Привет!
30 ноября отмечается Международный день защиты информации. Наверное, это хороший повод рассказать об одной из самых закрытых служб любой финансовой структуры. Сразу предупредим: вряд ли откроем Америку тем, кто уже работает в этой сфере. А вот тем, кто с ней ещё незнаком, вполне может быть интересно.
Для начала – чуть-чуть цифр
90% всех мошеннических действий сейчас совершается в киберпространстве.
3 млн незакрытых вакансий в сфере кибербезопасности – столько мы насчитали во всём мире в прошлом ноябре. В этом году не сводили статистику, но что-то подсказывает, что ситуация скорее усугубилась, чем наладилась.
Странное несоответствие, казалось бы? Мошенники уходят в онлайн, а безопасники как будто бы не торопятся туда, где любая компания ждёт их с распростёртыми объятиями.
По опыту можем сказать так: этот разрыв и правда есть. Потребность рынка в специалистах по кибербезопасности существенно выше, чем число людей, которые могут её закрыть. Собственно, поэтому сейчас кибербезопасность – одна из самых перспективных IT-специализаций.
Кто такой специалист по кибербезопасности и что он должен знать?
Сложности начинаются уже здесь. Если говорить коротко, специалист по безопасности – это тот, кто очень хорошо разбирается в технологиях и людях. Стеки технологий здесь не будем указывать, они сильно разнятся от направления к направлению. В целом специалисту по безопасности нужны базовые знания и навыки в следующих сферах:
разработка и тестирование. Безопаснику, который работает в команде разработки, предстоит находить ошибки и исправлять их. Не все ошибки, разумеется, а того характера, которые влияют на устойчивость системы;
построение архитектуры. Специалист по кибербезопасности – один из тех, кто выдвигает требования к архитектуре будущего продукта и следит за их выполнением;
управление рисками. Мало просто знать IT, нужно понимать, какие риски будут возникать при использовании конкретной технологии конечным потребителем;
психология. Далеко не всегда люди обращаются с данными так, как хотелось бы безопаснику. Более того – люди разные. По культуре, образованию, да банально – по возрасту. Нужно не только знать типичное поведение разных групп клиентов, но и суметь предугадать их поведение в определённой ситуации. Речь идёт как о внешних клиентах, так и о внутренних, то есть о сотрудниках. А ещё этих людей нужно убедить обращаться со своими данным в соответствии с требуемым уровнем безопасности;
правовая база. О какой именно базе идёт речь – зависит от специализации. Например, тем, кто борется с интернет-фишингом, нужно знать, в каком случае и как можно принудительно закрыть мошеннический сайт.
Кибербезопасник – это и айтишник, и разработчик, и тестировщик, и риск-менеджер, и психолог, и юрист, и человек, который может рассказать понятным языком о каждой из этих областей знания. Это определение содержит значительную часть ответа на вопрос «Почему таких специалистов остро не хватает?» Потому что найти человека, который разбирается во всём этом, очень сложно.
Чем занимается специалист по кибербезопасности?
Исходя из предыдущего раздела – чем только не занимается. Однако попробуем структурировать его работу, используя примеры наших специалистов. Понятно, что всё перечисленное ниже – не про сотрудника на одной позиции. Специфика работы в кибербезопасности зависит от структуры. Где-то будет больше работы с кодом и архитектурой, где-то с тестированием, где-то вообще с документацией.
Участвует в разработке продуктов
Эксперт по кибербезопасности входит в каждую продуктовую команду. Понятно, что продукты делают люди, а людям свойственно совершать ошибки. Задача эксперта эти ошибки находить и учить людей, чтобы они как минимум не повторялись. Безопасник практически живёт в команде разработки, без его участия не происходит ни один этап – от планирования архитектуры до релиза.
Специалист формулирует требования, контролирует их исполнение, анализирует риски, проходит приёмо-сдаточные испытания, анализирует код и помогает исправить баги. Так каждый наш продукт становится безопасным. Не на 100% (таких не бывает), но на максимально близкое к этому значение.
Участвует в тестировании
Есть внешние и внутренние тестирования.
Внутренние – своего рода «казаки-разбойники» для команды. Есть «злоумышленники», которые, зная внутренности системы, пытаются её взломать, и есть «безопасники», которым нужно сохранить систему в целости и вычислить хакера. И это не только про поиск слабых мест, но ещё и про тренировку команды.
Есть также практика, когда не сама команда разработки делится на «красных» и «синих», а приглашается сторонняя организация. Её специалисты пытаются проникнуть внутрь системы. У нас такой организацией является BI.ZONE – дочерняя компания Сбера. С её помощью легко понять, насколько защищён внешний периметр любого сервиса и отдельной структуры бизнеса.
В большинстве случаев о таких тестированиях заранее известно. И тестировщики, что логично, никогда не доходят до конца. Они находят уязвимость и показывают её – на этом тестирование заканчивается.
