03/09/2018

На научно-практической конференции «Комплексная защита информации» активно обсуждался вопрос образования и подготовки кадров в сфере ИБ. Неподдельный интерес участников вызвал доклад «Международный и отечественный опыт образования в сфере информационной безопасности», прочитанный в рамках «Школы молодых ученых» директором Фонда содействия развитию безопасных информационных технологий (ФСРБИТ) Артемом Зубковым. В докладе исчерпывающе представлена картина базовой подготовки кадров в сфере ИБ и обозначены ее основные болевые точки. Публикуется с сокращениями.

Не секрет, что число хакерских атак год от года растет. Ежегодно эксперты фиксируют их кратный рост, распространение новых вирусов-шифровальщиков, эксплуатацию различных уязвимостей. Аналитики отмечают, что во многом процветанию киберпреступности способствуют сами пользователи. Причина – низкая осведомленность в сфере информационной безопасности.

Учитывая все большее проникновение интернета в жизнь, проблема осведомленности (а правильнее все же назвать ее проблемой образования в сфере ИБ) приобретает глобальный характер. Хакеров сегодня интересуют и банковские счета, и системы жизнеобеспечения, и узлы связи, и объекты топливно-энергетических комплексов, и Интернет вещей – все, до чего можно дотянуться через глобальную сеть. И они не собираются останавливаться. Почему? Потому что это выгодно. На Финополисе-2017 в Сочи были приведены шокирующие данные: совокупный рынок киберпреступности на планете сегодня оценивается в 2-3 триллиона долларов и продолжает расти. Для сравнения: рынок наркотиков уже много лет стабильно оценивается в 1 триллион долларов.

Понятно, что бороться с таким злом в глобальном масштабе можно только всем миром. И одной из главных, если не главной составляющей успеха в этой войне является повышение всеобщего уровня образования в сфере ИБ.

ШКОЛА

Естественно, начинать надо с раннего детства. И если воспитанникам детских садов сведения об информационной безопасности еще не требуются, то школьникам необходимо осваивать азы кибербезопасности уже с первого класса. И тут происходит первое столкновение с представлениями об информационной безопасности российских чиновников разного уровня.

Как проходит просвещение и профориентация школьников в сфере ИБ в России? Если исключить специализированные классы с уклоном в информатику и ИКТ, то согласно Федеральным государственным образовательным стандартам, информационной безопасности уделяется по 1-2 часа в год (!) в 7 и 9 классах. Часть информации по кибербезопасности дается в виде дополнительных сведений при изучении других тем или предметов в формате – внимание! – общения с учителями через соцсети и электронную почту. То есть подразумевается, что такая работа для учителя является чем-то вроде общественной нагрузки, а значит, не обязательна к выполнению. 

Основная же часть так называемой просветительской работы проходит в виде «акций». Беда этих акций заключается в том, что они оттягивают на себя немалые средства и создают видимость активной работы по этому важному направлению. Например, многочисленные околообразовательные структуры проводят разовые акции в формате Единого урока кибербезопасности в сети или сетевой викторины для дошкольников и учащихся 1-11 классов. На этом знакомство детей с темой информационной безопасности чаще всего и заканчивается. Честно говоря, я интересовался, но так и не встретил ни одного школьника, который участвовал бы в такой викторине. Это не говорит о том, что такие мероприятия проводятся исключительно для галочки, но и популярными среди молодежи, привычными, системными они не становятся.

Конечно, многое зависит от школьных учителей. Есть педагоги, которые сами включают материал по ИБ в рамки предмета «Окружающий мир» в начальной школе. Старшеклассникам в рамках курса «Информатика» предлагают обсудить такие вопросы, как кража личных данных и утечка информации; вирусы, черви, трояны; спам; хакерские атаки; мошенничество; дезинформация; авторское право и нелицензионное программное обеспечение. Это, конечно, здОрово и заслуживает всяческих похвал, но это также не системный подход, это – из области «просто повезло с учителем».

Безусловно, учащиеся профильных классов и те дети, которые в рамках дополнительного образования выбрали в качестве будущей профессии информационную безопасность, знают о ней намного больше. Такие школьные команды участвуют в олимпиадах и соревнованиях типа CTF, организуемых федеральными университетами на местном и региональном уровнях.

Но, акцентирую, единой программы по знакомству с информационной безопасностью на базовом, даже бытовом, уровне в системе начального и среднего образования в наших школах нет.

А КАК У НИХ?

