Хакери в дефіциті: Чому держава не може навчити цифрових захисників

Про головні проблеми підготовки "білих хакерів" та кіберконсультантів Depo.ua поговорив з операційним директором консалтингової компанії з кібербезпеки "10Guards" Віталієм Якушевим на форумі Kyiv Smart City.

- Віталію, чи зараз в Україні вистачає спеціалістів з кібербезпеки?

- Скажу вам чесно, не вистачає. У нас постійно йде набір спеціалістів. Ми шукали готових, а зараз прийшли до того, що ми беремо талановитих студентів і самі їх навчаємо. Бо в інститутах дають елементарну базу, на яку потрібно накладати чимало професійних пластів. Наша система освіти приймає навчальні програми. Але на момент прийняття вони вже застарілі. А коли програми вступають в силу, застарівають ще раз. Тому динамічності в освіті з кібербезпеки, на жаль, немає. Є окремі толкові факультети – ми можемо похвалити політехівський фізтех, де ентузіасти-викладачі проводять заняття з підвищення кваліфікації студентів вже практичними вправами. Команда білих хакерів політеху вже другий чи третій рік поспіль, за результатами змагань, – номер один у світі. Вони вирощують спеціалістів, яких потім розбирають компанії з безпеки, включаючи світові.

Але загалом кільком десяткам компаній, які працюють у цій сфері, не вистачає спеціалістів. Це говорить про те, що кваліфікація випускників дуже низька.

- У вас є якісь переваги щодо кафедр?

- Ми беремо випускників будь-яких кафедр. Орієнтуємося переважно на палаючі очі. Якщо у людини є ще й база, ми таких спеціалістів із задоволенням беремо і виховуємо з них білих хакерів та консультантів. Це два основних напрямки. Здебільшого всі хочуть бути білими хакерами – вважається, що це романтична професія. Ти хакер, сидиш, ламаєш систему. Але є і люди, які консультують, допомагають працювати з ризиками. Це більш паперова безпека. Але без паперової немає технічної. Усе має бути в комплексі. На жаль, консультантів в принципі дуже мало. Їх потрібно виховувати взагалі з нуля.

- Як треба змінити систему освіти, щоб випускників можна було зразу брати на роботу?

- На початку жовтня ми були у Нідерландах, вони є центром з кібербезпеки Західної Європи. Вони змогли поєднати державу, бізнес та освіту. І у жорсткій зчіпці все це працює. Тобто потрібен спільний підхід. На минулому тижні в Україні була конференція з кібербезпеки, і представник МОН сказав, що прийняли нові стандарти з програми навчання кібербезпеки. Себто, пішли певні зрушення. Але це один з елементів ланцюга.

Потрібно залучити бізнес, щоб він брав участь у процесі. Компанії повинні брати студентів на практику. Вже з четвертого курсу ми беремо їх на постійну роботу. Раніше не можна витягнути студента з освітньої системи, щоб його не вигнали. Тому що робота потребує йти з пар, і з четвертого курсу це простіше. Але якщо б виші взаємодіяли з бізнесом, щоб нам давали студентів легітимно – наприклад, один день на тиждень вони могли б спокійно отримувати практику на реальному підприємстві, де є приклади роботи з кібербезпекою, було б краще.

- Через вірус Petya полетіло чимало ресурсів, включаючи сайти державних установ. Вони щось зробили, щоб ситуація не повторилася?

- Щось зробили, але оцінити це дуже важко, принаймні кількісно. Адже показником тут може бути, наприклад, кількість відбитих атак. У нас, на жаль, всі звикли до "зрад", а статистики відбитих атак немає. Можливо, їх просто не було, а може, наша влада не розуміє, що на цьому теж можна піаритися. Розповідати: "Дивіться, ми відбили стільки-то атак, вони схожі на Petya, або легші чи гірші… Але ми впоралися, ми робимо кроки вперед". Стверджують, що зробили багато всього. Та наскільки це ефективно, можна перевіряти, тільки проводячи аудит.

Ми перевіряли лише Громадський бюджет київської держадміністрації, це було в рамках тендеру. І в рамках безкоштовного пілоту ми перевірили київське відеоспостереження. Я не можу розповідати деталі, але Громадський бюджет був більш безпечним, ніж відеоспостереження. Після нашої роботи критичні дірки закрили.

- Якщо порівняти Україну з іншими країнами Європи за рівнем захищеності, на якій позиції ми будемо?

- Відповім цифрами статистики: у минулому році ми були аж на 59-му місці у світі. Для прикладу, Грузія була на восьмому, а на першому – Сінгапур. Себто це комплексний показник, який включає безпеку держави, її органів і так далі. Кібербезпека працює з кіберризиками, а кіберризики – один із складових бізнес-ризиків. І ось, робота з бізнес-ризиками – певний рівень зрілості бізнесу. У нас, на жаль, він дуже низький. Відповідно, і загальний рівень кібербезпеки у країні, включаючи державні органи, ще на низькому зародковому рівні. Втім, він динамічно розвивається. Ми говоримо і про приватний сектор, і про державний. Вони вже замовляють кібер-послуги. Наскільки коректно вони з ними працюють – друге питання, але те, що замовляють – вже великий плюс. У новому, іншому рейтингу, ми входимо у 20-ку, вже обігнали Росію. Хоча там є кібервійська, а у нас немає. Я вважаю, що так оцінювати не дуже коректно. Як ми можемо бути кращими, якщо на державному рівні у нас немає захисної та атакуючої частини кібер-, гібридної війни… У будь-якому випадку, ми не дуже гірші, ніж інші країни.

За рівнем спеціалістів ми одні з найкращих у світі, як показує команда білих хакерів при КПІ. Але те, що у нас немає зв'язки "держава-бізнес-освіта" опускає нас нижче європейських та інших просунутих в технологічному плані країн.

- Можна оцінити, як змінилися кібератаки і кіберризики за останні роки?

- Вони постійно ускладнюються. Тому що на даний момент кібератаки – це ринок у сотні мільярдів, а за деякими оцінками, у трильйон доларів на рік. 1% світового ВВП втрачається після кібератак. Це дуже великий бізнес. Природно, що туди йдуть все більш і більш серйозні гравці як зі сторони захисту, так і зі сторони нападу, себто, чорних хакерів. Атаки весь час ускладнюються, стають комплексними, точково направленими на заробіток грошей та спричинення максимальних збитків. Поки нам потрібно з цим змиритися і вибудовувати власну стратегію. Оскільки рівень злочинців зростає, захищати себе теж потрібно на вищому рівні.