На кого учиться: эксперт по кибербезопасности

Эксперты рассказывают о своей работе, зарплатах и конкуренции.

Мы защищаем АСУ ТП — автоматизированные системы управления технологическим процессом. Это, к примеру, сотни систем, которые обеспечивают бесперебойную подачу электричества в дома и на предприятия: от интеллектуальных датчиков до компьютеров. Мы развиваем собственную лабораторию кибербезопасности — собираем и систематизируем знания о защите автоматизированных систем управления.

Также мы обеспечиваем защиту инфраструктуры, чтобы привычные всем вещи, такие как свет и тепло в доме, оставались доступными. Это направление затрагивает многие сферы — от атомной промышленности до ракетно-космической отрасли.

Есть немало примеров реального ущерба, к которому приводила плохая защита. В 2010 году вирус Stuxnet уничтожил ядерный завод в Иране — он вывел из строя 1368 центрифуг без возможности восстановления. Stuxnet резко разгонял их и тормозил — это приводило к быстрому износу и поломкам. При этом диспетчеры ничего не видели, так как вирус обманывал системы.

Авария откинула ядерную программу страны на много лет назад. Кто создал вирус — точно неизвестно, но подозрения легли на США и Израиль. Иран пытался принять участие в «ядерной гонке», но другие страны считали его слишком опасным противником.

2014 год — атака на металлургическое производство в Германии. Хакеры через электронную почту пробрались в производственные сети завода и разрушили системы контроля, что привело к аварии. Одна из доменных печей пришла в негодность. Как правило, власти замалчивают подобные случаи, поэтому деталей мало.

В 2015 году вирус BlackEnergy оставил без электричества солидную часть западной Украины. Он удаляет и перезаписывает данные на диске, а также может дать удалённый доступ к компьютеру. Хакеры вмешались в работу компании «Прикарпатьеоблэнерго» — что именно они сделали, организация умолчала. Создателей BlackEnergy не нашли, но основные подозреваемые — группа российских хакеров Sandworm.

А в 2017 году неизвестные пытались атаковать нефтехимический завод в Саудовской Аравии. Благо, у злоумышленников ничего не получилось. Иначе это могло бы привести к взрывам, человеческим жертвам и загрязнению окружающей среды.

Зарплаты

В кибербезопасности хорошие зарплаты и бонусные схемы. Пожалуй, они даже превосходят цифры в АСУ ТП и ИТ. Но есть проблема завышенных ожиданий у кандидатов. Молодые специалисты часто хотят больше, чем сами могут дать: знаний еще мало, а денег просят много.

Конкуренция

У нас дефицит хороших специалистов в области информационной безопасности и в кибербезопасности АСУ ТП. Настоящих экспертов очень мало. Так что вакансий куча, но и требования к кандидатам тоже высокие. В будущем потребность в квалифицированных специалистах будет только расти.

Студентам

Университетский диплом — не конец обучения, а только самое начало. Нужно быть готовым к постоянному развитию на протяжении всей карьеры. Я поддерживаю тех, кто продолжает послевузовское образование, например, в аспирантуре — академическая среда всегда идёт на пользу. Также нужно стремиться получать практические знания — например, в рамках стажировок.

Я расследую кибератаки, ищу киберпреступников, изучаю их методы и пытаюсь разработать средства защиты. У нас около 150 таких «следователей», но ко мне попадают особо сложные дела. Например, в банке украли много денег — мне звонят, просят рассказать, как это произошло, какая брешь была в защите, что можно сделать, чтобы такое не повторялось.

Моя работа очень похожа на то, что делают детективы. Мы тоже используем метод дедукции, анализируем и сопоставляем факты. Единственное — мы больше общаемся с компьютерами, чем с людьми. Например, снимаем отпечатки, но не пальцев, а цифровой деятельности — что человек делал за компьютером или в сети. Хотя и опросы потерпевших тоже проводим.

Бывают ситуации, когда уязвимость давно закрыта, но кибербезопасник «проспал» этот момент. К примеру, когда «белые хакеры» — взломщики на нашей стороне — нашли уязвимость, сообщили разработчику, и тот выпустил обновление, решающее проблему.

Но кибербезопасник, отвечающий за защиту своего предприятия, может пропустить обновление или проигнорировать его. Из-за этого и происходят массовые эпидемии «червей». Например, ситуация с WannaCry в 2017 году, когда останавливалась работа крупных предприятий. Вирус шифровал файлы на компьютерах, а потом предлагал купить ключ для их расшифровки, иначе данные удалят. К тому моменту заплатка для программного обеспечения была доступна уже четвёртый месяц.

В прошлом десятилетии была похожая история с вирусом Conficker, который нарушал работу компьютеров на Windows. Прошло десять лет, и снова на те же грабли.

