Будущее кибербезопасности: образование, стартапы, партнерства
Эксперт Innostage Кирилл Семенихин — о подготовке ИТ-специалистов, соответствии учебных программ вызовам, стоящим перед отраслью, и запросам рынка труда
30 лет опыта в ИТ-сфере. Ранее занимал пост регионального директора Microsoft в России и директора Университета Иннополис. Компетенции: запуск и развитие ИТ-проектов, управление бизнес-процессами
Как работодатели пытаются адаптировать вузовские ИТ и ИБ-программы под свои запросы и ожидания? Как проложить мост между фундаментальной наукой и реальным сектором экономики? Какая выживаемость у студенческих ИТ-стартапов? Ответы — в продолжении интервью с известным отраслевым экспертом — Кириллом Семенихиным, директором по операционному управлению бизнесом ИТ-компании Innostage. Первая часть беседы доступна по ссылке.
Кирилл, как проверить, насколько выпускник ИТ или ИБ-профиля подготовлен, к тому, чтобы уже завтра выйти на работу?
Существует специальная программа ассесмента. Более того, она включена в федеральный проект «Экономика данных» под эгидой Минцифры РФ. Так же есть ассесмент-программы при Министерстве образования и науки, контролирующие насколько качественно вузы учат специалистов по тем или иным направлениям. Инструмент хороший, но пока не может охватить всех выпускников. Ее применяют выборочно, чтобы измерить средний градус по больнице. В стране 700 вузов и 80 тысяч только преподавателей. А количество студентов — просто огромно. Проверка проводится в формате оффлайн-тестирования, что позволяет исключить читинг — использование шпаргалок или даже выполнение работы подставным лицом.
Насколько баллов из десяти вы бы оценили способность выпускников отражать хакерские угрозы? Этому учатся только на практике? Или можно баллов на шесть их подготовить в теории, а остальное добрать на практико-ориентированных программах?
Тут очень многое зависит от того, какая сама по себе атака, в какой стадии и откуда идет, а также какими техническими ресурсами обладает сотрудник. Потому что большинство уязвимостей, которые сейчас очень сложно купировать, они идут изнутри. Как правило, внешний периметр надежно закрыт. То есть это уже внутри компании надо копаться, находить и устранять «косяки». А иной раз и выявлять злой умысел, намеренное вредительство сотрудников. Такое, увы, тоже встречается.
Вы были по обе стороны Студенческого SOC: сперва как представитель вуза-участника, теперь — развиваете это направление в ИТ-компании Innostage, являющейся инициатором и организатором Студенческий SOC. Какие изменения вы видите после того, как студенты начали принимать участие в проекте? И что вы планируете в него привнести, став частью команды Innostage?
Ну, по другую сторону я нахожусь относительно недолго. Поэтому пока еще нужно погрузиться более предметно в детали. А с точки зрения Университет Иннополис могу подтвердить, что Студенческий SOC и кибербитвы, безусловно, дают дополнительные возможности. Во-первых, повышается привлекательность университета для абитуриентов, потому что таких площадок и таких центров немного. И, на мой взгляд, возможность получить профильное образование именно со специальностью — один из решающих факторов при выборе вуза. Во-вторых, вуз с точки зрения своего качества образования и разносторонности расширил свои горизонты и вышел на новую поляну, которая, безусловно, крайне актуальная и востребованная как со стороны студентов, так и работодателей.
В 2016-2017 годах, когда разрабатывались первые образовательные программы по инфобезу, собранные нами совместно с коллегами из Университета Карнеги-Меллон, ни у абитуриентов, ни у работодателей не было к ним интереса. Тогда наших студентов не очень охотно брали на работу, потому что про это никто там не понимал и не говорил. Но после того, как Владимир Владимирович начал активно внедрять экономику данных, цифровизацию всех сфер и новую нефть, и вообще ИТ стало одним из ключевых сквозных технологий в отраслях экономики, то информационная безопасность тоже подтянулась. Возросла активность хакеров, что дополнительно подстегнуло развитие кибербезопасности.
Следом и зарплаты выросли…
Согласен. Сейчас средняя зарплата выпускника Университета Иннополиса чуть меньше 300 тысяч рублей. Если Москву и Питер выдвинуть за скобки, потому что там рынки другие, то для регионов это очень высокая зарплата. А раз ее платят, значит, востребовано как образование, так и люди, которые его получили.
Лучшие выпускники Студенческого SOC участвуют в Всероссийская студенческая кибербитва. Как этот процесс выглядит с позиции вуза? Можно ли считать это условным госэкзаменом, определяющим готовность студента к работе? Не смотрели с этой стороны на кибербитвы?
Очень полезно любое обучение в соревновательном формате, будь то студенческая кибербитва, хакатон, чемпионат по робототехнике или CTF-турнир. Хорошие результаты, например, показала Олимпиада по программированию, которую в Татарстане впервые провели в прошлом году. Все соревнования, в которых задействованы талантливые ребята, всегда имеют созидательный социальный и практический эффект. Этих ребят мы потом либо в университет на развитие инновационных направлений берем, либо помогаем начать карьеру у технологических партнеров вуза.
