«В России нет понимания профессии безопасника»

«В России нет понимания профессии безопасника»

В прошлых выпусках я говорила со студентами-безопасниками из разных городов России[1]. Узнавала, как дела у сферы студенчества, есть ли, с одной стороны, спрос среди абитуриентов на учебу, развитие и работу в ИБ, с другой, предложение среди работодателей. В связи с этими исследованиями появилось много вопросов, главный из которых: что происходит с образованием в сфере ИБ?

По случаю новогодних и около- праздников мне удалось поговорить с профессором Романом Валерьевичем Мещеряковым, заведующим Лабораторией 80 ИПУ РАН. Этот разговор интересен для меня, и, надеюсь для Вас: дочь-студентка журфака, некогда собиравшаяся в сферу ИБ, и папа-безопасник, известный своими проектами в этой же сфере, говорят об образовании и приобразовательных темах. Правда, споры о физиках и лириках в этот раз остались между строк.

В чем проблема современного образования в сфере ИБ?

Я не хотел бы ограничиваться только сферой информационной безопасности. Проблемы образования кроятся глубже – в недрах будущего. У нас сейчас немного мест, где готовят создателей новых технологий, как это было раньше, а больше тех, кто будет эксплуатировать существующие решения.

Когда-то было наоборот?

Да, после войны: тогда нужно было заново строить страну и вводили всеобщее университетское образование. Так выявляли и «отлавливали» таланты. А когда понадобилось создавать ядерные и космические технологии, образование было направлено на поиск талантов и создание прорывов.

Так, погоди. А образование в принципе есть в России? 

Есть конечно. И у нас — самое лучшее! А иностранцы, которые говорят обратное, просто завидуют.

Думаешь? Я вот заметила, сменив кучу школ, что учителя у нас особенно отличаются неразумностью своих высказываний. Всем что-то не нравится, обвиняют во всех грехах своих «учеников». Это особенность школы или образования в принципе?

Я бы сказал, что это особенность отдельно взятого учителя или преподавателя. Знаю и таких, кто при каждом удобном случае не преминет любому показать свое превосходство, а студента непременно унизить. Ну и чему такой человек может научить, какому отношению к работе и к жизни? Все время ворчать — не дело, только собственным примером и отношением к делу человек может воспитать это чувство в другом.

Помню, про тебя еще в Томске шутка ходила: гадание на сдачу экзамена у РВ. Если подбросишь монетку и выпадет орел - поставит 4, если решка - значит 3. А если монетка повиснет в воздухе, то мооожет быть будет пятерка. Кстати, я таких, кто заставляет думать, встречала только пару человек. Ладно, вернемся. Как дела у университетов сегодня?

Сегодня в образовании тяжело: появилось много новых требований. Много говорится об университетах 3.0, 4.0 и так далее. Чтобы пережить этот сложный период, нужно вернуться к истокам. Университет должен быть центром культуры, образования и науки. Без этих трех составляющих это уже не университет, а какое-то другое место, а воспитание личности — неотъемлемая часть учебного процесса. Технические специальности стоит сегодня строить по-новому — как технологические корпоративные университеты. Так они будут целенаправленно обеспечивать потребности предприятий в кадрах для наукоемких производств. Тем более, если мы говорим об университетах как градообразующих предприятиях региона. В общем, знания плюс практика — все просто (отдавая дань моде и ФГОСам, стоит упомянуть про сформированность компетенции как основного результата обучения).

Какое должно быть образование ИБ в будущем?

Сейчас в небольшом количестве университетов учат современному подходу к информационной безопасности. Я имею в виду, что текущий профессорско-преподавательский состав в силу своего возраста и опыта учит тому, что знает. Это не плохо и не хорошо – это так есть.

Вообще ИБ должно, я думаю, развиваться в трех направлениях: повышение обороноспособности России (первый рубеж обороны и это разговор для отдельной статьи), обеспечение защиты информации в государственных организациях, коммерческих структурах и т.д. (защита коммерческой тайны, персональных данных, врачебной тайны и других видов тайн) и гуманитарное направление (философские вопросы, этические принципы защиты информации). 

Сегодня насущные проблемы, требующие решения, например, обитают в Internet of Things (интернет вещей), Big Data (обработке больших данных, поступающих с сенсоров, поставщиков информации). Большое внимание стоит уделять изучению и понимаю работы с биометрическими данными. На днях прошла новость: уже сделали универсальный отпечаток пальцев, который подойдет в 70 % случаев. И еще куча проблем! Случаи подделки речи, изображения лица на фото и видео. На прошлой неделе оппонировал диссертацию, посвященную противодействию атакам на голос человека. Еще одна веселая ситуация произошла в Америке: известной ведущей пришел штраф за переход дороги в неположенном месте, а в итоге оказалось, что камеры засекли не ее саму, а ее изображение на автобусе. Таким образом, вопросы идентификации и аутентификации до сих пор не решены (надеюсь, в 2019 году защитится одна докторская диссертация по этому направлению, и будет больше научного базиса).

Сегодня сама атака на систему приспосабливается к алгоритмам и методам защиты, и работать в первую очередь надо непосредственно над техническими каналами утечки информации. И все это реальность – сегодняшний день, а вот специалист по информационной безопасности должен жить завтрашним днем, чтобы наши с тобой данные были защищены. Это как врач – он должен стремиться не допустить болезни.

Несколько месяцев я разговариваю с молодыми безопасниками со всей страны. Так вот, те, кто учатся именно на «безопасности», говорят, что после выпуска в эту сферу работать они вряд ли пойдут, ибо работу по профилю найти трудно, особенно в регионах. Что скажешь? Недостаточный спрос, однако, на безопасников или молодежь сдает?