Роль кибербезопасности в современном мире

Во-первых, кибербезопасность важна там, где много денег — банковской сфере без неё никуда. Во-вторых, в критической инфраструктуре: электростанции, заводы и всё, где присутствует автоматизация.

Представьте, что кто-нибудь ворвётся в транспортную инфраструктуру Москвы и переключит все светофоры на красный свет — наступит хаос. Или если кто-то проникнет в инфраструктуру медучреждения, украдёт всю информацию о болезнях пациентов и выложит её в открытый доступ или полностью удалит.

В 2017 году хакеры атаковали больницы в Великобритании — они захватили доступ над компьютерами, из-за чего врачи не могли узнать о записях пациентов, рецептах и результатах анализов. Злоумышленники требовали выкуп в размере 300 долларов.

Личный опыт

Раньше мне казалось, что на спецфакультетах учат взлому и только потом защите. Оказалось, в институте хакерство не преподают — меня это разочаровало. А когда устроился на первую работу, увлекся анализом вирусов.

Я очень люблю головоломки и загадки, и в кибербезопасности, особенно в противодействии вредоносному ПО, их очень много. Когда злоумышленник пишет софт, он пытается защитить себя от обнаружения, анализа. А ты можешь придумать классные способы, чтобы вскрыть его защиту. Это захватывающе.

В моей личной практике есть история, когда пришлось напрячься, чтобы распознать методы злоумышленника. Сеть нашего партнёра взломали: хакер проник в неё с помощью аккаунта одного из сотрудников и развил бурную деятельность. Мы это заметили и заблокировали его активность.

Но внезапно взлом продолжился уже под другими аккаунтами — он использовал около 20-30 учётных записей. Мы не понимали, откуда он их берёт, а проверка самих аккаунтов ничего не дала.

Тогда мы начали анализировать действия злоумышленника: он ходил по разным компьютерам сети, искал что-то. Команда выявила несколько устройств, на которые он заходил чаще всего.

Мы посмотрели внимательнее — оказалось, что хакер обращался к серверу по смене паролей. Конечно, все сразу подумали, что он уязвим, что можно просто влезть в него извне и достать оттуда пароли. Но при анализе никаких вирусов не нашли.

Суть была в том, что сервер по смене паролей лишь помогает сменить их, но не сохраняет никаких данных. То есть, пароли неоткуда вытаскивать. Я настоял на том, чтобы исследовать сервер дальше, и мы всё-таки нашли уязвимость. Оказалось, что злоумышленник успевал скопировать пароли во время изменения. Сотрудник запрашивал смену пароля, который на долю секунды оставался в оперативной памяти системы, — этого хватало, чтобы украсть его. Уязвимость была тривиальная, так что мы быстро поправили код.

Студентам

Вузы не способны дать все знания — только базовые. Как я уже говорил, технологии быстро развиваются — каждые полгода мы встречаем новые нестандартные атаки. Это интересно, но постоянно адаптировать свои программы в такой динамичной среде сложно. Приходится постоянно учиться, читать книги и статьи на английском, французском и даже китайском.

Тем, кто хочет пойти в кибербезопасность, я бы посоветовал обучаться дополнительно. Тут есть два пути. Первый — учиться на пентестера. Пентест, или тестирование на проникновение, — это имитация реальной атаки для проверки средств защиты. Можно взять книгу, найти блог или тренинг по теме и практиковать свои умения на различных соревнованиях.

Второй путь — научиться анализировать программы и выявлять среди них вредоносные. Полезно овладеть навыками обратной разработки — это когда изучают уже готовую программу, чтобы понять принцип её работы. Обучающих курсов масса. Это даст понимание того, как всё устроено.

Что касается «тёмной стороны», нужно думать о будущем. Во-первых, — это незаконно. Во-вторых, из этого дела сложно выйти. Когда человек устраивается на работу, и по его резюме видно, что он долгое время нигде не работал, при этом обладает навыками взлома, — это вызывает вопросы. Служба безопасности его не пропустит.

Зарплаты

Начинающий аналитик получает примерно от 60 тысяч рублей. Киберинженерам могут платить больше — около 300 тысяч. Можно получать и больше, если обладать нужными знаниями и уметь их применить.

Конкуренция

Конкуренция не очень высокая. Начинающие специалисты на рынке есть, но людей, которые действительно разбираются в кибербезопасности, приходится искать довольно долго.

Я занимаюсь консалтингом в области информационной безопасности более 13 лет. Последние шесть специализируюсь на цифровой идентичности — Identity and Access Management (IAM) — это важная часть кибербезопасности.

В реальном мире мы используем ключи, чтобы попасть в квартиру, и затем делаем копии всем близким. Когда приходим на работу, используем пропуск с именем и фамилией. То же самое есть и в цифровой сфере — доступ к онлайн-системам, сервисам, мобильному банку. Безопасная реализация этого доступа — это и есть цифровая идентичность.

