«Забудьте все, чему вас учили в институте» – эта фраза не просто так стала устойчивым выражением. Современное высшее образование, за редким исключением, просто не ставит задачу дать выпускнику актуальные знания для старта работы по профессии.

С другой стороны, и курсы повышения квалификации, дополнительного обучения, не всегда означают получение практических навыков. Например, многие курсы EdTech-компаний «грешат» избыточными обещаниями, и, как следствие, завышенными ожиданиями выпускников, которые разбиваются при первой же попытке трудоустройства.

Эта проблема актуальна как для ИТ-специальностей в целом, так и непосредственно для специалистов по кибербезопасности. В этой статье будут разобраны основные направления курсов по информационной безопасности, их полезность для специалиста и критерии выбора программы для разных специалистов.

Зачем курсы, если есть ВУЗ?

Важно понимать, что академическое образование в России, в актуальном состоянии, состоит из двух компонентов:

1. Советское наследие, которое заключается в изучении фундаментальных основ и процессов в профессии. Предполагается, что на основе этих знаний специалист сможет быстро освоить актуальные навыки, которые основаны на фундаментальных знаниях.
2. Влияние европейского (западного) подхода, для которого характерен уклон в самообразование: специалист учится находить нужные ему знания и осваивать их самостоятельно.

Применительно к кибербезопасности, на этот базис «добавляется» надстройка, в виде партнерских программ ВУЗов и вендоров, создание университетских киберполигонов, практики, стажировок и других активностей, которые позволяют получить актуальные знания по тем или иным направлениям.

Денис Синицын

Руководитель Тренинг-центра IT-компании «Аурига»

Провайдеры обучения, гос. учреждения или коммерческие компании стараются поддерживать актуальность учебных материалов, иметь связь с реалиями, в первую очередь с бизнесом, который заинтересован в получении высококвалифицированных выпускников.

Если говорить про гос. структуры в обучении ИБ – государству не выгодно выпускать людей со знаниями, которые устаревают, как только студент переступает порог вуза или даже в процессе обучения. Особенно в текущей ситуации, когда взят тренд на импортозамещение, в том числе в сфере ИТ.

С коммерческими компаниями гораздо проще: на плаву останутся те, кто пользуется спросом. Интересный, актуальный курс/тренинг/вебинар – есть спрос, люди готовы за это платить.

Таким образом, университет выпускает специалистов с качественной базовой подготовкой и некоторым количеством практических навыков, которых достаточно для начальных позиций в карьере. Однако, это не значит, что в дальнейшем можно идти по карьерной лестнице «по выслуге лет», сразу по нескольким причинам.

Первая из них заключается в специфике профессии, которая тесно связана с техническим прогрессом и передовыми технологиями. Каждый год появляются новые ИБ-инструменты, цепочки атак, уязвимости, сервисы и недопустимые события, от которых компании нужно защищать. Соответственно, образование информационной безопасности – это непрерывный процесс, в рамках которого есть и элементы самообразования, и дополнительного обучения.

Второй аспект связан со спецификой образовательных процессов и тем путем, которые проходят знания, которые «получены сегодня», прежде чем попадут в обучающие программы.

Илья Воропаев

Руководитель лаборатории кибербезопасности Инженерной школы ГУАП

По обобщенной статистике, от момента первичной реализации атак с помощью уязвимостей нулевого дня до разработки методики защиты проходит от нескольких часов до нескольких дней, затем выпускаются внутренние методические документы компаний для служебного пользования (до месяца), затем методика защиты попадает в средства защиты от атак, реализуемые в виде программных продуктов и, соответственно, докладывается на конференциях (несколько месяцев), и только затем методичка спускается до реализации в самых передовых курсах подготовки специалистов (до 1 года). Затем методика защиты становится обязательной для исполнения и регламентируется законодательным органом или регулятором (от полугода до 10 лет). Итого – от момента реализации методики защиты от атак с помощью zero-day-уязвимостей до реализации самых перспективных программ обучения стандартно проходит от месяца до года, что является крайне большим сроком для актуальности знаний в области информационной безопасности, а особенно в текущих реалиях ускоренного развития техники.

Поскольку ВУЗ априори не может систематически выпускать сразу уверенных практиков, то есть специалистов уровня middle и выше, а поспеть за появлением новых трендов, инструментов и уязвимостей самостоятельно достаточно трудно, возрастает роль дополнительного образования и профессиональной переподготовки в информационной безопасности.

