Отрасли будущего: что происходит в мире Cybersecurity

«Если бы студент колледжа спросил у меня совета по поводу профессии, которая приносила бы хороший и стабильный доход следующие тридцать лет, я бы ответил, что это сфера кибербезопасности. На экспертов в этой отрасли будет большой спрос. С проблемами кибербезопасности станут сталкиваться абсолютно все компании и частные лица», – подчеркивал в своей книге «Индустрии будущего» американский эксперт в области инноваций Алек Росс.  

Киберэксперты рассказали нашему изданию, что оплата труда таких высококвалифицированных специалистов в Украине уже достигает $10 000. Почему их услуги так высоко оцениваются? Где лучше освоить профессию? Каковы перспективы развития этой сферы? На эти и другие вопросы нашел ответы Mind. 

Какие факторы побуждают предприятия увеличивать бюджеты на обеспечение кибербезопасности? Защита систем, сетей и программных приложений от цифровых атак становится все более актуальной и сложной задачей. С каждым днем хакеры совершенствуют свою стратегию и тактику, генерируют новые виды угроз, придумывают более изощренные лазейки, чтобы достучаться «до клиента».

По данным исследования McAfee и CSIS, мировой ущерб от хакерских атак уже достигает $600 млрд в год. «Цифровой мир проник почти в каждый аспект нашей жизни. Теперь преступления стали более прибыльными, менее рискованными и никогда не были настолько легкими», – отметил главный технический директор McAfee Стив Гробман, комментируя итоги исследования. 

«В отместку» мир вооружается против хакеров. Недавно стало известно, что девять стран ЕС намерены создать группы быстрого реагирования для противодействия кибератакам в рамках нового пакта об обороне Евросоюза. 

По словам соучредителя платформы Hacken, CEO Information Security Group Егора Аушева, новый толчок для развития кибербезопасноти даст недавно вступивший в силу Общий регламент о защите персональных данных (GDPR). «Теперь все компании в мире, в том числе и в Украине, обязаны должным образом сохранять персональные данные граждан и компаний ЕС. Штрафы в случае утечки информации достигают миллионов евро», – подчеркивает спикер.

«К сожалению, в большинстве случаев наш бизнес начинает совершенствоваться после болезненных пинков: успешные атаки хакеров побуждают компании задумываться о защите. К счастью, в Украине уже есть зрелые компании, которые внедряют подходы риск-менеджмента и управляют киберрисками, не только приобретая программное и аппаратное обеспечение, а и выстраивая планы по киберустойчивости бизнеса», – рассказывает операционный директор компании 10Guards Виталий Якушев. Самое главное, по его мнению – не потратить бюджет на приобретение продуктов и услуг, а эффективно инвестировать в безопасность, чтобы каждая вложенная копейка работала.

«Украинские предприятия стали увеличивать бюджет на кибербезопасность после свершившихся инцидентов. Они послужили катализатором. Компании прочувствовали значение «утечки информации» и «кибератаки», которые ранее были в области теории. Три масштабные кибератаки 2017 года очень хорошо продемонстрировали бизнесу, какие могут быть последствия. И после них рынок начал стремительно расти», – отмечает менеджер по защите информации ДТЭК Антон Лещенко.

Второй причиной увеличения бюджетов он считает слияние с зарубежной компанией. В этом случае функцию информационной безопасности начинают выстраивать по международным стандартам ISO 27001(2) и т.п.

Динамика мирового объема инвестиций в защиту от хакеров.  По оценкам IDC, в 2017 году мировые расходы компаний на обеспечение кибербезопасности достигли $81,7 млрд, увеличившись на 8,2% по сравнению с 2016-м. Самой крупной статьей затрат в прошлом году, согласно мнению экспертов Gartner, стали услуги информационной безопасности, на них предприятия выделили $53 млрд ($48,8 млрд – в 2016-м). Решения для защиты инфраструктуры стоили компаниям $16,2 млрд (годом ранее – $15,2 млрд). Оборудование для сетевой безопасности – $10,93 млрд ($9,8 млрд). 