Борется с фишингом
В период пандемии Россия вышла на первое место в мире по размещению фишинговых ресурсов и вредоносным рассылкам. За первые шесть месяцев 2021 года предотвращено более 36 млн попыток перехода российских пользователей на различные фишинговые сайты, из них более 300 тысяч попыток перехода пользователей на страницы, мимикрирующие под наиболее крупные финансовые организации.
С этими сайтами идёт работа, в том числе по разделегированию доменных имён. Кстати, фишинговыми ресурсами в том числе занимается BI.ZONE. Однако сколько бы мы ни старались, работа не прекращается: мы закрываем сайты, мошенники создают новые.
Отдельная история – мошенничество по телефону. За первое полугодие 2021-го 57% россиян получали звонки от телефонных мошенников. Каждый десятый россиянин понёс финансовый ущерб. Бороться с телефонным мошенничеством крайне сложно, и ключевая часть работы – обучение клиентов.
Учит сотрудников и клиентов
Часть нашей работы – постоянная тренировка всех сотрудников, чтобы они умели соблюдать кибергигиену. Например, распознавать фишинговые письма. Мы моделируем действия мошенников, например отправляем рассылку с «подпиской» на онлайн-кинотеатр или «промоакцией» от «СберБанк Авиа». Сотрудники банка получают это письмо, а мы наблюдаем за их реакцией.
И понятно, что перед тестированием нужно научить – проверяется не просто общая адекватность, а ещё и применение конкретных правил. Чтобы они проще укладывались в головах, мы придумали специальную программу – «Агент кибербезопасности». По сути, это игра, которая создана на базе правил кибербезопасности. Показательно, что до её внедрения 80% сотрудников открывали фишинговое письмо. Сейчас же таких всего несколько процентов, в основном это новички.
Учить также нужно и внешних клиентов. Есть блок «Безопасность» на нашем сайте, обучающий раздел и канал в мобильном приложении СберБанк Онлайн, посты и активности в соцсетях, публикации в СМИ и многое другое. Во всём этом также участвуют специалисты по кибербезопасности – они готовят контент, проверяют его, а иногда и напрямую общаются с клиентами.
Защищает от внутренних угроз
Бывает и так, что мошенником действительно является сотрудник банка. Никто не застрахован от внутреннего нарушителя.
Поэтому отдельный набор технологий направлен на то, чтобы предотвращать действия таких людей, выявлять их и снижать потенциальный ущерб от их действий. Здесь есть контроль за обращением с данными, контроль сотрудников с привилегированным доступом к информационным системам и ещё ряд мер.
Как понять, что специалист может рассчитывать на трудоустройство в кибербезопасности?
По опыту найма можем сказать, что ценность специалиста по кибербезопасности определяется четырьмя факторами. В порядке убывания важности это:
Опыт.
Экспертиза.
Знания.
Кругозор.
Большинству кандидатов не хватает как раз экспертизы и опыта. В основном по этой причине от собеседования до приёма на работу доходит только 5% кандидатов. Можем дать несколько рекомендаций тем, кто захочет попробовать себя в этой сфере.
В первую очередь ответьте для себя на вопрос «В чём я эксперт?» При этом помните, о чём мы писали в первом разделе насчёт того, кто такой специалист по кибербезопасности. Может быть, у вас нет серьёзного опыта в разработке и тестировании, но есть опыт в управлении рисками? Это тоже вариант, не стесняйтесь о нём рассказывать.
Второй важный момент: как уже говорилось выше, позиции в кибербезопасности – разные по функционалу. Мы ожидаем, что кандидаты сами скажут, что именно им было бы интересно, и при этом смогут показать и описать то, что сделано их головой и руками. Может быть, в итоге вы окажетесь неподходящим кандидатом на текущую позицию, зато через неделю откроется другая, как раз оптимальная.
Третий момент – это знание технологий, в особенности тех, что доступны клиентам Сбера хотя бы на уровне пользователя. Согласитесь, странно идти развивать безопасность продуктов, о которых нет даже базового представления.
И четвёртое: мы пристально смотрим на умение думать и говорить. Это, кстати, становится характерным требованием для подавляющего большинства позиций в кибербезопасности. По крайней мере для тех, кто хочет вырасти старше джуниора.
Как стать таким специалистом?
Можно поступить в вуз, можно научиться самому – у нас есть разные примеры специалистов. Если смотрите в этом направлении, то ваши ориентиры: профессиональная сертификация и много самообучения.
Кстати, в мире есть понимание, что русская школа программирования и разработки специальных технических средств защиты информации достаточно сильная. И за нашими экспертами в этой сфере идёт определённая охота.
В завершение
Если вы смотрите в сторону кибербезопасности как сферы своей деятельности – учитесь и отсыпайтесь. Учиться вам предстоит всю жизнь и после того, как вы войдёте в эту сферу. А вот отсыпаться будет уже некогда. Враг не дремлет :)