Поскольку мы ищем положительные примеры обучения школьников азам ИБ, стоит обратиться к опыту Великобритании. В феврале прошлого года королева Елизавета II открыла новый Центр национальной кибербезопасности Великобритании в Лондоне. Отметим само словосочетание – НАЦИОНАЛЬНАЯ КИБЕРБЕЗОПАСНОСТЬ, что говорит о понимании проблемы и стремлении ее решить на государственном уровне.

Фактически Центр заработал еще в октябре 2016 г., он был образован путем слияния трех ведомств – Группы безопасности в электронике и связи, CERT-UK (что-то вроде нашей ГосСОПКи) и Центра кибероценки. Возглавил его Кириан Мартин, который определил цели и задачи ведомства так: снижение числа кибератак на британские компании и решение проблемы нехватки квалифицированных кадров в сфере информационной безопасности. По инициативе Центра в британских школах проводятся уроки кибербезопасности, на которых ищут будущих экспертов для защиты королевства от хакерских атак.

На пятилетнюю Национальную школьную программу правительство Великобритании планирует потратить до 20 млн фунтов. В рамках этой программы будут отобраны несколько тысяч учеников в возрасте от 14 до 18 лет, которые хотят связать свою жизнь с информационной безопасностью, а остальные, прошедшие обучение, станут просто гражданами, но уже образованными в сфере ИБ.

Центр национальной кибербезопасности предлагает 11-14-летним школьникам и их родителям, опекунам и учителям записаться на однодневные курсы, 14-15-летним подросткам - на пятидневный вводный курс по ИБ, где они получат базовые знания и понятия по защите компьютеров и небольших сетей. А для ребят 15-16 лет, желающих в перспективе углубленно изучать информатику, разработаны пятинедельные курсы, на которых студенты узнают об основных угрозах кибербезопасности для устройств, приложений и программного обеспечения, а также о способах их защиты. Курсы бесплатные и проходят в летний период в учебных заведениях по всей стране. Записаться могут как мальчики, так и девочки, но для девочек, кстати, есть спецциализированные женские курсы.

Любопытно, что привлечение женщин в сферу ИБ – это отдельный пункт программы. В Великобритании проводятся конкурсы для девушек 13-15 лет CyberFirst Girls Competition. Девичьи команды в составе четырех человек по всей стране решают тесты на логику, кодирование, создание сетей и криптографию. Десять самых сильных команд встречаются в очном поединке в Лондоне. Победители получают компьютерное оборудование для своей школы стоимостью 1000 фунтов, а каждая из девушек награждается ценным призом. Таким образом Центр хочет привлечь девушек на работу в сферу ИБ. По оценкам экспертов, среди специалистов ИБ, например, в США уже работают до 10% женщин.

Англичане, предлагая ввести кибербезопасность в Национальную школьную программу, не стали первооткрывателями ИБ-направления в средних учебных заведениях. Подобные программы давно работают в Израиле, однако в Европе они все же мало распространены.

Очень интересны инициативы на местах. Например, государственная общеобразовательная школа «Академия Кайл» в шотландском городе Эйр в сотрудничестве с Полицией Шотландии организовала курс информационной безопасности. Полицейские, предоставляя школьникам реальные исследования в области киберпреступности и рассказывая о конкретных случаях интернет-вымогательства в регионе, десять недель учили детей как со всем этим бороться. Главным условием занятий было то, что дети обо всем, что узнали, рассказывают дома, а по результатам обучения экзаменуют своих родственников. Так папы, мамы, дедушки и бабушки в городе Эйр и его окрестностях узнали, что пароли к сетевым ресурсам интересны не только друзьям. За счет того, что школьники познакомили с правилами кибербезопасности родных и знакомых, эффект от курса многократно увеличился. А учитывая тот факт, что это малонаселенный район, где нет отделений банков и жители пользуются исключительно онлайн-банкингом, польза от таких занятий была значительной.

Как тут не вспомнить регулярные SMS и звонки мошенников нашим пенсионерам, после которых старики сами открывают киберпреступникам доступ к своим банковским счетам. Если бы внуки рассказали им о том, чему их учат на уроках по защите информации, таких случаев могло быть меньше. Но, к сожалению, у нас нет таких уроков и тем более таких домашних заданий.

КОЛЛЕДЖИ

Следующая ступень образования - колледжи – наследники ПТУ и техникумов. С некоторых пор в них появилось новое направление обучения: «информационная безопасность». Разработаны Федеральные государственные образовательные стандарты. В зависимости от того, после какого класса абитуриент поступает в колледж, он учится 3 или 4 года и по окончании получает специальность «техник по защите информации». Многие колледжи предлагают очную, очно-заочную и заочную формы обучения.

