Победные реляции о росте в отрасли информационной безопасности сыпатся как из рога изобилия. Однако в реальности ситуация обстоит немного иначе. Особенно если воспринимать отрасль ИБ не только как сборище продавцов своих товаров и услуг, но и как потребителей, регуляторов, ВУЗов и других игроков, оказывающих существенное влияние на рынок.
Принято считать, что российский рынок информационной безопасности находится на подъеме. И действительно, посмотрев на цифры роста продаж продуктов и услуг в этой сфере, складывается именно такое впечатление. Однако все не так прозрачно и позитивно, как кажется. Примерно также «красиво» выглядит отечественная авиационная отрасль – число авиакомпаний растет, как и число приобретаемых самолетов. Аналогия не случайна. Если вы спросите у летчиков, как они расценивают состояние отрасли, то их ответ вряд ли будет оптимистичен. Самолеты падают, техника изношена, кадровый дефицит, отсутствие отечественного самолетостроения и море других проблем. В информационной безопасности в России ситуация, к сожалению, очень похожа.
Начнем с кадрового вопроса, который, как известно, решает все. Технологии безопасности пока не вышли на тот уровень, чтобы работать полностью автономно, без участия человека, роль которого в процессе управления ИБ очень велика. Как раньше готовили тех или иных специалистов? Был госзаказ. Плановое хозяйство могло с точностью до человека сказать, сколько специалистов той или иной специальности потребуется через 3, 5, 10 лет. И ВУЗы «заряжались» именно на подготовку такого числа выпускников. Не больше и не меньше. А теперь? Сколько выпускников по девяти специальностям категории 090000 («Информационная безопасность») выпускают ВУЗы (а таких сейчас в России 120)? А сколько надо? Кто может дать ответ на этот вопрос? К сожалению никто. Такой информации нет ни по госсектору, ни тем более по коммерческим структурам. А как тогда обеспечить все возрастающую потребность в таких специалистах?
Менталитет (не знания и не опыт) специалиста по безопасности должен закладываться в ВУЗе (хотелось бы и раньше, но это уже фантастика). За 2-3 дня на каких-либо авторизованных курсах – этому не научить. Однако система подготовки специалистов по ИБ деградировала, так и не родившись. Она, как и любая система управления кадрами на предприятии, состоит из двух составляющих – поиск новых специалистов и удержание имеющихся. Иными словами, мы должны найти и научить новых абитуриентов и проводить регулярное повышение квалификации для состоявшихся сотрудников служб ИБ. С последними просто беда. Есть специалисты «старой закалки», которые обладают правильным менталитетом, но не имеют знаний, соответствующих эпохе. Кто их должен переучивать? А главное, где? У нас нет центров повышения квалификации. Учебные центры, готовящие с нуля? Пожалуйста. ВУЗы, дающие базовое образование? Пожалуйста. А вот центров именно переподготовки практически нет. А значит те специалисты, которые могли бы еще послужить Родине, остаются не у дел – с их уровням знаний они не востребованы. На одной из конференций прозвучала интересная цифра. 68% сотрудников отделов защиты информации в госструктурах получило образование до 1975 года. Т.е. тогда, когда о персоналках и сетях никто вообще ничего не знал, и даже современная криптография была практически известна.
Какова материально-техническая база современного ВУЗа, готовящего специалистов по безопасности? Сколько получает преподаватель ВУЗа? Используют ли они современные оборудование и программные решения? Эти вопросы уже рассматривались в статье
«Почему ВУЗ не способен подготовить специалиста по безопасности», поэтому не буду повторяться. Также не буду лишний раз говорить о практике. Выпускнику летного училища необходим налет не менее 150 часов. На практике сейчас он имеет около 60. В ИБ тоже самое. Время, выделенное стандартом Минобрнауки на практические занятия, составляет12 недель… за 5 лет. Комментарии излишни.
Но проблема не только в материально-технической базе и практике – проблема куда серьезнее. Мы до сих пор учим специалистов-теоретиков, которые нужны только различным НИИ и другим «институтам проблем изучения…». К практической работе «в поле» эти выпускники не приспособлены в принципе. Наша система образования катастрофически устарела и не поспевает за современным развитием ни информационных технологий, ни технологий безопасности. Мне могут возразить, что ВУЗ дает базовое образование, закладывает основу. В ответ могу заметить, что основа закладывается в школе, ну да не суть. Даже правильную базу ВУЗ дать не может, потому что он ориентирован в первую очередь на госструктуры, а не бизнес. Но даже если ВУЗ дает базу, то кто должен давать все остальное? Коммерческие учебные центры?
Но они не способны решить проблему в принципе. Есть классический закон во многих сферах нашей жизни – финансы не должны быть превыше безопасности (как и не стоит экономить на безопасности). Сейчас ситуация, к сожалению, меняется. Кто платит, тот и заказывает музыку. Хотите сертификат соответствия? Пожалуйста. Хотите «защищенный» дизайн (но чтобы не напрягаться) специально под Вас? Пожалуйста. Хотите нужное заключение аудитора? Пожалуйста. Много ли вы можете вспомнить случаев отказа в выдаче сертификата соответствия ФСТЭК? Если продукт подан на сертификацию, значит можно быть уверенным, что он получит вожделенную бумажку. Тоже и с обучением. Платная подготовка конечно нужна, но она никогда не заменить государственную кадровую политику, проводимую на самом верху. А ее нет, несмотря на наличие большого количества органов, якобы отвечающих за формирование этой самой политики.
