Rambler's Top100
Статьи ИКС № 5 2008
Сергей РЯБКО  30 апреля 2008

Информационная безопасность в зеркале образования

Казалось бы, с чего это я вдруг заинтересовался образованием, если род моих занятий далек от педагогической деятельности? Ну, во-первых, я – рыночник, а во-вторых, болею за свою профессию и хочу, чтобы вузы выпускали достойных специалистов.

Рыночные люди должны понимать силу инструмента «культура потребления». А образование – фактор формирования этой культуры. Именно поэтому на конференции «Инфофорума-2008» мне хотелось показать собравшемуся там вузовскому сообществу России силу и красоту сетевой защиты – ведь и профессионалы ее часто недопонимают и недооценивают. Например, получивший традиционное образование ИБ-специалист трактует VPN, как «средство шифрования данных при их передаче по недоверенным каналам связи». Полный бред! VPN – это техническая или криптографическая граница сети, средство, призванное изолировать корпоративное информационное пространство, защитить серверы, приложения, инфраструктуру, но никак не прикладные данные. Шифровать прикладные данные следует в точке их генерации и обработки, на прикладном уровне, использовать ключи конкретного пользователя, а не тащить эти данные незащищенными до VPN-шлюза через всю ЛВС. Хотя бы уж студентам перестали внушать идеологически неверные штампы...
И еще хотелось понять проблемы обучения ИБ, поскольку мало я вижу на нашем ИБ-рынке молодежи, выпущенной современными вузами. Выпускников «вышки» советских времен – много. И так их здорово выучили, что бывшие офицеры КГБ легко вошли в капитализм, в современное управление, заняли уважаемые позиции как в профильных, связанных с ИБ, так и в непрофильных областях – башковитые ребята! Признаю это, как «штатский» из не менее амбициозной кузницы кадров.
Риски управляющих рисками, или Сложности жанра
Работа у специалиста ИБ сложная, я бы даже сказал, рисковая. Согласно опросу CSO Magazine, 70% уволившихся из этой сферы сотрудников не нашли взаимопонимания с руководством. А из них, между прочим, 50% сертифицированных профессионалов и 20% получивших степень МВА. Если уж они не смогли объясниться с начальством на тему ИБ, кто же тогда сможет?..
Какими качествами должен обладать ИБ-специалист? Знать технику, и не хуже зловредного хакера, иначе хакер обставит его в два счета. Быть аналитиком – тут анализ рисков, проектов, системной инфраструктуры и логика ИТ-криминалиста, расследующего ИБ-преступление... Понимать бизнес-процесс, его формализацию, регламент, чтобы органично вписать в существующую систему бизнес-процессов предприятия свое подмножество операций ИБ.
Кроме того, важно научиться говорить на бизнес-языке. Зачем? Во-первых, бизнесу нужно показать, что дает ему безопасность, т.е. разработать портфель ключевых показателей эффективности бизнес-процесса ИБ. Задачка – не фунт изюма. Пробовали многие, получилось не у всех... Во-вторых, надо уметь посчитать деньги «для» и «от» ИБ, ведь бизнес – это деньги. А есть ли смельчак, берущийся сделать технико-экономическое обоснование системы ИБ? Безопасность по природе своей непродуктивна и инвестиций не возвращает в принципе. Задача технико-экономического обоснования ИБ звучит так: сколько нужно потратить, чтобы ничего не произошло?
Ко всему прочему специалист ИБ должен быть душелюб и человековед. Теория управления «очеловечивается», большая часть case'ов в курсе МВА – сплошной человеческий фактор. Почитайте ISO 17799 (ныне наш ГОСТ) – в нем «человеческого» немерено. Служба ИБ – силовая структура на предприятии. У спецслужб свои спецметоды: этичное хакерство, перлюстрация корпоративной почты, наблюдение за потенциальными злоумышленниками, ведение досье, расследование. Как современный «гуманитарный» менеджмент соотносится с необходимостью таких спецмероприятий? Можно ли обязать лояльного сотрудника сообщать руководству ИБ об известных ему нарушениях безопасности со стороны его коллег? Как, внедряя этот механизм, не навредить культуре предприятия и креативной рабочей атмосфере в нем?
Наконец, ИБ-специалист должен уметь юридически обосновать свою деятельность, отразить нормативы ИБ и меры ответственности за нарушения ИБ в трудовых договорах и должностных инструкциях, четко ориентироваться в техническом регулировании безопасности и т.п.
Мыслимо ли воспитать такого универсала? И кто его подготовит?
А жизнь всегда сложнее...
Однако в среде уважаемых работников высшей школы мои вопросы, хоть и мудреные, кажутся вторичными. Господа профессора обсуждают первичные и более сложные задачи.