Украинские реалии. Аналогичной статистики по отечественным предприятиям пока нет. Вместе с тем эксперты отмечают, что украинские компании стали более трепетно относиться к кибербезопасности с лета прошлого года. «Только от вируса Petya отечественная экономика потеряла $466 млн, или 0,5% ВВП», – ранее рассказывали Mind эксперты. 

По данным исследования Ernst&Young, 75% представителей крупных компаний Украины заявляют об необходимости увеличения расходов на кибербезопасность на 50% и более в 2018 году. И только 11% респондентов сообщили, что не имеют программ контроля доступа либо ограничиваются неформальными мерами. При этом 78% опрошенных оценили степень зрелости обнаружения уязвимостей в их компаниях как очень низкую или среднюю.

По мнению Антона Лещенко, пока же предприятия выделяют недостаточно средств на защиту персональных данных. «Показателен пример нескольких украинских компаний, у которых персональные данные клиентов были доступны в Darknet. Но эти инциденты говорят о том, что в дальнейшем расходы по этому направлению будут повышаться», – полагает спикер.

Киберэксперт, глава правления ИнАУ Александр Федиенко  главным «стимулом» для вооружения компаний называет финансовые риски. «Все очень просто: руководство предприятия оценивает, остановится ли предприятие при киберугрозе, будет ли монитизирован временной простой, «светит» ли компании недополучить прибыль. Эти факторы и будут влиять на принятие решения, нанимать специалиста по безопасности или обойтись услугами сторонних организаций. Если простой ни на что не повлияет, то компании не будут привлекать таких специалистов», – отмечает спикер.

В Ernst&Young подчеркивают, что для улучшения готовности к реагированию на кибератаки большинство компаний признает важность создания центра обеспечения информационной безопасности (Security Operation Centre, SOC). Пока собственные центры открыли лишь несколько отечественных компаний. Недавно о запуске коммерческого SOC объявила компания «Октава Кіберзахист» Александра Кардакова.

«Создание компанией Security Operation Centre – это не просто появление иностранной аббревиатуры в структуре предприятия. Это путь к реагированию на инциденты информационной безопасности в формате 24/7», – отмечает менеджер по защите информации ДТЭК.

По мнению Егора Аушева, в Украине будет возрастать и число CERT (команд быстрого реагирования на компьютерные инциденты). «По данным ENISA, сейчас в нашей стране есть всего один CERT. В то время как в Германии их 36, а в Чехии – 30. Украина движется в сторону евроинтеграции, в том числе и в цифровом пространстве. Это означает, что мы должны будем соответствовать европейским стандартам, и число CERT будет увеличиваться в ближайшие годы», – прогнозирует соучредитель Hacken.

«Статус CERT получают компании, прошедшие соответствующую аккредитацию и ежегодно платящие $2000 взноса», – уточняет Александр Федиенко. В Украине появляется все больше компаний, которые занимаются мониторингом киберугроз, реагированием на инциденты, консультированием без «корочки» CERT. Эксперт приводит пример Сys-centrum. Ранее эта компания была второй украинской CERT, теперь она продолжает работу без статуса.

Почему в будущем отрасль будет набирать обороты? Уже к 2020 году мировой ущерб от киберпреступлений может достигнуть $2 трлн, а затраты компаний на защиту от хакеров – $100 млрд, прогнозируют эксперты. 

«С каждым годом мы оцифровываем все больше сфер жизни и бизнеса, повсеместное используем интернет вещей. И всем этим цифровым «помощникам» нужна будет защита от несанкционированного доступа. Помимо битв человеческого интеллекта, будут бои так называемых искусственных интеллектов, как со стороны кибербезопасников, так и со стороны киберпреступников», – предполагает Виталий Якушев.

Александр Федиенко считает, что наступающая эра интернета вещей несет новые риски и вызовы. «В поле киберугроз будет попадать все больше «персоналий». Мы станем наблюдать атаки, направленные не только против машин или информации, а и на подмену значений. К примеру, с сенсора кардиографа на теле человека, что приведет к смене режима управления и, возможно, смерти пациента», – полагает эксперт.