Моя работа:

Если я скажу, что кибербезопасность играет «ключевую» роль в современном обществе, это не будет и половиной правды. Сегодня вся наша жизнь находится в цифровом мире: деньги, персональные данные, билеты, планы, покупки, напоминания.

Без защиты от злоумышленников, без создания так называемого «цифрового доверия», все эти сферы откатились бы на 30 лет назад — когда за зарплатой приходилось стоять в кассу со сберкнижкой, предварительно получив квиток в отделе кадров. Или чтобы купить какую-то вещь, нужно было потратить день, чтобы объехать десяток магазинов, найти её и ещё узнать, где дешевле. В современном мире мы «доверяем» всё это электронным системам, что невозможно без кибербезопасности и цифровой идентичности.

Кибербезопасность важна во всех сферах, но можно выделить несколько, где она особенно критична. Во-первых, в областях общественной жизни, что касается персональных данных и личной жизни людей. Многие страны, в том числе Россия, уже более десяти лет внедряют и улучшают законодательство, регулирующее связанные с этим вопросы. Например, в 2018 году в Евросоюзе вступил в силу GDPR — общий регламент по защите данных.

Во-вторых, кибербезопасность очень важна для критичных систем: электроэнергия, водоснабжение, финансовые услуги, производство, транспорт и интернет. От их защиты зависит не только, будут ли работать эти сервисы, но и насколько гладко.

В моей практике бывали случаи, когда системы платежей останавливались на несколько суток из-за того, что кто-то с лишними правами доступа, которых у него не должно быть, совершал неверные действия. А ремонт потом занимал несколько дней. Правильный контроль доступа в самом начале внедрения системы мог бы помочь избежать подобного инцидента и сохранить компании большие деньги и репутацию, а, следовательно, и ушедших клиентов.

Личный опыт

Я пришел в консалтинг информационной безопасности почти сразу после вуза и слабо представлял, что такое кибербезопасность. На собеседовании проверяли знания сетевых систем, баз данных и понимание основ программирования. Для меня всё было в новинку, но самым большим сюрпризом стало понимание сути консалтинга, который часто преуменьшают.

Оказалось, мы должны уметь не только внедрять систему безопасности, но и изменять её, улучшать. На всех уровнях, от системного администратора до владельца компании. Сделать так, чтобы все процессы работали и приносили пользу обществу и организациям.

Студентам

Технологии развиваются так быстро, что их актуальность постоянно меняется. Важно следить за инновациями, рынком ИТ и развиваться одновременно с ним. Блокчейн, роботизация, облачные технологии и умные процессы — это всё реальность кибербезопасности уже сегодня. И навыки по ним нужны рынку прямо сейчас.

Зарплаты

На западе на такой вопрос ответили бы: «конкурентоспособные». Если серьёзно, эта информация довольно открытая — все HR-ресурсы делают их обзоры. Я считаю, сейчас зарплаты в кибербезопасности не отличаются от других ИТ-сфер.

Конкуренция

Она есть, как и в любой области. Но нужно понимать, что многие компании только начинают понимать важность кибербезопасности. Российские вузы только 10-15 лет назад создали программы по подготовке ИБ-специалистов. Как результат, на рынке часто нет людей с нужными навыками. И те, кто вчера были конкурентами, завтра могут вместе работать над проблемой, чтобы максимально помочь организации в беде.

Мы помогаем бизнесу, представителям государства и обычным пользователям разобраться в новых технологиях и понять, какие возможности и риски они несут.

Чем глубже общество погружается в цифровой мир, тем больше рисков возникает. Почти в 95% случаев киберпреступники мотивированы именно финансово. Поэтому под угрозой в первую очередь находятся банки и финансовый сектор.

Раньше, чтобы ограбить банк, нужно было вломиться туда с автоматом и взломать сейф. А сейчас хранилища стали цифровыми — деньги превратились в записи в реестрах. Их можно украсть, всего лишь манипулируя этими записями, при этом находясь в другой части света.

Технологии позволили финансовой индустрии быть быстрее и эффективнее, но появилась тёмная сторона. Злоумышленники звонят клиентам, притворяются сотрудниками банков, выуживают секретные пароли. Они также заражают телефоны, чтобы переводить деньги, или взламывают сразу банк.

В 2016 году неизвестные хакеры проникли в сеть Центрального банка Бангладеша и нашли уязвимость в международной системе переводов SWIFT — она позволяла стирать записи о переводах.

Злоумышленники незаметно для ЦБ Бангладеша отправляли деньги через Федеральный резервный банк Нью-Йорка на счета в Филиппинах и Шри-Ланке. Они хотели вывести почти миллиард долларов, но большую часть попыток заблокировали в ФРБ. Им удалось украсть только $81 млн.

