iTechArt logo

Небылицы или реальные перспективы? Разбор IT-специальностей будущего в сфере информационной безопасности

Development & QA

Начиная карьерный путь, каждый человек так или иначе задумывается о том, будет ли его специализация востребована через 5-10-15 лет. При этом в сетевых дискуссиях можно встретить немало диаметрально противоположных мнений и прогнозов о том, какие профессии будут в топе и спустя десятилетия, а какие вымрут, так и не достигнув расцвета.

Мы решили провести своеобразный эксперимент: нашли в медиа-источниках и справочниках несколько предполагаемых профессий будущего в области информационной безопасности. И... предложили нашим специалистам, имеющим многолетний опыт работы по этому направлению, вынести профессиональный вердикт –  имеют ли позиции из списка будущее или нынешним студентам стоит помечтать о какой-либо другой карьере.

Что из этого получилось? Читайте сами!

Наши собеседники
Латушко Александр.jpg

Александр Латушко

Information Security Group manager

Работает в сфере информационной безопасности свыше 15 лет. Начинал еще тогда, когда об информационной безопасности было известно очень мало.

Дмитрий Романов.jpg

Дмитрий Романов

Information Security Team manager (external projects)

Занимается инфобезопасностью с 2005 года. Начинал карьеру в системной интеграции безопасности, paper security, penetration testing, AWS Security Specialty Certified. Участвует в развитии сервисов безопасности для клиентов компании.

В наш список попали следующие профессии:

№ 1. Чистильщик облака. Предполагается, что в будущем понадобится отдельный специалист, который будет помогать убирать данные из интернета, защищая клиентов от нежелательных просмотров персональных файлов и слежки. 

№2. Домашний кибернетик. Профессионал, который будет участвовать в строительстве супер-безопасных «умных» домов, которые никто не в силах будет взломать. 

№3. Цифровой археолог. Будет специализироваться на дешифровке информации с нечитаемых носителей (например, с дискет и дисков, которые доживают свой век). 

№4. Консультант по безопасности личного профиля. По запросу заказчика формирует из доступной в Интернете информации клиентский информационный образ, выявляет уязвимости и даёт рекомендации по конфиденциальности и общей безопасности. 

№5. Цифровой посмертный управляющий. Контролирует социальные странички умершего человека («замораживая» их или продолжая управлять ими, если таковым было пожелание клиента).

№6. Этичный хакер. Моделирует кибератаки, чтобы выявлять уязвимости в компьютерных системах, сетях и инфраструктуре.

№7. Data-детектив. Помогает раскрывать преступления по цифровым следам, анализируя и сравнивая огромные массивы данных.

№8. IT-аудитор. Проводит аудит информационных систем, информируя заказчика о том, где кроются наибольшие риски. Оценивает, насколько IT-системы безопасны, в т.ч. с точки зрения ведения процесса разработки и квалификации разработчиков.

Какие ассоциации у вас вызвал список? Считаете ли вы, что какие либо из этих позиций действительно станут востребованными в ближайшие 5 и более лет?

АЛЕКСАНДР ЛАТУШКО: Думать пятилетками уже не актуально, все меняется слишком быстро. Тем не менее, в списке есть реально практичные вещи. Некоторые из них, возможно, не совсем корректно названы, но зачатки этих профессий уже появились, и для них есть место в будущем. Красиво звучит «цифровой археолог». Если задуматься, у многих дома есть компакт-диски, но не у каждого в наличии привод, которым возможно воспользоваться, чтобы этот диск прочитать. До компакт-дисков были дискеты, у кого-то они, возможно, тоже еще пылятся, и куда уже их девать – неизвестно. Совсем недавно я достал фотопленку и носил ее в студию на оцифровку. Точно так же, наверное, придется носить DVD или даже жесткие диски.

Направления киберразведки, которые подразумевают целенаправленный сбор информации для заказчика, тоже набирают популярность. Например уже сейчас продаются услуги Threat Intelligence, в которую включаются отчеты о готовящихся кибератаках в отношении заказчика (компании или физического лица) или наличии в продаже конфиденциальной информации этого лица.

ДМИТРИЙ РОМАНОВ: Список можно условно разделить на 2 категории. Первая относится к обслуживанию физических лиц (например, цифровой археолог, чистильщик облака), вторая – к обслуживанию компаний (к примеру, IT-аудитор, этичный хакер). Профессии из второй категории уже в той или иной мере присутствуют, мы уже обрабатываем подобные запросы – на penetration testing, на cloud security. Просто в будущем это будет пользоваться более высоким спросом.

Уже сейчас есть определенный бум этичного хакинга, лично знаю несколько крутых примеров. Например, ориентированный на cyber security стартап HackerOne. Эдакий аккумулятор баг-хантеров (искателей уязвимостей), который служит им площадкой для связи с клиентами (этичные хакеры продают информацию о найденных уязвимостях владельцам приложений, где была найдена уязвимость). У стартапа огромные продажи и непрерывный интерес. Так что для личного развития я бы как раз рекомендовал сейчас рассматривать этичный хакинг и IT-аудит.