Антон Лещенко также уверен, что с каждым годом число проблем будет возрастать, появятся новые протоколы, стандарты, увеличится объем кода. «Не существует универсальных технических средств, которые бы решали данные проблемы, потому востребованными будут оставаться правильно организованная система управления информационной безопасностью и технические компетенции», – отмечает менеджер по защите информации ДТЭК.

«Пинком» для роста отрасли в Украине станут и законодательные нормативы. «В нашей стране только недавно – в 2017 году – был принят первый в истории независимости закон «Об основах кибербезопасности». В дальнейшем станут появляться и новые законы, и регулирования, которые будут привлекать к ответственности лиц за халатное отношение к кибербезопасности. Это приведет к росту затрат компаний на эту сферу и увеличению спроса на сотрудников», – прогнозирует Егор Аушев.

Насколько будут востребованными на рынке труда специалисты по кибербезопасти? Егор Аушев констатирует, что эта профессия уже сейчас становится одной из самых востребованных и высокооплачиваемых в мире. «Ни одна современная отрасль не может отказаться от услуг специалистов по кибербезопасности, особенно это актуально в связи с диджитализацией частных и государственных компаний. Также одним из основных преимуществ этой профессии является то, что каждый может работать удаленно – находясь в Украине и обеспечивая безопасность крупных мировых компаний», – рассказывает соучредитель Hacken.

По словам Виталия Якушева, несмотря на то что рынок услуг по кибербезопасности в Украине – на этапе зачаточного роста, уже сейчас специалистов не хватает. «Хотя дефицит, по большому счету, вызван аутсорсингом – продажей услуг по кибербезопасности за рубеж. Вместе с тем кибербезопасность – обширная дисциплина, и в одних ее направлениях есть огромный дефицит, а в других, может, и существует избыток специалистов, которых по старым программам выпускают вузы, хотя потребности в них нет», – считает операционный директор 10Guards.

Александр Федиенко уверен, что наиболее востребованными в будущем будут аналитики угроз. «Эти специалисты прогнозируют и анализируют возможные угрозы. А механизмы защиты в практической площади – могут воплотить и другие специалисты», – считает эксперт.

Егор Аушев полагает, что будет возрастать спрос на «белых» хакеров. «Пентагон, ФБР, Европейская Комиссия и другие крупнейшие мировые корпорации уже сейчас приглашают таких экспертов с bug-bounty платформ тестировать свою инфраструктуру, имитируя действия злоумышленников. «Белый» хакер, который сможет взломать систему, получает от заказчика официальное вознаграждение, измеряемое десятками и сотнями тысяч долларов. Через 10-20 лет большинство компаний даже среднего размера будут приглашать таких специалистов для тестирования своих компаний», – уверен соучредитель Hacken.

Во сколько оценивается труд киберспециалистов? По словам Егора Аушева, сейчас практически в каждой компании есть открытые вакансии для специалистов по кибербезопасноти, а зарплаты исчисляются тысячами долларов, что в среднем выше, чем у обычных программистов.

Схожее мнение – у Антона Лещенко. Спикер рассказывает, что самые лучшие предложения на рынке дают иностранные компании, оказывающие консалтинговые услуги в сфере кибербезопасности. «Так как рынок испытывает дефицит качественных специалистов, оплата услуг растет. Конечно, она зависит от технических знаний и опыта, наличия международных сертификатов и т.д. Но в любом случае оплата труда выше, чем у IT-специалистов», – объясняет менеджер по защите информации ДТЭК.

«Заработная плата специалистов зависит от их квалификации, направления в кибербезопасности и ценности для компании. Как и у остальных ІТ-специалистов в Украине (например, программисты), в частных компаниях зарплаты высокие и часто «привязаны» к валюте. Младших специалистов оценивают от $300-400, сотрудников высокого уровня, работающих для иностранных клиентов, – до $5000-10 000», – рассказывает Виталий Якушев.

