Шрамы на теме обучения по ИБ: взгляд эксперта

Участник дискуссии AM Live «Образование и обучение: как решить кадровый вопрос в информационной безопасности?» делится мыслями и идеями, которые не попали в эфир. Что не так с отраслью образования, почему все вроде бы при деле, но тема не взлетает? Что надо поменять, какие приложить усилия, чтобы утолить кадровый голод в ИБ?

1. Введение
2. Смещение парадигмы ИБ
3. Развитие практико-ориентированного подхода в образовании
4. Система повышения квалификации может работать эффективнее
5. Основные точки приложения усилий
6. Выводы

Введение

Недавний прямой эфир на АМ Live был посвящён одной из главных проблем современного рынка информационной безопасности в России — кадровому голоду. Если пропустили — посмотрите видео или отчётную статью. Вопросов было много и у участников встречи были самые разные (порой прямо противоположные) взгляды и ответы на них. Где получить хорошее базовое образование по информационной безопасности? Существуют ли в России образовательные стандарты по кибербезопасности? Есть ли замена международным сертификационным программам CISSP, CISA, CISM? Как стать настоящим CISO: кто учит менеджеров и директоров по информационной безопасности? Какие главные тенденции будут заметны на рынке обучения ИБ в России в ближайшие несколько лет? Часть важных тем по понятным причинам (эфир-то не резиновый) осталась за кадром, и мне как человеку непосредственно отвечающему за развитие направления обучения в компании F.A.C.C.T. захотелось поделиться своим видением того, что не так с отраслью образования и как это можно исправить.

Смещение парадигмы ИБ

Общая боль для отрасли, затрагивающая и тему образования, — разрыв между старой «бумажной» парадигмой ИБ («подготовиться к кибератакам на бумаге») и современной парадигмой «предотвратить, своевременно выявить и правильно отреагировать». Изменение ландшафта угроз, рост утечек данных, появление новых типов атак — это то, что мы наблюдаем за последнее десятилетие. Последние два года к тому же характеризуются сменой мотивации злоумышленников: доля финансово мотивированных атак снижается, при этом растёт доля прогосударственных атакующих. Налицо политизация киберпространства, что требует от отрасли изменений в подходах к построению ИБ в целом и к подготовке специалистов, готовых действовать в изменившейся ситуации, в частности.

Современная система высшего и среднего образования выстроена вокруг концепции создания «защитных редутов» — комплекса организационных мер и технических средств для обеспечения пресловутой «триады КДЦ»: конфиденциальности, целостности и доступности.

При этом отрасли не меньше требуются специалисты-практики, владеющие современными инструментами, готовые в любой день и час предпринимать практические шаги в условиях развивающегося инцидента с шифровальщиком-вымогателем.

По факту, решать задачи специалисту приходится в рамках исторически сложившихся в организации бизнес-процессов и пользуясь ранее внедрёнными средствами, а эти редуты не очень подходят для борьбы с атакующими, которые вооружены самыми новыми технологиями.

Ниже на слайде из презентации «Проблемы подготовки специалистов по информационной безопасности в Российской Федерации» В. П. Лось, директор ЦПК ИБ РТУ МИРЭА, президент АЗИ, доктор военных наук, профессор, и Е. Б. Белов, заместитель председателя ФУМО ВО ИБ, председатель ФУМО СПО ИБ, приводят показательные цифры роста потребности в специалистах в диапазоне последних семи лет.

Рисунок 1. Показатели роста потребности в специалистах (ЦПК ИБ РТУ МИРЭА, ФУМО ИБ)

Рискну предположить, что взрывной рост обусловлен не только требованиями указа № 250 по наличию специалистов ответственных за ИБ на предприятиях критической инфраструктуры, но и реальной потребностью организаций в кадрах, обусловленной беспрецедентным ростом кибератак в последние два-три года.

Развитие практико-ориентированного подхода в образовании

Изменение парадигмы обеспечения ИБ требует изменения подходов к подготовке специалистов, и этот процесс должен затронуть всех участников, вовлечённых в образовательные процессы. Не буду муссировать старый тезис «система образования не успевает за изменениями». ФГОСы и профстандарты развиваются и меняются с той скоростью, с которой это возможно в реалиях страны. Большую роль в этом процессе играют и ФУМО, и вузы, и учебные центры из отрасли, дающие реальные практические знания. Но дефицит кадров в отрасли продолжает расти — что, кстати, вызывает особое удивление на фоне существования на момент написания статьи 216 (!) организаций, имеющих программы согласованные со ФСТЭК России.

