Хакеры в дефиците: Почему государство не может научить цифровых защитников

Про главные проблемы подготовки "белых хакеров" и киберконсультантов Depo.ua поговорил с операционным директором консалтинговой компании по кибербезопасности "10Guards" Виталием Якушевым на форуме Kyiv Smart City.

- Виталий, сейчас в Украине хватает специалистов по кибербезопасности?

- Скажу вам честно, не хватает. У нас постоянно идет набор специалистов. Мы искали готовых, а сейчас пришли к тому, что мы берем талантливых студентов и сами их обучаем. Потому что в институтах дают элементарную базу, на которую нужно накладывать немало профессиональных пластов. Наша система образования принимает учебные программы. Но на момент принятия они уже устаревшие. А когда программы вступают в силу, устаревают еще раз. Поэтому динамичности в образовании по кибербезопасности, к сожалению, нет. Есть отдельные толковые факультеты – мы можем похвалить политеховский физтех, где энтузиасты-преподаватели проводят занятия по повышению квалификации студентов уже практическими упражнениями. Команда белых хакеров политеха уже второй или третий год подряд, по результатам соревнований, – номер один в мире. Они выращивают специалистов, которых потом разбирают компании по безопасности, включая мировые.

Но всего нескольким десяткам компаний, которые работают в этой сфере, не хватает специалистов. Это говорит о том, что квалификация выпускников очень низкая.

- У вас есть какие-то предпочтения относительно кафедр?

- Мы берем выпускников любых кафедр. Ориентируемся преимущественно на горящие глаза. Если у человека есть еще и база, мы таких специалистов с удовольствием берем и воспитываем из них белых хакеров и консультантов. Это два основных направления. В основном все хотят быть белыми хакерами – считается, что это романтическая профессия. Ты хакер, сидишь, ломаешь систему. Но есть и люди, которые консультируют, помогают работать с рисками. Это более бумажная безопасность. Но без бумажной нет технической. Все должно быть в комплексе. К сожалению, консультантов в принципе очень мало. Их нужно воспитывать вообще с нуля.

- Как нужно изменить систему образования, чтобы выпускников можно было сразу брать на работу?

- В начале октября мы были в Нидерландах, они являются центром кибербезопасности Западной Европы. Они смогли объединить государство, бизнес и образование. И в жесткой сцепке все это работает. То есть нужен общий подход. На прошлой неделе в Украине была конференция по кибербезопасности, и представитель МОН сказал, что приняли новые стандарты по программе обучения кибербезопасности. То есть, пошли определенные подвижки. Но это один из элементов цепи.

Нужно привлечь бизнес, чтобы он участвовал в процессе. Компании должны принимать студентов на практику. Уже с четвертого курса мы берем их на постоянную работу. Раньше нельзя вытащить студента из образовательной системы, чтобы его не выгнали. Потому что работа вынуждает уходить с пар, и с четвертого курса это проще. Но если бы вузы взаимодействовали с бизнесом, чтобы нам давали студентов легитимно – например, один день в неделю они могли бы спокойно получать практику на реальном предприятии, где есть примеры работы с кибербезопасностью, было бы лучше.

- Из-за вируса Petya полетело немало ресурсов, включая сайты государственных учреждений. Они что-то сделали, чтобы ситуация не повторилась?

- Что-то сделали, но оценить это очень трудно, по крайней мере количественно. Ведь показателем здесь может быть, например, количество отраженных атак. У нас, к сожалению, все привыкли к "изменам", а статистики отраженных атак нет. Возможно, их просто не было, а может, наша власть не понимает, что на этом тоже можно пиариться. Рассказывать: "Смотрите, мы отбили столько-то атак, они похожи на Petya, или легче, или хуже... Но мы справились, мы делаем шаги вперед". Утверждают, что сделали много всего. Но, насколько это эффективно, можно проверять лишь проводя аудит.

Мы проверяли только Общественный бюджет киевской госадминистрации, это было в рамках тендера. И в рамках бесплатного пилота мы проверили киевское видеонаблюдение. Я не могу рассказывать детали, но Общественный бюджет был более безопасным, чем видеонаблюдение. После нашей работы критические дыры закрыли.

- Если сравнить Украину с другими странами Европы по уровню защищенности, на какой позиции мы будем?

- Отвечу цифрами статистики: в прошлом году мы были аж на 59-м месте в мире. Для примера, Грузия была на восьмом, а на первом – Сингапур. То есть это комплексный показатель, который включает в себя безопасность государства, его органов и так далее. Кибербезопасность работает с кибер-рисками, а кибер-риски – одна из составляющих бизнес-рисков. И вот, работа с бизнес-рисками – определенный уровень зрелости бизнеса. У нас, к сожалению, он очень низкий. Соответственно, и общий уровень кибербезопасности в стране, включая государственные органы, еще на низком, зачаточном уровне. Впрочем, он динамично развивается. Мы говорим и про частный сектор, и про государственный. Они уже заказывают кибер-услуги. Насколько корректно они с ними работают – второй вопрос, но то, что заказывают – уже большой плюс. В новом, другом рейтинге, мы входим в 20-ку, уже обогнали Россию. Хотя там есть кибер-войска, а у нас нет. Я считаю, что так оценивать не очень корректно. Как мы можем быть лучше, если на государственном уровне у нас нет защитной и атакующей части кибер-, гибридной войны... В любом случае, мы не хуже, чем другие страны.

По уровню специалистов мы одни из лучших в мире, как показывает команда белых хакеров при КПИ. Но то, что у нас нет связки "государство-бизнес-образование", опускает нас ниже европейских и других продвинутых в технологическом плане стран.

- Можно ли оценить, как изменились кибератаки и кибер-риски за последние годы?

- Они постоянно усложняются. Потому что на данный момент кибератаки – это рынок в сотни миллиардов, а по некоторым оценкам, в триллион долларов в год. 1% мирового ВВП теряется после кибератак. Это очень большой бизнес. Естественно, что туда идут все более и более серьезные игроки как со стороны защиты, так и со стороны нападения, то есть, черных хакеров. Атаки все время усложняются, становятся комплексными, точечно направленными на заработок денег и причинение максимальных убытков. Пока нам нужно с этим смириться и выстраивать собственную стратегию. Поскольку уровень преступников возрастает, защищать себя тоже нужно на высшем уровне.