Какие бывают курсы по ИБ

Евгений Царев

Управляющий RTM Group, эксперт в области кибербезопасности и права в ИТ

Укрупненно курсы можно поделить на теоретические (знание законодательства и организации процесса ИБ) и практические (работу со средствами защиты). Законодательство делится, в свою очередь, на федеральное (КИИ, ПДн и т.д.) и отраслевое (Банковская безопасность, Энергетическая безопасность и проч.). Практика принципиально делится на обнаружение недостатков ИБ (пентесты, аудиты) и их устранение (настройка SIEM, DLP и так далее). Один специалист редко может охватить весь спектр вопросов, поэтому и тематика курсов дробится достаточно мелко.

Курсы для специалистов по кибербезопасности можно условно поделить по двум признакам:

1. По уровню подготовки.
2. По специальности.

Соответственно, существуют как программы для новичков, так и для опытных специалистов самых разных направлений и отраслей. Также, курсы можно разделить и по их владельцам. Их может проводить вендор, просто ИБ-компания, EdTech или классическое, аккредитованное образовательное учреждение.

Антон Башарин

Технический директор Swordfish Security, эксперт в области кибербезопасности

Теория без практики в большей части забывается. Статистика утверждает, что без практики или домашних заданий через неделю «студент» не в состоянии вспомнить больше 25% того материала, что было в курсе. Поэтому подход, когда есть возможность услышанное «пощупать» руками, очень эффективен. Тем более, если мы говорим про ИБ-курсы. В своей практике мы видели детский восторг «студента», который на практической части смог проэксплуатировать уязвимость в песочнице и вытянуть из системы данные, к которым не было доступа.

Насчет баланса сложно сказать, все зависит от темы. Думаю, что оптимальное соотношение - это 30/70 (теория/практика).

Например, хорошим (недорогим) вариантом может быть создание (использование) интерактивных тренингов, в которых происходит имитация работы устройства и взаимодействие пользователя с ним.

Краеугольным камнем образования в кибербезопасности можно назвать вопрос соотношения практики и теории, а также подхода к обучению. Здесь можно привести два полярных примера, каждый из которых можно назвать крайностью.

Первый пример – это обучение комплаенс-консультантов в формате бесконечного чтения нормативных актов, разбора практики на основе Консультант.Плюс или похожих программ, а также разбор кейсов из уже существующей практики. Нормативная документация сама по себе энергозатратна с точки зрения интерпретации «на общечеловеческий», а формальный, теоретический подход к ней и вовсе способен «убить» даже самого мотивированного слушателя.

Второй пример – это программы повышения квалификации для пентестеров, в рамках которых теория дается в формате «вот вам файл – ждем на экзамене», и весь упор делается на практическое применение на киберполигонах или в лабораторной среде, когда ученик должен сам «методом проб и ошибок» дойти до правильного алгоритма действий.

Александр Моисеев

Ведущий консультант по ИБ AKTIV.CONSULTING

Разумеется если вдаваться в крайности – от того, что зачитают вслух курс без практической отработки – пользы будет немного. И наоборот, если с первой минуты занятия открыть консоль и начать вбивать туда команды одну за другой, без объяснения, то пользы также будет мало. Поэтому баланс возможно соблюсти путем сочетания объяснения преподавательским составом сценариев, особенностей ИТ-технологий и отработкой практических навыков.

Частично, такую разность подходов можно списать на специфику подготовки конкретных специалистов, но это не отменяет того факта, что правильная комбинация теории, практики и методик обучения даст гораздо больший результат, чем превалирование одной составляющей над всеми остальными. Учеба по безопасности киберпространства не обязательно должна быть «испытанием на прочность и мотивированность» для ученика.

А актуальны ли эти курсы?

Уровень актуальности данных в рамках курса напрямую зависит от компании, которая предоставляет эту учебную программу. И он может серьезно отличаться.

Например, государственные учебные заведения вносят изменения в свои учебные программы, как правило, один раз в год. Это обусловлено в том числе и тем фактором, что с момента получения данных до момента их подтверждения неизбежно должно пройти время, а изучение потенциально неподтвержденной информации в рамках академического образования недопустимо.

Валерий Степанов

Руководитель направления Центра компетенций по информационной безопасности Т1 Интеграции

Каждый день появляются новые уязвимости и исследования различных векторов атак, поэтому стереотип, что знания, которые даются на курсах, уже утратили свою актуальность на момент обучения, отчасти применим к ИБ-курсам. При этом большая часть курсов по информационной безопасности направлена на создание прочного фундамента в виде теоретических и практических знаний самых основ, которые не теряют актуальности.

