«Хакерство романтизировано»: блиц-интервью со студентами-кибербезопасниками

О будущей профессии, её важности для общества, опасности публичных Wi-Fi и хакерстве.

В сентябре в образовательном центре «Сириус» открылась смена по кибербезопасности. 40 студентов, показавших лучшие результаты в соревновании «Кибервызов: Новый уровень», провели там две недели. Они изучали разные направления кибербезопасности, практиковались в защите, расследовании преступлений, пентестах — взломах с целью проверки защиты, — и так далее.

Три студента, побывавших в «Сириусе», ответили на короткие вопросы — о будущей профессии, её важности, уровне образования, хакерстве и о том, помогла ли им поездка.

НИУ ВШЭ, 4 курс, «Компьютерная безопасность»

Как заинтересовался кибербезопасностью?

Я собирался учиться по специальности программная инженерия, с детства видел себя разработчиком. Но из-за некоторых обстоятельств решил попробовать себя в компьютерной безопасности — в какой-то момент меня захватили CTF-соревнования, это стало моим хобби. К тому времени я уже успел поработать разработчиком, и переход в кибербезопасность рассматривал как следующий этап развития. Эта сфера казалась мне более сложной и интересной.

В чём будет заключаться работа?

Я уже работаю — проверяю веб-приложения на уязвимости, взаимодействую с программистами и делаю так, чтобы разработка была безопасной. Процесс выглядит примерно так: нашёл уязвимость, рассказал, как её устранить, проверил ещё раз и сделал так, чтобы подобное больше не допускали.

Почему светлая сторона?

В основном из-за моральных принципов. Надевая белую шляпу, делаешь мир лучше, а жизнь людей безопаснее. Приходит понимание, что ты приносишь пользу обществу и несешь ответственность за проделанную работу.

К тому же светлая сторона интереснее и разнообразнее — необходимо выстраивать безопасные процессы, делать компанию неприступной для злоумышленников. Это очень сложно, ведь хакеры всегда на шаг впереди. Поэтому нужно думать наперед и проявлять смекалку.

В фильмах романтизируют хакеров, но это всё далеко от реальности. Стоит только сравнить кадры из кинематографа с фотографиями злоумышленников. Всё сразу станет понятно — никакой романтики в этом нет. Только представьте каково это: круглосуточно думать об анонимности, жить двойной жизнью и изо всех сил стараться не совершить одну единственную ошибку, из-за которой тебя обязательно поймают. Стресс, да и только.

Отношение к личной безопасности?

Я серьёзно отношусь к ней: использую сложные и уникальные пароли, постоянно обновляю устройства У меня даже есть некая паранойя по этому поводу, как и у любого безопасника.

Подключаешься к Wi-Fi в кафе?

Очень редко, если не ловит мобильная связь. Многие думают, что использование публичных Wi-Fi сетей опасно из-за перехвата трафика, но это давно уже не так. Если заходить на проверенные сайты, то всё будет в порядке — большинство данных передается в зашифрованном виде. Большую опасность представляет то, что устройство находится в одной сети с другими пользователями. Это даёт потенциальным злоумышленникам возможность атаковать вас.

А как к безопасности относятся люди вокруг?

В большинстве своём люди всё ещё относятся к ней несерьёзно, но постепенно понимают её важность. Простой пример: раньше мало кто знал, что нужно использовать сложные пароли. Сейчас знают многие.

Такое отношение — проблема?

Да.

Сталкиваешься со стереотипами о профессии?

Среди знакомых и родственников такого нет. Но при этом мне, например, приходится помогать родителям с техникой, потому что они ней не очень дружат.

Просили взломать что-либо?

Нет.

Насколько важна профессия кибербезопасника?

Многие её недооценивают. Думаю, должно пройти ещё несколько лет, прежде чем все поймут, насколько важна кибербезопасность. Хотя крупный бизнес это уже осознает. Многие банки и технологические компании выделяют множество ресурсов для того, чтобы обезопасить себя и своих клиентов.

Сейчас задается тренд на автоматизацию: умный дом, беспилотный транспорт, АСУ ТП. Это ведь всё нужно защищать. И чем больше общество зависит от технологий, тем важнее становится профессия кибербезопасника.