На секции «Инфофорума-2008» «Роль региональных учетно-научных центров обеспечения информационной безопасности РФ» аудитория подобралась немолодая, так, наверное, и должно быть – профессор седой, умудренный опытом. Здесь же не покидало чувство «уходящей натуры». В зале были люди, подготовленные еще в Советском Союзе. И я не увидел рядом с седым профессором молодого доцента, бывшего студентом в конце 90-х, аспиранта, заглянувшего послушать шефа-профессора... «Порвалась дней связующая нить…». Кстати, лейтмотив многих выступлений: «Мы готовим специалистов для защиты государственных секретов, а они уходят работать по другим специальностям. Государство не получает того, чего хотело».
Вопросы обсуждались для досужего уха, пожалуй, даже скучные: номера специальностей, стандарты обучения, сроки... Но стоило вслушаться и скуку сменяло изумление. Например, мы уже говорили, как сложно подготовить специалиста ИБ. А тут вдруг слышу: бакалавр. Специалиста в сложнейшей области подготовить за 4 года?! Готовьте хоть за три, но лично я в жизни бы его не нанял. Найдите мне добровольца, который ляжет под нож хирурга-бакалавра? А ИБ – область не менее специфическая, чем хирургия...
Дальше – больше: стандарты среднего специального образования по ИБ. Что это такое? Научить стандартным процедурам, положим, можно кого угодно. Можно выпускника ПТУ научить писать правила простого пакетного фильтра: HTTP – PASS, SMTP – PASS, все остальное – DROP. Аналог: научи обезьяну открывать калитку в сад только «своим». Но ведь задача не в этом, а в том, чтоб яблоки не воровали. Значит, обезьяна должна весь сад обойти, забор осмотреть, по измятой траве понять: тут кто-то был. Найти оторванную доску забора и прибить ее назад. Вы и этому обезьяну научите? Никогда. Тогда почему вы считаете, что ПТУшник, сконфигурировавший firewall, сумеет адекватно понять события, которые содержит его лог? А если не сумеет – какой смысл заставлять его что-то конфигурировать?!
Сторонники моих взглядов были и среди выступавших. Вот позиция одного из них: «Бакалавр ИБ – профанация, даже специалист после 5–6 лет обучения – профанация! Этому обучить нельзя. Специалист по ИБ – второе, дополнительное образование, целевая переподготовка. Человек закончил вуз, поработал на объекте, приобрел опыт – тогда и знания от преподавателя будут для него не пустой абстракцией, лягут на слой практического опыта, одним словом – не пропадут».
Только я порадовался: дело товарищ говорит! – как натыкаюсь на скептический вопрос сопредседателя секции из Академии криптографии ФСБ: «Это в Советском Союзе был институт переподготовки кадров. А кто ж сегодня специалиста на переподготовку пошлет? Время не то, и механизм этот не работает». Увы, в этом своя сермяжная правда – нет института переподготовки в наше рыночное время.
И таких системных противоречий множество. Банальная проблема снижения престижа и качества образования. «У нас есть абитуриенты, которые не умеют складывать дроби... Мы, конечно, провинциальный вуз, в Академии криптографии таких проблем, наверное, нет...». – «Почему же? Есть и у нас такие абитуриенты».
Другая тема: на какого заказчика работает вуз? На государство? Коммерческой организации нужен специалист ИБ другого профиля. Ведь емкость негосударственного рынка больше, а значит, и специалисты востребованнее. Ответ обескуражил: «А кто нам за него заплатит?». С ростом рынка растет и спрос – спору нет. А за обучение ИБ по-прежнему никто, кроме государства, не платит.
Вообще тема денег в образовании до сих пор очень больная. Преподаватель ведущего в области ИБ столичного вуза признается: «Моя преподавательская зарплата – 8 тыс. рублей»...
На благополучном Западе преподаватель тоже небогат. Но, извините, зарплата преподавателя сложной, элитной дисциплины на уровне 0,5 среднемосковской зарплаты госслужащего?! Я понимаю, что «наш» возьмет лишние часы, посовместительствует, поучаствует в НИРах, напишет пособие – в общем, доберет до мало-мальски сносного уровня жизни. Но почему он должен добирать? Почему преподавание само по себе не должно давать ему тот самый мало-мальски сносный минимум?
Грустно все это как-то прозвучало... А в зале не грустили. Поздравляли друг друга с наградами, спорили и даже когда говорили о грустном, глаза у преподавателя «за 8000 руб.» оставались веселыми. И я, кажется, понимаю, почему. В зале были последние из могикан советской высшей школы. А советский человек строит – неважно что – социализм или капитализм, работая не за деньги, и радуется трудностям. Низко кланяюсь вам, Учителя!
Поделиться:
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!