И это еще одна фундаментальная проблема нашей отрасли в России – отсутствие органа, ответственного за информационную безопасность. Не отвечающего, а именно ответственного. Есть ФСТЭК, есть ФСБ, есть Мининформсвязь… Занимаются все и никто. Очень давно, на одной из конференций АДЭ, был поднят актуальный до сих пор вопрос: «Зачем нам нужна обязательная сертификация средств защиты, если сертификационный орган не несет никакой ответственности за взлом сертифицированной им системы защиты?» Вопрос остался без ответа до сих пор. Требования обязательной сертификации есть. Деньги, и немалые, за сертификацию есть. Ответственность за использование несертифицированных СЗИ или деятельность без лицензии есть. А вот ответственности регулятора за взлом этой СЗИ нет. Кстати, за информационную безопасность бизнеса у нас в России не отвечает никто. Если внимательно почитать положения о ФСБ, ФСТЭК и т.д., в них ни слова не сказано о последних двух элементах триптиха «государство - общество – бизнес», только о критичных инфраструктурах и органах власти (кроме четвертой). Собственно и сами ВУЗы готовят специалистов в интересах обеспечения государственной системы защиты информации.
А кто у нас отвечает за расследование инцидентов безопасности? В мире есть FIRST, CERT и другие. В России опять нет никого. Когда-то была попытка создать RU-CERT, но из нее ничего не вышло. Сейчас ряд операторов объединилось в межоператорскую группу анализа инцидентов безопасности (МЕГА). Но это только для операторов и до практической работы дело пока не дошло. Если инциденты и расследуются, то только в очень редких случаях или «громких» делах и без какого-либо «разбора полетов» и донесения результатов экспертизы до всех заинтересованных лиц с целью предотвращения повторных проблем.
Другая проблема – продукты иностранного производства. Я не берусь судить плохо или хорошо, когда на локальный рынок приходит продукт из-за рубежа. Это рынок и от этого никуда не деться. Такое явление существует в любой стране и в любой отрасли – авиация, автомобили, фармацевтика, алкоголь, продукты питания и т.д. Дело в другом. Отрасль информационной безопасности сейчас очень сильно завязана на западного производителя – подавляющее число продуктов на рынке вышло «из под пера» западного производителя – Cisco, Microsoft, Symantec, Trend Micro, IBM и т.д. Кто и, главное где, будет учить эксплуатации этих решений? С Cisco все понятно. У нее есть программа Cisco Network Academy, в рамках которой при ВУЗе любой студент может факультативно и бесплатно пройти обучение по современным информационным технологиям (хотя она тоже дает в основном базу), в т.ч. и по безопасности. В России таких академий около 100, хотя только в одной Румынии – за 200. Да и бесплатных курсов на сайте www.cisco.com предостаточно. С Microsoft ситуация аналогичная. А другие вендоры? У кого из них есть такие действующие в России программы? Ни у кого. Даже авторизованные учебные центры в России есть не у каждого производителя. А ездить учиться за рубеж под силу далеко не каждому (особенно выпускнику). Тем более что в этом случае речь идет о тех же 2-3-хдневных курсах, а не о полноценной системе обучения. Если же готовить специалистов у нас, то предусматривают ли вузовские бюджеты таких затраты? Ведь в этом случае нужно не только закупить оборудование или лицензии на программное обеспечение, но и обучить инструкторов и преподавателей. А тут еще и проблема английского языка, которым должны владеть все, изучающие западные решения. Надо заметить, что эта проблема касается не только западных продуктов, но и российских. Из всех вендоров только «Лаборатория Касперского» заявляет о своей целенаправленной программе помощи ВУЗам и включении своих знаний в программу подготовки специалистов по защите. И хотя этим преследуется также и коммерческая цель («что знаю по ВУЗу, то и покупаю по работе»), такие программы подготовки играют и «просто» обучающую роль.
Что делать-то, - спросите вы? Сразу скажу, что в этой статье я не планировал искать секрет философского камня и не предложу рецепт выхода из тупика. Уж слишком много у него ингредиентов должно быть и участвовать в процессе должен не один повар, а целая академия «кулинарного» искусства. Возможно, в одной из следующих статей я набросаю направления, по которым мы должны двигаться, чтобы вывести отрасль информационной безопасности из тупика. Сейчас мне хотелось бы просто наметить те основные проблемы, с которыми приходится сталкиваться уже сейчас и придется столкнуться в обозримом будущем. И поэтому надо с определенной долей скепсиса относиться к заявлениям, звучащим с высокой трибуны о том, что рынок ИБ в России на подъеме и перспективы самые радужные.
Об авторе:
Алексей Лукацкий, консультант по безопасности