Якушев обращает внимание, что в госучреждениях ставки очень малы. «Возможно, с бонусами, доплатами и премиями в итоге зарплата в несколько раз выше ставки, но все равно ниже, чем в частных компаниях. Хотя, судя по уровню киберзащиты в госструктурах, уровень квалификации, ответственности или желания работать у таких специалистов очень низок», – считает спикер.

Александр Федиенко иронизирует: если Украина не сможет обеспечить достойный уровень оплаты специалистов, мы вновь превратимся в кузницу кадров для всего мира.

Где добыть необходимые знания по специальности?

Вузы. Сейчас более 50 украинских вузов обучают кибербезопасности. Студенты учатся оценивать, проектировать и обеспечивать функционирование комплексных систем защиты информации, организовывать деятельность служб информационной безопасности и т.д. Они изучают методы хранения и обработки данных, выявления вмешательства в информационные системы, противодействия современным видам кибератак и т.п.

По мнению Виталия Якушева, много потенциально способных студентов выпускается из двух вузов – КПИ и ХНУРЭ. Солидарен с коллегой и Егор Аушев. Он  дополняет список ХАИ и ХНУ. «Команды DCUA из ФТИ КПИ стали чемпионами мира 2016 года на соревнованиях CTF, где соревнуются лучшие в мире «белые» хакеры», – рассказывает соучредитель Hacken.

«Специалист по безопасности, прежде всего, должен быть и экспертом в IT. Иначе может получиться, что сотрудник знает, как функционирует сам программный инструмент или устройство безопасности, например, firewall, но не знает, как трансформируются пакеты, происходит работа канала связи, обработка трафика и т.д», – дополняет Антон Лещенко.

Опрошенные спикеры считают, что вузовской «муштры» недостаточно. «Пока ни один вуз не готовит полностью готового специалиста. Хотя, по моему мнению, вуз должен дать только основу, показать направление развития, а далее специалист выбирает для себя сферу в кибербезопасности и начинает в ней развиваться. Чтобы вузы выпускали достаточное количество необходимых специалистов, должен быть налажен диалог между  Минобразования и бизнесом. Но так как этот процесс сложен, то компании предпочитают брать способных выпускников и обучать под себя как внутренними ресурсами, так и используя множество внешних обучающих структур – онлайн и стационаров», – рассказывает Виталий Якушев.

Онлайн-курсы. По словам операционного директора 10Guards, для повышения уровня квалификации сейчас огромное количество разнообразных путей – от бесплатных курсов, лабораторий, хакерских соревнований до платных сертификационных обучений.

Начинающим может пригодиться бесплатный онлайн-курс «Основы информационной безопасности». Он доступен на украинской платформе Prometheus. 

Немало тематических курсов можно найти на крупных мировых сервисах в сфере массового онлайн-образования – Coursera, Edx, Udemy. Сейчас на этих и других площадках – 95 образовательных программ: «Обнаружение киберугроз в режиме реального времени и смягчение их последствий», «Симметричная криптография»,  «Менеджмент информационной безопасности», «Взлом и исправление» и т.д.

Книги. Также в сети – немало профильной литературы. К примеру, вот несколько новых поступлений, доступных в тематической подборке Google Play.  

Cyber Security and Threats: Concepts, Methodologies, Tools, and Applications (Information Resources Management Association).

Это сборник учебных материалов по новым методологиям и приложениям в области цифровой безопасности и угроз. Включает инновационные исследования безопасности облачных вычислений, защиты онлайн-угроз и криптографии. Авторы утверждают, что эта многотомная книга является идеальным источником знаний для ІТ-специалистов, администраторов, исследователей и студентов, заинтересованных в раскрытии новых способов пресечения киберпреступлений и защиты конфиденциальной цифровой информации.

CCNA Cybersecurity Operations Companion Guide (Cisco Networking Academy).

Это официальный дополнительный учебник для курса Cisco Networking Academy. В нем акцент на практическое применение знаний. Книга может быть полезной для успешного решения задач и выполнения обязанностей аналитика безопасности, работающего в SOC. 

Cybersecurity in China: The Next Wave (Greg Austin)

Сравнительное исследование системы управления кибербезопасностью в Китае. В книге дается оценка эффективности усилий в этой области.