Эксперты оценивают текущую нехватку ИБ-кадров примерно в 50 тысяч сотрудников. Какими технологиями, инструментами можно сократить этот разрыв или сделать его менее болезненным для сферы?
Хочется понять, какого уровня требуются специалисты и по какой методике подсчитано количество вакансий. Потому что это из серии «с начала 2022 года из России уехала 800 тысяч айтишников». Очень интересно, а как определили, что это именно ИТ-специалист пересек границу, если у нас в паспортах специальность не указана? Поэтому здесь вопрос в том, как считать и есть ли опубликованные вакансии именно в таком количестве. Мне кажется, цифра по дефициту хороших ИБ-специалистов сильно завышена, а именно «спецназовцев», которые могут решать особо важные задачи, в стране не хватает примерно 5 тысяч. Вот в эту цифру нам и надо целиться.
Тезис про нехватку 50 тысяч и более ИБ-специалистов фигурирует в разных экспертных источниках. Вероятно, в статистике учтены и кадры для бюджетных организаций. Ведь по нормативам киберзащитник должен быть в штате каждого государственного объекта КИИ, включая больницы, поликлиники и так далее…
В таких вакансиях часто прописаны завышенные требования к кандидатам при зарплате ниже рынка. Устанавливают планку для кандидатов на уровне высшего образования, хотя по функциональным обязанностям здесь достаточно колледжа. Это перекос российского рынка труда: огромное количество гвоздей забивается микроскопами, то есть высококлассных специалистов заставляют заниматься менее квалифицированными задачами. Чтобы устранить дисбаланс, надо активно развивать среднее профессиональное образование. Надо усиливать это звено с прицелом не только на рабочие, но и ИТ-специальности. К сожалению, пока ИТ-колледжи в стране можно по пальцам пересчитать.
В Университете Иннополис вы готовили ИБ-практиков или специалистов, которые должны следить преимущественно за бумажной стороной кибербезопасности: наличием политик, их применением, актуализацией и т.д.?
И тех, и других. В Университет Иннополис дают базовое высшее образование степеней бакалавриата и магистратуры, а также готовят, можно сказать, студентов-спецназовцев из абитуриентов с очень высоким средним баллом ЕГЭ.
А вот блоки программы дополнительного профессионального образования (ДПО) — своего рода модульная система, где учащийся может сам выбрать, какие образовательные направления, курсы и практики ему нужны. В случае целевых наборов из этих модулей-кубиков строилась образовательная программа индивидуально под компанию-заказчика.
Насколько популярны модули по ИБ?
Их пока не так много и, скорее всего, будут появляться новые. В целом уровень образования по информационной безопасности в стране пока недостаточно высокий. И за свою задачу как сотрудника компании Innostage вижу в том, чтобы его евангилизировать и популяризировать. Для этих целей мы развиваем собственную Академию информационной безопасности, и в партнерстве с ведущими вендорами и профильными вузами мы эту задачу будем решать.
Использование каких современных технологий и методов обучения помогает повысить эффективность образовательных программ?
Здесь должна быть тесная связка фундаментальной науки и реального сектора экономики как для обмена опытом и формирования образовательных программ, так с точки зрения фидбэка — тому ли вообще учат. Тогда университет будет учить тому, что востребовано на рынке. Он получит экспертов и получит матчасть, которой ему зачастую не хватает. И, собственно, сможет свои образовательные программы модернизировать под то, что реально на рынке происходит или то, что актуально сейчас. Вот эта связка, на мой взгляд, самая эффективная. Сюда же прикладывается практика, курсовая, дипломная на основе реальных работ на производстве. Или даже диплом, как стартап. Мы такое практиковали в Иннополисе: студенты создают свою компанию и защищают этот проект, как дипломную работу.
А вы отслеживали судьбу этих стартапов? Какая выживаемость?
По-разному бывает, на самом деле. Сложно вывести закономерность, что вот из стольки-то стартапов столько-то выживет. Были и такие учебные годы, когда выживали практически все студенческие бизнес-проекты. Просто зависит от того, какой объем денег они заработают. К примеру, Наши студенты основали компанию-единорога, которой мы до сих пор гордимся — KazanExpress (сейчас Магнит Маркет). А были и обычные стартапы, которые пока не заработали миллионы долларов, но они продолжают работать и развиваться.
На этом завершаем вторую часть интервью с экспертом ИТ-компании Innostage Кириллом Семенихиным. Треть из почти 30-летнего стажа в сфере ИТ он посвятил развитию Университета Иннополис — кузницы кадров по программированию, робототехнике, кибербезопасности и другим направлениям.
Есть ли принципиальное отличие в ИТ-программах ведущих российских и международных вузов? Как часто надо обновлять учебную программу в университете? Как учить кибербезопасности школьников, студентов и руководителей компаний? Ответы — в первой и третьей части беседы с экспертом.