Помимо базовых предметов школьной программы (для тех, кто пошел в колледж после 9 класса) студенты изучают основы многих технических и экономических дисциплин. В целом программа обучения по специальностям среднего профессионального образования в ИБ во многом схожа с программой подготовки инженерных кадров в вузах. Студентов учат эксплуатировать подсистемы безопасности автоматизированных систем, применять программно-аппаратные средства обеспечения информационной безопасности в автоматизированных системах, применять инженерно-технические средства обеспечения информационной безопасности.

В отличие от бесплатного обязательного среднего образования, среднее профессиональное может обойтись родителям студента в приличную сумму, если абитуриент не пройдет по конкурсу на бюджетное место. Число поданных заявлений зависит от популярности колледжа, в некоторых конкурс составляет 2-3 человека на место. Стоимость обучения по программам Среднего профессионального образования по направлениям ИБ на коммерческой основе в ряде колледжей не на много отличается от стоимости образования в ведущих вузах и составляет до 120 тыс. рублей в год при дневной форме обучения или порядка 35-60 тыс. для заочников.

И самое поразительное. Несмотря на спрос со стороны студентов, не все колледжи, имеющие лицензию на направление ИБ (а таких порядка 90), открывают прием абитуриентов. Многие фактически не рекламируют кибербезопасность как направление обучения. И второе: спрос на техников со стороны работодателей минимален, несмотря на то, что учебные программы подготовки специалистов среднего звена создавались с участием профильных компаний и госструктур.

Среди вариантов продолжения образования для техников по защите информации - обучение в ВУЗе по профильной специальности. Тем более что многие колледжи являются факультетами университетов или работают в тесном сотрудничестве с ними.

А КАК У НИХ?

Схожие программы подготовки есть и в западных колледжах. Так, в США широко распространена система двухлетней подготовки (от 4 до 7 семестров) специалистов в области ИБ по различным направлениям – от базовых основ кибербезопасности и сетевой безопасности до подготовки в специфических областях, например, в области компьютерной или судебной криминалистики. Как правило, первый год посвящается теоретической подготовке, а второй – наработке практических навыков со специализацией в более узком направлении деятельности. Итогом обучения становится сертификационный экзамен, многие колледжи предлагают продолжение обучения на степень бакалавра в дружественном университете, дополнительную стажировку для наработки навыков практической работы в крупных компаниях.

Главное требование к претенденту – законченное среднее образование. Некоторые колледжи проводят вступительные экзамены, многие ведут круглогодичный прием абитуриентов и обучают онлайн. В некоторых колледжах есть и ограничения: претенденты на будущую работу в области кибербезопасности систем здравоохранения должны пройти проверку на благонадежность и иметь базовые знания в области IT.

Как указывают разные источники, в США подготовку младших специалистов по компьютерной безопасности или обеспечению сохранности информации ведут около 100 колледжей. Выпускники продолжают учебу в университетах или идут работать по специальности: спецслужбы и профильные министерства и ведомства активно нанимают на работу таких специалистов.

ВЫСШЕЕ ОБРАЗОВАНИЕ

В начале 2000 г. российские вузы готовили 2000 специалистов в области ИБ, в 2019 г. - более 7000. Только в 2016 г. по всем направлениям ИБ в госуниверситеты на бюджет было принято почти 4400 студентов, средний проходной бал превысил 70. Еще порядка 1450 человек подали документы на обучение на коммерческой основе.

По данным на 2018 г. в России лицензии на обучение по семи профессиональным образовательным стандартам по направлению «информационная безопасность» имеют 170 университетов.

Образовательные профстандарты удовлетворяют потребности значительной части индустрии ИБ, учитывая как государственные, так и коммерческие интересы. По запросам банковского сообщества Федеральное учебно-методичсеское объединение организовывает обсуждения новых образовательных программ, способствует их оптимизации и выносит на утверждение в министерство. Для бакалавриата выделен профиль «информационно-аналитические системы финансового мониторинга», который напрямую связан с кредитно-финансовой сферой, нормативы стандартов позволяют специализироваться на конкретных профессиональных областях по многим «широким» профилям образования в области Информационной безопасности.