Считаете ли вы нужным пополнить этот список?

АЛЕКСАНДР ЛАТУШКО: Да, я бы выделил ещё должность хранителя/распорядителя данными. Разрозненные запросы на предоставление данных приводят к наличию в сети многократно продублированной информации, часто неактуальной, а еще забытой или утерянной владельцем. Наличие одного «сейфа» с данными с универсальным доступом к нему и без права копирования данных уменьшило бы риски кражи данных.

Конечно, актуальна будет и позиция исследователя – любая, даже самая современная система содержит уязвимости. А задача разработать инструмент для эксплуатации уязвимости будет возникать не хуже, чем задача конструирования вооружения в прошлом.

ДМИТРИЙ РОМАНОВ: Я бы выделил разработчика систем безопасности для критической инфраструктуры и индустриальных систем, IoT – большая часть инфраструктуры становится цифровой. Должна ли АЭС или умный город работать на Windows или какой-либо другой ОС? Приемлема ли вероятность взлома в 0,001%? Для пользователя вполне, но вероятность техногенного теракта, устроенного хакерами, неприемлема ни в каком процентном отношении.

И также OSINT специалист – разведывает информацию об информационных активах компании, находящихся в открытом доступе. Исследует различные утечки, биржи данных, google dorks.

Какие из современных IT-специальностей близки к указанным в списке больше всего? На кого стоит учиться сейчас и какие компетенции приобрести, чтобы иметь возможность в будущем быстро переквалифицироваться?

ДМИТРИЙ РОМАНОВ: Необходимый базис – знание языка программирования, можно скриптингового, без фреймворков. С этой основой расти будет легче, неважно в каком направлении. 

Также важно, чтобы человек понимал, что процессы безопасности не менее важны, чем технические процессы. Ярчайший пример: когда на проекте нет взлома, но проект не работает некоторое время из-за отключенного DNS. Причина – в банальном отсутствии настроенных уведомлений об окончании доменного имени. 

Не лишним будет самостоятельно попробовать penetration testing. Даже если не заниматься им напрямую и быть специалистом более широкого профиля, любой уважающий себя специалист по безопасности должен немножко разбираться, как исследовать систему, как это делают «белые» хакеры и злоумышленники. 

В плане стандартов я рекомендую начать с NIST 800 как со сборника лучших практик, нежели более высокоуровневой ISO серии 27000. 

Дополнительно рекомендую использовать другие веб-источники и онлайн курсы по Cloud Security (AWS, GCP, Azure) и тестированию на проникновение.

Все это позволит джуниору уверенно чувствовать себя на стартовом этапе.

АЛЕКСАНДР ЛАТУШКО: Первая мысль, конечно, о том, что у человека должно быть техническое образование. Но давайте посмотрим шире. В каждом продукте можно найти уязвимость. Если провести глубокое исследование, а не просто потратить час свободного времени, то можно копнуть вплоть до процессора, который выполняет задачи, и найти уязвимость там. 

Уязвимости могут быть в самом приложении, в операционной системе, в канале связи, на уровне языка, на котором написан код процессора… Кроме того проблема может быть и не в наличии уязвимости или недостатков разработки, а в правилах использования информации, логических правилах. И здесь специалисту по информационной безопасности уже важны не технические знания, а умение анализировать, искать причину и следствие, строить логические цепочки. Этим может заниматься человек не обязательно технического склада ума и имеющий техническое образование. Но изучение технических дисциплин останется. Ведь важно не только выявить проблему, но и грамотно ее разъяснить, донести до разработчика.

Когда я выпускался, специальностей по информационной безопасности вообще не было. Сейчас есть и специальности в университетах, и курсы, но они, к сожалению, оперируют довольно общими понятиями. Поэтому особенно актуально в этом направлении самообразование. Онлайн-обучение ценится не меньше, чем базовое образование. Компании, которые понимают, какой специалист им нужен, не в меньшей, а то и в большей степени обращают внимание на сертификации, которые перечислил Дмитрий. Возможности обучаться есть, их на самом деле очень много. 

Кстати, немалая часть Security Engineers – бывшие программисты. Когда они разрабатывают, начинают немного задумываться о том, как они пишут код, насколько он безопасен и как раз переходят на другие «рельсы».

По закону сохранения энергии, если где-то прибывает, то где-то должно убыть. Если что-то из нашего списка войдет в обиход, какие профессии уйдут на второй план?