Впечатления от «Сириуса»?

Мне очень понравилось, нам дали много полезных вещей из различных сфер информационной безопасности. Я улучшил свои знания в вебе, пентесте, реверс-аналитике, защите АСУ ТП. У нас была возможность поговорить с экспертами один на один и задать интересующие вопросы. Если раньше я вообще не знал, что такое АСУ ТП и бумажная безопасность, то после «Сириуса» стал немного разбираться.

Такие программы помогают определиться, что тебе нравится, а что нет — какую специализацию лучше выбрать внутри кибербезопасности. А также почерпнуть опыт у других специалистов.

Как оцениваешь систему образования в России?

Не знаю, как в других сферах, но в информационной безопасности вузы дают неактуальные знания — нам преподают много предметов, которые не всегда нужны для работы по профессии. Хочется больше учиться построению информационных систем и их защите, а не физике и какому-нибудь функциональному анализу. Мне кажется, такие знания могут дать только те, кто реально занимается этим на практике.

Знаний из вуза достаточно для работы?

Точно нет. Все знакомые, кто сейчас работает, занимались самостоятельно: участвовали в образовательных программах и соревнованиях, читали соответствующую литературу и проходили курсы.

РТУ МИРЭА, 2 курс, «Компьютерная безопасность»

Как заинтересовался кибербезопасностью?

Я хотел учиться на программиста и даже успел поработать им. Но в конце 11 класса передумал, так как у меня было уже достаточно навыков. Хотелось чего-то нового и нестандартного. Решил выбрать направление, которое будет более востребовано и актуально, но в то же время связано с ИТ.

Выбор пал на компьютерную безопасность. Во-первых, потому что там изучают криптографию, а мне нравится математика. Во-вторых, из-за увлечения операционными системами. Для меня это идеальное направление.

В чём будет заключаться работа?

Аудит и настройка систем безопасности. То есть я буду проверять их на наличие уязвимостей и помогать настраивать так, чтобы злоумышленники не могли их взломать.

Почему это интересно?

Это не простое программирование. Чтобы сделать хорошую защиту, недостаточно использовать стандартные инструменты — нужно иметь нешаблонное мышление и придумывать свои решения.

Хакерство — круто?

Этичный хакинг — да. То есть, когда ты взламываешь что-либо с согласия компании — тебя нанимают, просят провести аудит системы безопасности и дают полную свободу. Так ты можешь проявить свои нестандартные знания и навыки. Главное — не переходить черту.

На самом деле, кибербезопасникам платят больше, чем хакерам. А если учесть, что за незаконный хакинг в любой момент могут посадить в тюрьму, то это тем более того не стоит. Люди идут в хакинг в основном за азартом.

Как относишься к личной безопасности?

Защищаюсь. Камеру ноутбука не заклеиваю, но особые данные и документы храню специальным образом.

Подключаешься к Wi-Fi в кафе?

Стараюсь не делать этого. А если подключаюсь, то обязательно шифрую трафик.

Через него легко украсть данные?

Если пользователь уверен в надёжности сайтов, на которые заходит, то нет. Но если он не знает базовых правил интернет-гигиены, то легко.

Сталкиваешься со стереотипами о профессии?

В моём окружении их нет.

Насколько важна профессия кибербезопасника?

Она в первую очередь важна в бизнесе. Но немногие понимают, насколько. Мы помогаем сохранить структуру, целостность и, конечно, деньги компаний. Не знаю, сколько должно пройти времени, чтобы все это осознали. Наверное, пока не случится глобальное происшествие.

Разрушенный миф или разочарование?

Кибербезопасникам в среднем платят меньше, чем программистам.

Впечатления от «Сириуса»?

Я был о нём наслышан, и все ожидания оправдались. Там я понял, в чём отличие информационной безопасности от CTF-соревнований.

Меня научили работать с документацией — это оказалось очень полезно, так как кибербезопаснику для работы нужны не только практические навыки. Теперь умею правильно читать и составлять документы.

Как оцениваешь систему образования в России?