О защите нужно помнить всем

Я считаю, что ответственность за безопасность ложится в первую очередь не на специалистов в этой области, а на обычных сотрудников. Возьмите любой бизнес — большинство работников там не смыслят в защите. Но они каждый день пользуются электронной почтой, сервисами, посещают различные сайты. Очень важно научить этих людей, как вести себя в интернете.

По статистике, около 80% атак на банки и критическую инфраструктуру начинаются не со взлома системы, а со взлома человека. Например, с помощью фишинговых писем — они написаны так, чтобы вызывать желание кликнуть куда-то, открыть файл, перейти по ссылке. А там — вирус.

Основные правила цифровой гигиены

Первое, на чём обжигаются все, — одинаковые пароли на разных сайтах. К сожалению, утечки происходят каждый день — как из приложений, где вы заказываете пиццу, так и из крупных компаний типа Yahoo или Dropbox. Постоянно сливаются базы данных, в которых могут оказаться и ваши логин с паролем.

Помимо разных паролей, нужно подключить двухфакторную аутентификацию везде, где можно. Это когда кроме пароля необходимо дополнительное действие. Например, ввести специальный код, который приходит на телефон или почту. В этом случае, даже если ваш пароль будет украден, воспользоваться им не смогут.

Интернет — достаточно агрессивная среда. Так же как мы не ходим в нехорошие районы, не стоит кликать по непонятным ссылкам, скачивать всё подряд и вестись на лотереи. Важно не регистрироваться на подозрительных сайтах и не отдавать персональные данные.

Однажды исследователи подключили к интернету умный тостер. Через 40 минут была отмечена первая хакерская попытка подключиться к нему. К концу дня попыток было 300. Это значит, что любое устройство в интернете автоматически сканируется на известные уязвимости.

Какие есть направления в кибербезопасности

Выше уже говорили о нескольких направлениях: защита АСУ ТП, расследование киберпреступлений, цифровая идентичность. Можно стать узким специалистом, например, защищать определённую инфраструктуру — понадобятся знания конкретных систем.

Есть универсальные направления: программист на Python, специалист по искусственному интеллекту, аналитик данных. Они все нужны в кибербезопасности — спрос на таких экспертов будет только расти.

Также необязательно вообще быть технарём — очень нужны юристы и дипломаты. Например, в 2017 году были две крупные спецоперации по устранению торговых площадок в даркнете — AlphaBay и Hansa. В них участвовали правоохранительные органы из нескольких стран — в каждой свои законы.

Конкуренция

В индустрии не хватает кадров. Эксперты по кибербезопасности стали требоваться в любую организацию — бизнес внезапно осознаёт нужду в защите и начинает нанимать технарей.

Аналитики данных востребованы везде, не только в кибербезопасности. За них борются банки, стартапы, промышленность. То же самое с программистами — это универсальная специальность.

Студентам

Студент первого курса, если он толковый и постоянно практикуется, может начать делать карьеру ещё в вузе. И к выпуску он сможет руководить департаментом в какой-нибудь компании.

Во-первых, нужно пытаться понять, каким рынок будет завтра. Читать о нём, изучать технические отчёты, стажироваться. Нужно заранее задаваться вопросами: как изменится рынок, какие игроки на нём есть, кто лучше, кто с кем конкурирует?

Помимо саморазвития, полезно задуматься о том, какие вопросы будет задавать работодатель на собеседовании, на что он посмотрит. К нему придут сто человек, а нужно выбрать лучшего. Нужно развивать кругозор, учиться поддерживать беседу, углубляться в профессию.

Главный совет — найдите себя на светлой стороне. Есть много возможностей реализовать себя. А что касается тёмной стороны, я даже не хочу говорить, что это плохо. Всё и так понятно — можно сесть в тюрьму и испортить себе жизнь. Не нужно ходить туда, куда не стоит.

«Ростелеком» и «Ростелеком-Солар» проведут соревнование «Кибервызов: Новый уровень» для студентов 18-22 лет, увлекающихся программированием и кибербезопасностью. Тех, кто проявит себя лучше всего, пригласят на стажировку в «Ростелеком-Солар».

Первый этап пройдёт 20-21 июля в формате онлайн-соревнования. Ключевая тема — защита АСУ ТП. Участникам нужно будет решать задачи по форензике, криптографии, обратной разработке и веб-безопасности.

60 студентов с максимальным баллом пройдут во второй этап — 22-24 июля их ждёт интервью с экспертами «Ростелеком-Солар». И затем 40 из них поедут 8-22 сентября в Сочи в учебный центр «Сириус» обучаться кибербезопасности. Зарегистрироваться на соревнование можно до 19 июля.