. «Пентагон, ФБР, Європейська Комісія та інші найбільші світові корпорації вже зараз запрошують таких експертів з bug-bounty платформ тестувати свою інфраструктуру, імітуючи дії зловмисників. «Білий» хакер, який зможе зламати систему, отримує від замовника офіційну винагороду, яка вимірюється десятками й сотнями тисяч доларів. Через 10-20 років більшість компаній навіть середнього розміру будуть запрошувати таких фахівців для тестування своїх компаній», – впевнений співзасновник Hacken.

У скільки оцінюється праця кіберфахівців? За словами Єгора Аушева, зараз практично у кожній компанії є відкриті вакансії для фахівців з кібербезпеки, а зарплати обчислюються тисячами доларів, що в середньому вище, ніж у звичайних програмістів.

Схожа думка – у Антона Лещенко. Спікер розповідає, що найкращі пропозиції на ринку – від іноземних компаній, які надають консалтингові послуги у сфері кібербезпеки. «Оскільки ринок відчуває дефіцит якісних фахівців, оплата послуг зростає. Звичайно, вона залежить від технічних знань і досвіду, наявності міжнародних сертифікатів тощо. Але в будь-якому випадку оплата праці вище, ніж у IT-фахівців», – пояснює менеджер із захисту інформації ДТЕК.

«Заробітна плата фахівців залежить від їхньої кваліфікації, напрямку в кібербезпеці та цінності для компанії. Як і у інших ІТ-спеціалістів в Україні (наприклад, програмісти), в приватних компаніях зарплати високі, і часто «прив'язані» до валюти. Молодших спеціалістів оцінюють від $300-400, співробітників високого рівня, які працюють для іноземних клієнтів, – до $5000-10 000», – розповідає Віталій Якушев.

Якушев звертає увагу, що у держустановах ставки дуже малі. «Можливо, з бонусами, доплатами і преміями в результаті зарплата у кілька разів вище ставки, але все одно нижче, ніж у приватних компаніях. Хоча, судячи з рівня кіберзахисту в держструктурах, рівень кваліфікації, відповідальності або бажання працювати у таких фахівців вельми низький», – вважає спікер.

Олександр Федієнко іронізує: якщо Україна не зможе забезпечити гідний рівень оплати фахівців, ми знову перетворимося на кузню кадрів для всього світу.

Де добути необхідні знання за фахом?

Вузи. Нині понад 50 українських вузів навчають кібербезпеці. Студенти вчаться оцінювати, проектувати і забезпечувати функціонування комплексних систем захисту інформації, організовувати діяльність служб інформаційної безпеки тощо. Вони вивчають методи зберігання і обробки даних, виявлення втручання в інформаційні системи, протидії сучасним видам кібератак тощо.

На думку Віталія Якушева, багато потенційно здібних студентів випускається із двох вузів – КПІ і ХНУРЕ. Солідарний з колегою і Єгор Аушев. Він доповнює список ХАІ і ХНУ. «Команди DCUA з ФТІ КПІ стали чемпіонами світу 2016 року у змаганнях CTF, де змагаються кращі в світі« білі »хакери», – розповідає співзасновник Hacken.

«Спеціаліст з безпеки, перш за все, повинен бути і експертом в IT. Інакше може вийти, що співробітник знає, як функціонує сам програмний інструмент або пристрій безпеки, наприклад, firewall, але не знає, як трансформуються пакети, відбувається робота каналу зв'язку, обробка трафіку тощо», – доповнює Антон Лещенко.

Опитані спікери вважають, що вузівської «муштри» недостатньо. «Поки що жоден вуз не готує повністю готового фахівця. Хоча, на мою думку, вуз повинен дати тільки основу, показати напрямок розвитку, а далі фахівець обирає для себе сферу кібербезпеки і починає у ній розвиватися. Щоб вузи випускали достатню кількість необхідних фахівців, має бути налагоджений діалог між Міносвіти та бізнесом. Але оскільки цей процес складний, то компанії вважають за краще брати здібних випускників і навчати під себе як внутрішніми ресурсами, так і використовуючи безліч зовнішніх навчальних структур – онлайн і стаціонарів», – розповідає Віталій Якушев.

Онлайн-курси. За словами операційного директора 10Guards, для підвищення рівня кваліфікації зараз існує величезна кількість різноманітних шляхів – від безкоштовних курсів, лабораторій, хакерських змагань до платних сертифікаційних навчань.

Початківцям може стати у нагоді безкоштовний онлайн-курс «Основи інформаційної безпеки». Він доступний на українській платформі Prometheus.

Чимало тематичних курсів можна знайти на великих світових сервісах у сфері масової онлайн-освіти – Coursera, Edx, Udemy. Зараз на цих та інших майданчиках – 95 освітніх програм: «Виявлення кіберзагроз у режимі реального часу і пом'якшення їхніх наслідків», «Симетрична криптографія», «Менеджмент інформаційної безпеки», «Злом і виправлення» тощо.

Книги. Також у мережі – чимало профільної літератури. Наприклад, ось кілька нових надходжень, доступних у тематичній підбірці Google Play.

Cyber Security and Threats: Concepts, Methodologies, Tools, and Applications (Information Resources Management Association)

Це збірка навчальних матеріалів по нових методологіях і застосінків в області цифрової безпеки та загроз. Включає інноваційні дослідження безпеки хмарних обчислень, захисту онлайн-загроз і криптографії. Автори стверджують, що ця багатотомна книга є ідеальним джерелом знань для ІТ-фахівців, адміністраторів, дослідників і студентів, зацікавлених у розкритті нових способів припинення кіберзлочинів і захисту конфіденційної цифрової інформації.

CCNA Cybersecurity Operations Companion Guide (Cisco Networking Academy)

Це офіційний додатковий підручник для курсу Cisco Networking Academy. У ньому акцент на практичне застосування знань. Книга може бути корисною для успішного вирішення завдань і виконання обов'язків аналітика безпеки, що працює в SOC.

Cybersecurity in China: The Next Wave (Greg Austin)

Порівняльне дослідження системи управління кібербезпекою в Китаї. У книзі дається оцінка ефективності зусиль у цій області.