Можно констатировать, что в современных реалиях назрела решительная необходимость «накатить пакет обновлений» на систему подготовки специалистов, прежде всего в части содержания образовательных программ, а также методики подготовки специалистов. Необходимо устранить разрыв между «теоретической» системой подготовки и насущной потребностью в «практиках», идущей из глубин отрасли. Другими словами, речь — об актуализации подходов к построению ИБ, переводе образования в ИБ на практические рельсы, а также активном движении в сторону учёта реальных нужд отрасли.

Вот лишь один пример. Специалист, получивший образование по направлению «Информационная безопасность телекоммуникационных систем», безусловно, хорош в обеспечении безопасности средств связи, но будет испытывать определённые трудности в инциденте с шифровальщиком. Для отражения атаки, которая началась с письма, прилетевшего по каналам связи, развивается в сложной ИТ-инфраструктуре и затрагивает системы промышленной безопасности, нужны специалисты как минимум трёх-четырёх профильных специальностей из перечня направлений подготовки. К сожалению, таких ресурсов у большинства организаций сегодня нет по вполне понятным причинам. И здесь на помощь могли бы прийти программы переподготовки практикующих специалистов силами компаний из отрасли, занимающихся практической безопасностью.

Данные опроса зрителей AM Live наглядно подтверждают эту потребность рынка. 89 % опрошенных говорят о наличии разрыва между спросом и предложением в области повышения квалификации сотрудников.

Рисунок 2. Есть ли в вашей организации потребность в повышении квалификации сотрудников в области ИБ?

Система повышения квалификации может работать эффективнее

При беглом взгляде на ситуацию с дополнительным образованием и переподготовкой кажется, что проблем быть не должно. Специалисту, нуждающемуся в повышении квалификации, доступны несколько путей: переподготовка на базе вузов, отраслевые многопрофильные учебные центры, учебные центры вендоров. В конце концов, есть массовое предложение «электронного образования» на интернет-ресурсах. Казалось бы, встань и иди, все пути открыты, вот он, твой океан возможностей. Но 89 % не идут в 216 организаций (см. выше), а заявляют о нереализованной потребности. В чём дело?

На мой взгляд, система «прокачки скилов» специалистов по ИБ через механизмы государственной системы высшего и среднего образования в нашей отрасли только начинает формироваться. Да, существует общепринятая система ДО и ДПО, выросшая из академической среды, но она далека от практики. В отрасли есть понимание важности обучения специалистов и есть практический опыт, но не хватает методического фундамента, ресурсов для создания и поддержания в актуальном состоянии учебных материалов. Есть компании EdTech, предлагающие курсы «с нуля до мидла», но есть масса вопросов к качеству такого обучения. Наконец, есть огромные усилия регуляторов, создавших уникальную базу методических материалов, которые могут стать надёжным фундаментом для развития образовательного контента, отвечающего нуждам отрасли, в системе ДО и ДПО. Но налицо разное понимание целей, задач и инструментов реализации при построении отраслевой системы подготовки кадров.

Вузы живут в своём мире ФГОСов, профстандартов и контрольных цифр приёма. Профессиональные компании из отрасли — по уши в насущных проблемах разработки средств защиты, внедрения систем ИБ и реагирования на инциденты. Регуляторы фокусируются на формировании и контроле исполнения обязательных требований. EdTech-компании играют большую роль в популяризации темы образования в ИБ и в поиске новых путей реализации формирующейся системы ДО / ДПО в отрасли. Все вроде при делах, но тема «не взлетает».

Основные точки приложения усилий

Полагаю, основные шаги сегодня должны быть направлены на устранение разрыва между точками приложения усилий, на гармонизацию действий основных игроков образовательной поляны.

Здесь хочется повторить прозвучавшие на эфире тезисы, касающиеся отношений между вузами и отраслевыми компаниями, сделав некоторые дополнения и расширив границы темы.