В то же время, курсы вендоров по работе с их софтом почти всегда содержат актуальную, прикладную информацию, поскольку для них эта прямая выгода: чем лучше сотрудник будет использовать возможности ПО, тем эффективнее оно будет работать, и тем выше будет репутация бренда, а следовательно – и клиентская лояльность.

Александр Зубриков

Генеральный директор ITGLOBAL.COM Security

К сожалению, даже в самых приближенных к реальности курсах всегда есть место для «художественного вымысла». Ведь если разбирать только очень конкретные векторы атак, которые могут быть обнаружены только в конкретной компании и при определенных условиях, то такие знания трудно будет адаптировать и применить в более общих и частных случаях.

Также нельзя забывать про теорию, ведь без подробного разбора основ, методологий и теоретических аспектов, нельзя будет усвоить и практические знания. Без знания теории, лишь используя практические знания, специалист по ИБ будет машинально запоминать алгоритм действия без его четкого понимания, а значит не сможет применять его в других ситуациях. Баланс теории и практики должен подбираться индивидуально, исходя из особенностей обучающегося и его способностей воспринимать материал, а также навыков самостоятельного обучения и поиска информации.

Если же рассматривать разные частные курсы от образовательных и ИБ-компаний, то важно помнить, что наиболее актуальная информация попадает к ним уже после того, как была использована для внутреннего обучения тех сотрудников, которые эти данные «нашли».

Как и в любой профессии, «инсайдерскую информацию» можно найти только путем общения с практиками, внутри комьюнити, либо с помощью самостоятельного ресерча данных в открытых источниках. Во всех остальных случаях, систематизированное обучение в рамках курса предоставляет информацию более доступно, структурировано и комплексно.

Какие курсы выбрать

Если у будущего специалиста нет образования в области IT, и он собирается освоить профессию в кибербезопасности с нуля, лучше пойти учиться в EdTech-компанию. Однако, важно помнить, что все обещания о заработной плате сразу после обучения стоит поделить на три.

В случае с людьми, которые имеют IT-специальность, многое зависит от уже имеющихся знаний и опыта, а также сферы, в которую специалист планирует переквалифицироваться. Помимо EdTech-ов можно рассмотреть университетское дополнительное профессиональное образование (ДПО) или курсы профильных ИБ-компаний. Также, можно рассмотреть возможные стажировки в интересующей сфере.

Для ИБ-специалистов, которые планируют пройти программу профпереподготовки по информационной безопасности, наиболее актуальны курсы и стажировки профильных представителей отрасли а также вендоров, на решении которых им предстоит работать.

Если говорить о тех решениях, которые актуальны для бизнеса и корпоративного обучения, то здесь многое зависит от того, какой штат специалистов необходимо обучить и насколько разнятся их рабочие обязанности.

Итоги

Курсы по защите информации, программы переквалификации и повышения квалификации – это назревшая необходимость, которая обусловлена:

• спецификой самой профессии;
• ситуацией в отрасли;
• влиянием внешних факторов.

«Профицита» ИБ-специалистов, вероятно, не было за всю историю, но сейчас дефицит таких кадров ощущается особенно остро, поскольку запрос на их услуги растет, как и актуальность киберугроз для государства и бизнеса.

Денис Попов

Руководитель направления ИБ компании MONT

Есть базовые вещи, которые являются основой таких курсов. Сложность заключается в другом. Как правило, курсы по ИБ бывают узко специализированы или наоборот являются обобщенными, и в силу этой обобщенности слишком поверхностными.

Например, может быть углубленный технический курс по сетевой безопасности или напротив, курс исключительно по нормативным документам. Но человека, который его закончил, нельзя автоматически признавать специалистом в данной сфере. Как и везде в образовании, помимо теории чрезвычайно важна и практика. А ее зачастую не хватает на подобных курсах. Ведь до недавнего времени ИБ много где была «бумажной» да в общем-то и продолжает такой быть, хотя подвижки произошли и изменения в законодательстве обязывают привести ИБ в режим боевой готовности не только на бумаге.

Текущие изменения в мире и стране являются настоящим вызовом не только для ИБ-вендоров разных мастей, но и для образования в сфере ИБ. Знание нормативно-правовой базы безусловно важно и нужно, но далеко не всегда способно защитить от существующих вызовов в данном направлении. 

При этом, самообразование остается одним из возможных «ситуационных» способов получить практические навыки и компетенции, но не может служить «правилом для всех», поскольку большинство людей качественнее усваивают знания, которые систематизированы, структурированы и «подаются в определенном формате обучения.

Источник: Cyber Media