АЛЕКСАНДР ЛАТУШКО: Сложно сказать, что исчезнет, просто потому, что очень много чего появляется, и пока нечего особо замещать т.к. места для «роста» предостаточно. Возможно, лишними станут аудиты, в которых проверяется соответствие бумажных требований. Сейчас большие компании вынуждены проходить независимые аудиты, чтобы получить некую бумажку, что они безопасны, но это не сильно отражает реальное положение дел по безопасности в компании. Скорее всего произойдет замещение таких аудитов техническими проверками с применением автоматических систем, может быть даже самообучающихся.

ДМИТРИЙ РОМАНОВ: Вопрос сложный. Конечно, paper security будет трансформироваться. На мой взгляд, в ближайшем тренде – что-то на стыке безопасности и автоматизации. Например, узкая специализация DevOps – DevSecOps.

Что еще? Встраивание различных инструментов в разработку – статическая и динамическая проверка кода, threat intelligence (автоматический сервис разведки внешних возможных уязвимостей компании) – вполне может вытеснять ручной труд, но полностью его заменить не сможет.

Что насчет географии? В каких странах будет востребованы такие специалисты?

АЛЕКСАНДР ЛАТУШКО: Наш рынок уже подготовлен и требования регуляторов давно установлены. Однако пока в Беларуси не так много компаний, которые заинтересованы в достаточном уровне небумажной, а настоящей технической, назовем это так, безопасности. Фактически в этом заинтересованы телекомы, финансовый сектор, страховые компании. Все остальные занимаются бумажной безопасностью, поэтому и спрос у нас пока относительно невысокий. За границей запрос на таких специалистов выше, но даже в Беларуси при невысокой востребованности со стороны промышленности специалистов не хватает. Зрелость компаний на самом деле растет, но не достигла максимума. Поэтому потребность в специалистах будет расти как у нас в стране, так и в мире.

ДМИТРИЙ РОМАНОВ: Мы, конечно, отстаем в этом плане, исключительно потому, что культура информационной безопасности за океаном выше. Наш основной клиент – стартапы, и по опыту вижу, что бОльшая часть стартапов вначале нацелена питчить и продавать, а уже потом решать другие вопросы. Как правило, запросы, связанные с информационной безопасностью, поступают от компаний, которые готовятся к продаже (покупатель хочет понять, в каком состоянии безопасность продукта) либо только приобретены (проверить, насколько безопасности уделялось внимание, нивелировать риски инвестора).

Какие возможности открывает сфера информационной безопасности в плане карьеры? И кому стоит обратить внимание на эту сферу в качестве поля для будущей профессиональной деятельности?

АЛЕКСАНДР ЛАТУШКО: Как уже отмечалось, область растет. А если это так, и у человека есть необходимые знания и навыки – то это хорошо оплачивается. Работа в информационной безопасности волей-неволей столкнет тебя с большим разнообразием IT и людей, связанных с IT. Придется общаться с разными проектными командами и погружаться в применяемые ими технологии, а, соответственно, впоследствии можно сформировать и свои предпочтения, выбрать направление, которое тебе больше нравится. Уже исходя из этого можно идти сюда.

Что может быть препятствием – отсутствие усидчивости и внимательности. Все аудиты, проверки, информационные выдачи систем защиты требует погружения. Отчего возникает уязвимость? Оттого, что где-то что-то недодумано. Чтобы найти корень проблемы, нужно иметь усидчивость и внимательность. Если их нет – глубоко погрузиться не получится.

ДМИТРИЙ РОМАНОВ: Я стараюсь принимать таких людей, у которых есть непосредственный интерес к информационной безопасности. Да, область растет, но можно сидеть и не развиваться. А если хочется достигнуть каких-то хороших показателей, нужно этим гореть. 

Инфобезопасность находится на стыке различных областей, поэтому неплохо знать Front-end, Back-end, DevOps. Большая доля задач – коммуникативная (объяснение, доведение начатого до конца, проджект-менеджмент, частично бизнес-анализ). Есть возможность найти что-то интересное, например, Security BA – бизнес-аналитик, который завязан на продуктах в сфере инфобезопасности. 

Желательно разбираться в Python, это язык №1 инфобезопасности, сосредоточить свое внимание на понимании penetration testing и работе с cloud сервисами (AWS, Google Cloud и др.) – это то, что пользуется большим спросом и безусловно пригодится на старте. Все остальные моменты можно подтянуть в процессе работы.

Хотелось бы, чтобы в эту профессию шли не ремесленники. Многие вещи лежат в плоскости культуры, и человек должен быть серьезным во всех аспектах, начиная от того, как он передает пароли коллегам, и заканчивая тем, как он несет культуру в массы – как объясняет best practice и т.п. Специалист по информационной безопасности – источник риск-менеджмента и security culture для остальных команд. Если вам это не близко, будете мучить себя и других...

АЛЕКСАНДР ЛАТУШКО: ...Или вас вытеснят те, у кого глаза горят. Как уже было сказано выше, порог входа может быть достаточно низким, когда нужно запускать стандартные security тесты, сделанные другими, но тебя быстро вытеснят, т.к. скоро такой функционал автоматизируется.