В ней много лишнего, особенно для кибербезопасника. Например, мы тратим кучу времени на физику вместо того, чтобы заниматься чем-то по специальности, что нужнее для будущей работы.

Знаний из вуза достаточно для работы?

Нет. Сейчас учебные заведения в первую очередь не дают знания, а учат учиться. И если человек не понимает этого на первых курсах, то на выходе он, скорее всего, не будет ничего уметь.

Хорошая точка входа для молодого кибербезопасника — соревнования по CTF. Они дают базовые навыки и знакомят с областью кибербезопасности.

НИУ МЭИ, 4 курс, «Прикладная информатика в экономике»

Как заинтересовался кибербезопасностью?

Кафедра информационной безопасности в моём университете проводила внутривузовские соревнования. Мне пришла рассылка, захотел поучаствовать, и вот так втянулся.

В чём будет заключаться работа?

Я уже работаю вирусным аналитиком и хочу заниматься этим дальше. Я изучаю вредоносные программы, чтобы понять, из чего они состоят, как действуют, и определяю способы обнаружения их в системе.

Почему светлая сторона?

Сломать или завладеть чем-либо достаточно просто, а вот попробовать защитить и предотвратить атаки — это гораздо сложнее.

Подключаешься к Wi-Fi в кафе?

Да, но в публичных сетях заворачиваю свой трафик на VPN. В целом, на сегодняшний день это уже из области паранойи: общение браузера и сайта шифруется с помощью HTTPS, также есть технологии (например, HSTS), которые позволяют определить подмену сертификата, и, соответственно, браузер обрадует вас красным окошком с рекомендацией покинуть этот сайт.

Как защитить себя обычному пользователю?

У вирусных лабораторий есть решения для мобильных устройств, которые следят за безопасностью публичных сетей.

Сталкиваешься со стереотипами о профессии? Просят починить компьютер и Windows, потому что не понимают, чем ты занимаешься?

Во время средней и старшей школы я много работал с компьютерами и ноутбуками, поэтому для меня это обыденные просьбы. Занимаюсь этим до сих пор, к слову.

Просили взломать что-либо?

Нет.

Насколько важна профессия кибербезопасника?

Она особенно важна в финансовой сфере. Злоумышленников привлекают деньги и возможности, которое они дают.

Впечатления от «Сириуса»?

Мне там очень понравилось. Я много узнал про защиту АСУ ТП, форензику, а также про смежные сферы безопасности. Мне было интересно послушать про веб-защиту и пентест.

Такие мероприятия полезны. На них много практики и актуальных знаний. И преподают люди, которые сами занимаются кибербезопасностью и постоянно пробуют новое, а не просто заучили методичку.

Как оцениваешь систему образования в России?

На мероприятиях и соревнованиях я общаюсь с ребятами, которые тоже неравнодушны к вопросам безопасности, и вижу, насколько они сильны в своих областях. Думаю, у нас много хороших специалистов.

Знаний из вуза достаточно для работы?

Вузы дают только базу, и этих знаний вряд ли достаточно, чтобы работать по профессии. Для достижения должного уровня нужно заниматься дополнительно, участвовать в соревнованиях. Ещё лучше — пойти работать по специализации уже на втором-третьем курсе. Так можно получить более актуальные знания и большему научиться.

Во время смены преподавали информационную безопасность, пентест, форензику, аналитику в расследовании и защиту АСУ ТП. Кроме того, были организованы круглые столы с участием экспертов отрасли, среди которых Игорь Ляпунов («Ростелеком-Солар»), Владимир Дрюков («Ростелеком-Солар»), Алексей Лукацкий (Cisco), Алексей Новиков (Positive Technologies), Павел Ревенков (Банк России), Евгений Царев (RTM Group), Андрей Прозоров («Росатом»).

Совместно со студентами они обсуждали самые разные аспекты информационной безопасности: DarkNet, этические ценности профессии, роль молодых специалистов по кибербезопасности в современной организации — как её видит бизнес и они сами, профессиональные навыки и компетенции ИБ завтрашнего дня.

Следующая смена для студентов намечена на июль-август 2020 года, а для школьников — на ноябрь.