Нужен мотивированный заказчик на выпускника, а понимание информационной безопасности в обществе, к сожалению, пока не сформировано. Поэтому функции безопасника дают кому-то еще: безопасник в одном случае и юрист, которому одновременно поручают подготовить комнату для переговоров, и та же бабушка на вахте, которая пропуска проверит, или (это если повезет!) инженер или системный администратор. В первую очередь преследуются экономические интересы – безопасник не производит продукции, он является обслуживающим персоналам и его роль ярко видна, только когда произойдет инцидент – утекут коммерческие данные. Наиболее распространенный пример, когда функции по информационной безопасности возлагаются на администратора сети. Он и политику настраивает, и сам себя проверяет. Таким образом получается, что он сам себе и закон, и исполнитель, и контролер. Хорошо, если человек надежный и морально устойчивый, а если слаб духом? Понятно, что фрилансить и получать сразу большие деньги можно без обучения. С другой стороны, есть и у нашей молодежи недостаток – маленький опыт.

Безопасники не востребованы не потому что недооценены, а потому что полностью не сформирован запрос общества на их деятельность. 

Думают, что все произойдет само собой?

Именно. Однако, если говорить о заокеанских партнерах, то за границей security and privacy — это вообще другое направление, так что сравнить сложно. У наших безопасников узкая специализация, т.к. она формируется профессорско-преподавательским составом и материально-технической базой, на которой проходят обучение и практика. Ситуация, конечно, меняется в лучшую сторону, но все же… Что-то я повторятся начинаю. К сожалению, само собой ничего не произойдет, нужно целенаправленно работать по изменению ситуации.

А почему многие даже не доучиваются?

В мире очевидный дефицит талантов, растет общество потребления. Не всем дано понять, что такое ИБ: нужно быть безопасником в душЕ. Скажу непопулярную вещь – не все могут доучиться из-за проблем с базовыми знаниями.

И какой выход?

Учить нормально студентов! Чтобы они по выпуску обладали квалификацией (компетенцями по-модному), превышающей «бывалых» сотрудников.

Наработка опыта, с одной стороны, задача самого студента. А университет, со своей стороны, должен быть практикоориентированным, чтобы материально-техническая база позволяла научить школяра в соответствии с требованиями современного мира и перспективой завтрашнего дня. Эти вопросы обсуждаются и в Совете Безопасности России, и на пленумах Федерального учебно-методического объединения в системе высшего образования по УГСНП «Информационная безопасность».

Это все так говорят. А что по сути? Где брать деньги и время молодому студенту на образование вкупе с работой?

Раз, практика всегда должна быть оплачиваемой. Два, нужно уметь успевать все, а для этого правильно расставлять приоритеты. Когда ко мне приходили студенты сдавать экзамен или зачет и плакались что работают, то я предлагал отчислиться, чтобы учеба не мешала работе. Да и денег всегда не хватает.

Утром учиться, по вечерам работать в одном месте, в выходные - в другом? Дай совет молодым, что делать, чтобы стать суперпродуктивным. 

Роль личности в истории еще никто не отменял. Нужно найти нормального руководителя (учителя, преподавателя, начальника – называй как хочешь). Расшифровываю, адекватный руководитель – тот, который:

может предложить оплачиваемую работу (значит, он заинтересован в своих студентах на перспективу);

относится к студентам по-человечески (принимает студента как равного);
увлечен своей работой (горят глаза).

А вообще, самому ставить цели и прилагать усилия для их достижения. Идеально работать в месте, где ты учишься (в лаборатории или в техцентре при университете, например), тогда и преподаватели будут тебя знать, и опыт хороший заработаешь. И должен быть интерес – без него скучно, мысли должны летать…

Успех любого университета определяется успехом его выпускников. Для правильного преподавателя – радость, когда ученик становится выше своего учителя. У меня много таких, которые достигли больше меня, и я рад, что они есть, ведь они встали на плечи предков. Кстати, я посчитал – преподавал примерно более чем у двух тысяч студентов.

Бывали случаи, когда к тебе просились в аспирантуру или на диплом, а ты отказывал?

Конечно. В основном, когда мне не интересно, чем студент хочет заниматься. Или вижу, что человек не хочет работать. Хотя это редкость, ко мне такие не идут - повезло. И тяжело у меня, жестокий я и требовательный…

Помнится, один из первых дипломников был со средним баллом 3.0. Я был новенький на кафедре и отказаться, понятно, было нельзя. Он три года до этого не мог защититься, но мы победили, в смысле, он защитил диплом. Оценка – это критерий успешности, но только один из них, и нельзя по нему оценивать человека, да и вообще, оценивать человека нельзя, только поступки. Все люди хорошие.

А где берешь время на всех своих подопечных?

Распределяю время. Встречались по вечерам, выходным. Я своих подопечных люблю и уважаю: интересно пообщаться с умными людьми, с теми, которые чего-то хотят, а время – это тот ресурс, который дан нам в ограниченном объеме, его всегда не хватает.

А дальше что?

Хочу пожелать всем быть самими собой. А дальше надо жить, радоваться и заниматься любимым делом, не смотря на все трудности, которые нас окружают. Поэтому сейчас работаю над интересными проектами, которые, надеюсь, изменят будущее.

На фото:

Роман Мещеряков, заведующий Лабораторией 80 ИПУ РАН, доктор технических наук

[1] BIS Journal №№3-4/2018