«Вообще, я окончил МИРЭА по информационной безопасности. Но от этого безопасником не стал. То, чему нас учили в институте, было насквозь неинтересно».Под катом пост про то, как вузы меняют ситуацию и что из этого выходит.
Уже давненько в интервью чиновников и специалистов разной степени важности в контексте темы ИБ проскакивает тема о дефиците кадров в отрасли. Недоволен и замначальника Главного управления безопасности и защиты информации ЦБ Артем Сычев, и полномочный представитель президента в ПФО Михаил Бабич, который на встрече с секретарем Совбеза РФ Николаем Патрушевым, рассказывал о проблемах с кадрами в ИБ-сфере:
«В региональных органах исполнительной власти и органах местного самоуправления защиту информации обеспечивают 1672 специалиста, из них лишь 26% предусмотрены штатным расписанием, и только 6% имеют профильное образование. Кроме того, для большинства государственных информационных систем в 2014-2015 годах мероприятия по их созданию, модернизации и эксплуатации профинансированы немногим более чем на 50% от запланированных средств, а финансирование защиты информации проводится по остаточному принципу».
Получается, рынок испытывает серьёзный дефицит ИБ-специалистов, а не тех… Видимо дальше многие учебные заведения читать не стали. Действительно, а зачем? «Информационная безопасность» – это модно, поэтому достаточно открыть направление\кафедру и поток абитуриентов гарантирован. Результат предсказуем и описывается упомянутым выше господином Сычёвым. На рынок хлынул поток тех, «то из всей информационной безопасности знает только, что она есть».
Всё-таки надо было дочитать вузам фразу до конца, ведь полностью выглядит она так: рынок испытывает серьёзный дефицит ИБ-специалистов, именно специалистов, а не тех, кто попал в отрасль случайно. А это уже гораздо более серьёзная задача, предполагающая огромный пласт работы для учебных заведений! Есть ли у них вообще шанс на успех?
Кирилл Ермаков в интервью делился своим опытом:
«То, чему нас учили в институте, было насквозь неинтересно. Какой-то ISO, 152-ФЗ, PCI DSS, казалось бесполезной чушью. Только спустя много лет я понял, что все эти документы написаны кровью и взломами. В инсте дают базу, которая позволяет строить как-то enterprise security, понимать, как это все должно работать. Этому всему учат в институте, но не объясняют, зачем это нужно. Работая обычным пентестером-одиночкой или безопасником у себя в компании, ты тоже не понимаешь, зачем это все нужно. Образование пытается привить тебе системный подход, без объяснения, где и как ты его будешь применять».
Но такая ситуация не столько вина вуза, сколько результат обстоятельств. У образовательного учреждения, по сути, немного вариантов:
1. Учить своими силами. В таком случае, обучение происходит обычно на уровне теории, практика чаще всего недоступна студентам. Ведь всё упирается в инициативность преподавателя. Преподаватель бегает по конференциям\семинарам\выставкам. Преподаватель выходит на контакт с вендорами, договаривается о передаче софта, добывает материалы. Преподаватель выбивает лабораторию, придумывает, как всё поставить и т.д. Не слишком ли много «Преподавателя» в этой цепочке? Неоплачиваемым энтузиазмом семью не накормишь. Поэтому зачастую в вузах рассказывают «фундаментальное» (то, что преподаватель читает уже 10 лет и будет без изменений читать ещё 10): про основы криптографии, шифры и пр. Однако, если быть честным, мало кому нужен специалист-теоретик. Бизнесу требуются практики, готовые к реалиям и будням ИБ-службы.
2. Нанять практикующего «безопасника» какой-либо компании. Оставим в стороне вопрос, «за чей счёт этот банкет». Скорее всего не обошлось без альтруизма. Опытный специалист преподает студентам то, что знает сам. От такого обучения, разумеется, больше пользы для студентов, но есть и один минус – практикующий специалист вряд ли хорошо знаком с решениями, с которыми ему не приходится сталкиваться в работе. Кроме того, быть хорошим безопасником – не значит быть хорошим преподавателем. Далеко не каждый может связно и в доступной форме рассказать материал, заинтересовать студентов. Практикующий безопасник часто ограничен рамками собственного опыта, а для изучения чего-то нового не всегда есть время и желание.
3. Партнёрство с производителями. В идеале, партнёрство с различными вендорами должно давать как раз-таки полный спектр знаний по ИБ. Производитель продукта знает состояние отрасли, а также все нюансы применения своих решений. Да и про конкурентов рассказать может (степень объективности такого рассказа зависит от моральных принципов преподавателя). Однако не всякое решение на рынке имеет учебную базу. Стоит признать, что сотрудничество с вузами для компаний – скорее статья расходов. А вкладываться и нести расходы в этом направлении способен и хочет далеко не каждый производитель.