Одновременно с актуализацией образовательных стандартов идет развитие базовых кафедр. Такую работу в ряде ведущих университетов ведет Банк России, будет создавать свои кафедры Сбербанк и другие крупные организации. Многие компании, мировые эксперты в области защиты информации, открывают свои кафедры в региональных и федеральных университетах или приглашают студентов на практику. Например, по этому пути пошли Лаборатория Касперского, InfoWatch, Mail.Ru Group... Свои Академии открыли или планируют открыть Yandex, Центробанк, Сбербанк...

Лидерами в области подготовки кадров по направлениям информационной безопасности в России являются МГУ им. Ломоносова, МФТИ, Санкт-Петербургский ИТМО, МИФИ, МГТУ им. Баумана, Уральский федеральный и Ярославский госуниверситеты.

А КАК У НИХ?

В мире признанными лидерами среди технических университетов, где изучают компьютерные дисциплины, в т. ч. и информационную безопасность, считаются университеты США, Европы, Китая, Южной Кореи, Австралии, Японии. По данным рейтинга Times Higher Education 2016 г., пятерку лучших возглавляет Швейцарская высшая техническая школа Цюриха, далее следуют Калифорнийский Технологический университет в Пасадене, известный как лидер в области математики и компьютерных технологий, Университет Оксфорда, Массачусетский Технологический институт и Технологический институт Джорджии. В сотне лучших есть и два российских университета: МГУ (43 место) и Санкт-Петербургский ИТМО (56 место).

По данным Всемирного рейтинга университетов 2018 года, в сотню лучших университетов мира, где изучают «компьютерные науки» (и ИБ в том числе), вошли МГУ (60 место), МФТИ (67) и ИТМО (76), а в пятерке лидеров - Стенфордский университет, Массачусетский Технологический институт, Оксфорд и Кембридж, а также Швейцарская высшая техническая школа Цюриха.

Казалось бы, имея в активе 170 университетов и систему среднего профобразования, за 4-6 лет можно получить несколько тысяч хорошо подготовленных молодых специалистов. Однако на различных конференциях по кибербезопасности мне не раз приходилось слышать жалобы работодателей на слабо подготовленные и не всегда профпригодные молодые кадры. Это связано и с общими проблемами в области образования, и с трудностями в профориентациии молодежи, которая представляет свою будущую работу, не исходя из реальности, а скорее по кинофильмам – как лихо закрученный приключенческий боевик. И потому сегодня крупные работодатели предпочитают брать на работу уже опытных сотрудников, пусть и с непрофильным образованием.

ПОВЫШЕНИЕ КВАЛИФИКАЦИИ

Помимо университетов в России действуют более 40 учебных центров по подготовке и переподготовке специалистов по защите информации. Часто они кооперируются с университетами или созданы на базе крупных компаний-интеграторов. Постоянное повышение квалификации - это требования нового законодательства и профстандартов. Программы дополнительного образования согласуются с регуляторами и в отличие от университетских программ, что вполне закономерно и оправдано, быстрее и чаще актуализируются.

При желании специалист может сам или на курсах подготовиться к сдаче экзаменов на международные сертификаты. С принятием федерального закона процесс создании центров национальной сертификации заметно активизировался.

А КАК У НИХ?

Тут снова обратимся к опыту англичан. Помимо поддержки и профориентации школьников, Центр национальной кибербезопасности (NCSC) проводит активную работу с университетами, преподавателями, научными кругами и промышленными предприятиями, где требуются квалифицированные специалисты по ИБ. Каждый бакалавр или магистр может подтвердить свою квалификацию специалиста по ИБ в центрах сертификации (GCHQ), для этого университет должен подать заявку в определенной форме до указанного срока. Оказывается, поддержка и аспирантам и докторам наук, которые ведут научные исследования в области кибербезопасности, а также тем, кто занимается стартапами в сфере ИБ.

 

Подводя итоги, хочу отметить, что в России к вопросам обучения и подготовки кадров в области информационной безопасности подошли основательно. Система построена с участием профессионального сообщества. Как любая структура государственного масштаба она неповоротлива, работает с некоторым запаздыванием, однако она действительно сомасштабна стоящим перед ней задачам, стабильна и готовит новые кадры безопасников для всех отраслей народного хозяйства. Есть все основания надеяться, что как только будет определено оптимальное время реагирования на изменившуюся ситуацию в области кибербезопасности, будет обеспечена и быстрая адаптация к новым требованиям учебных программ. И никто больше не сравнит наше образование в сфере ИБ с человеком, бегущим за уходящим трамваем.   

Вопрос за малым – правильно ориентировать и заинтересовывать молодежь, начиная со средней школы.