1. Восстановление реальной связи профильных кафедр с компаниями, работающими на рынке. Речь идёт не столько о создании «представительств» компаний в вузах или о «спонсорских» лабораторных стендах, сколько о переводе отношений в практическое русло. В образовательных учреждениях должны возрождаться живые, непосредственные контакты студентов со специалистами из отрасли как в рамках лекций, так и (особенно!) при проведении лабораторных и практических занятий. Этим всегда славилась отечественная система образования, и этот опыт не должен быть утерян.
2. Необходимо развивать систему практик и стажировок. Да, это дополнительная нагрузка на коммерческие компании. Да, требуется выделение дополнительных ресурсов. Да, компании отрасли нуждаются в помощи образовательных учреждений при разработке эффективных программ стажировки. Но это те усилия, которые окупаются сторицей, и в выигрыше оказывается каждая из трёх сторон такого взаимодействия.
3. Устранение бюрократических препон, оптимизация процессов оформления отношений между сторонами взаимодействия. Не секрет, что оформить отношения с вузом для человека из отрасли — не самая тривиальная задача, не говоря об адекватной финансовой компенсации затраченных усилий. Не так-то просто согласовать договоры, в рамках которых проходят стажировки, масса вопросов возникает при заключении соглашений о неразглашении (NDA). В этом направлении, пожалуй, только практика взаимодействия позволит шаг за шагом оптимизировать процессы и находить удобные решения. И очень хочется надеяться, что правовая база будет становиться более дружественной ко всем участникам процесса.
4. Коллаборация между компаниями из отрасли. Сейчас это редкость, но именно такое сотрудничество имеет очень высокий потенциал для роста направления обучения. Существующие так называемые «вендорские» курсы ориентированы на собственные продукты и формируют нишу «операторов СЗИ», решая, по сути, те задачи, которые стоят перед средним образованием. Запрос на универсального, хорошо подготовленного специалиста, который ничуть не меньше (а то и больше) нужен отрасли, может быть реализован через «вендоронезависимые» программы обучения. Объединение компетенций компаний, работающих в разных, но смежных областях, позволит создавать образовательные программы, которые максимально отвечают запросам отрасли. Если при этом регуляторы проявят гибкость и поддержат создание таких программ, если вузы помогут методически, то появление таких курсов просто «взорвёт» рынок образования.
5. На мой взгляд, требуется уделить больше внимания организациям из сферы EdTech. Здесь речь идёт не только и не столько о качестве образования. Прежде всего, хочется надеяться на широкое распространение практики онлайн-обучения. Удалённая работа вошла в повседневную практику многих организаций, и перевод обучения в онлайн — просто вопрос времени. Пионерский опыт, уже имеющийся у тех компаний, которые изначально работают онлайн, будет бесценен для отрасли, позволит значительно расширить охват и каналы доставки образовательного контента, что также поможет решать проблемы дефицита кадров.

Выводы

В заключение хочется ещё раз поблагодарить Илью Шабанова за то, что дал мощный импульс теме, проведя этот эфир, свёл неравнодушных людей и позволил завязаться новым отношениям. Отдельное спасибо за то, что заставил мозги шевелиться и генерировать новые идеи.

В статье сделан фокус на сегодняшнюю ситуацию, но не стоит забывать, что система образования — это не про закрытие потребностей вчерашнего и сегодняшнего дня, а про подготовку таких специалистов, кто способен успешно решать перспективные задачи, которые принесёт завтрашний день.

Три основных, самых важных пункта, которые хотел бы выделить, резюмируя изложенные в статье мысли:

1. Действовать с учётом актуального ландшафта угроз и современных технологий противодействия. В каждом учебном центре должны быть программы, которые погружают слушателей не в виртуальную, а в самую объективную реальность, данную нам в ощущениях, причём во всём многообразии угроз и рисков, а не только вокруг «своего» продукта.
2. Фокус на практике. Не отрицая важности теоретических знаний, ещё раз подчеркну: теория должна быть непременно приложена к реальной ситуации, выпускники программ ДПО просто обязаны уметь применять полученные знания в сложившемся ландшафте угроз, используя существующие меры и имеющиеся средства.
3. Взаимодействие между всеми участниками процесса — не только между вузами и отраслевыми учебными центрами, не только между регуляторами и компаниями, защищающими свою информацию в соответствии с требованиями. Хочется, чтобы каждая сторона сделала шаг навстречу другим, и хочется увидеть ответный встречный шаг всех других участников процесса.

И о шрамах. Сегодня при обсуждении темы образования в ИБ мы видим множество болезненных разрывов. Нет сомнений, что совместными усилиями мы их нивелируем и в отрасли появится здоровый, реально функционирующий механизм образования в ИБ. Но шрамы останутся, и пусть они напоминают о проблемах, решаемых сегодня людьми, которым не всё равно.