Чаще всего вендоры предлагают такую схему: бесплатно предоставляют свой продукт учебному заведению, может ещё дают документацию к нему, а дальше вуз, если захочет, самостоятельно решает, что и как рассказать студентам. Таким образом, основная нагрузка ложится на преподавателей, и только большие энтузиасты берутся за нее.
Подход, практикуемый в нашей компании я уже описывал. Секрет успеха прост – все узкие места, на которых может забуксовать вуз мы взяли на себя. Учебный центр разрабатывает программу, все материалы, лабораторные работы, готовит виртуальную машину, на которой будут проводиться практические занятия. Вуз не остается предоставлен самому себе – обучение на местах, а также вебинары, проводят специалисты компании. Но это не обычные специалисты. У нас, помимо знаний в ИБ, есть профильное педагогическое образование.
Позавчера, 5 июля, завершилась учебная практика для студентов ЛЭТИ. За пару месяцев до этого дня, мы совместно с профильной кафедрой вуза обсудили тему для практики, которую представили студентам на очных занятиях. Решили сфокусироваться на человеческом факторе в информационной безопасности. В рамках практического курса я затрагивал такие темы, как «Психология и угрозы информационной безопасности», «Человеческий фактор и его влияние на деятельность организации», «Техники социальной инженерии и способы защиты от социальной инженерии», «Практическое использование DLP-системы в разрезе человеческого фактора» и многое другое. Завершился курс тестированием навыков решения обозначенных задач с помощью DLP-систем (ну а куда ж без них).
По итогам практики я попросил Александра Кимовича Племянникова (заместитель заведующего кафедрой «Информационная безопасность») дать оценку этому проекту. Его ответ:
«Во-первых, хочу отметить сбалансированность занятий: лекционных, практических и контролирующих. Теория отрабатывается в практических занятиях и обязательно контролируется тестами. Во-вторых, студенты имеют доступ к обучающей платформе, где сосредоточены все необходимые учебно-методические материалы и задания для контроля знаний. В-третьих, учащиеся могут выполнять задания удаленно, с использованием личных технических средств.
Живое общение с профессионалами намного эффективнее прочтения интернет-публикаций. Мгновенная обратная связь, примеры из практики – это то, что ожидают обучаемые. Практические задания хорошо продуманы и максимально приближены к реалиям. Это мотивирует студентов к поиску правильных решений из соображений профпригодности, а не за оценку в зачетке.
Наша кафедра сотрудничает с SearchInform на протяжении трёх лет и в этой области мы не планируем менять партнера. Что же касается других областей, то поиск ведется, однако пока нет предложений от участников рынка со сравнимым качеством организации обучения. Тем не менее, мы готовы к диалогу».
Как видите, проблема с подготовкой специалистов в сфере ИБ вполне решаема. Производители могут закрыть эту образовательную «брешь», если перейдут от громких заявлений о светлом будущем к реальным действиям. Под ними я понимаю заинтересованность в качественной подаче материала, разработку нормальных учебно-методических комплексов, посещение вузов представителями компаний не для рекламных, а в учебных целях.
Комментарии (4)
Alesso
07.07.2016 15:15+3Будущее за обучением на предприятиях или Корпоративными университетами. Такой Университет есть у крупных компаний и, например, у Сбербанка. На базе таких образовательных учреждений можно научиться. В ВУЗе Вы получаете только фундаментальные знания — т.е. теорию.
amy-w
07.07.2016 21:23А если учесть еще тот факт, что во главе некоторых ИБшных кафедр стоят бывшие военные, это эта теория не меняется в программе уже лет так 20 (и еще *дцать не поменяется).
Закончила такую кафедру, и кроме пресловутого ПЭМИНа никто ничего не рассказывал — «сиди с анализатором спектра и мерь того, что нет». Про те же DLP узнали пару лет назад, завкаф не особо радовался уклону именно в компьютерную безопасность и постарался это дело быстренько свернуть.
Как итог: хочешь иметь образование — учись сам.
script88
С 16 года специальность «Организация и технология защиты информации» выпилили практически со всех вузов.
П.С. Товарищ майор хочет все контролировать.
3fed
у нас в городе(Беларусь) в единственном ВУЗе есть специальность «Информационная безопасность», но проходной балл ниже среднего по «больнице» IT-специальностей. Насколько помню, в предыдущих годах балл был выше, но все равно не особо высоким. Это как-то вызывает недоверие.