Специалист по информационной безопасности – обзор профессии

Безопасник – это человек, которого все и любят, и ненавидят одновременно. Ненавидят – потому что безопасник буквально усложняет всем жизнь, он приходит и говорит: «Вы, конечно, очень интересно написали эту фичу, но нужно ее переписать и усложнить в 10 раз, ибо не секьюрно». Любят – потому что когда по крупным компаниям прокатывается волна взломов, и эта волна не задевает вашу компанию – все дружно выдыхают, не зря переписывали код. Хотя отметим, что лавры безопасникам выдают нечасто, обеспечение информационной безопасности компании – оно как шпионаж, начинает быть заметным только после того, как что-то идет не так. Ниже – о том, кто такие специалисты по ИБ, чем они занимаются, сколько им платят и можно ли попасть в специалисты без опыта в IT (спойлер: практически нельзя).

Специалист по информационной безопасности – кто такой и чем занимается

Специалист по ИБ – это довольно широкое понятие, потому что «обезопасить», как и взломать, можно что угодно. Если смотреть широко, то нужно ввести понятие «инциденты ИБ», а для этого нужно понять, что такое «информационная безопасность». Информация бывает разной, но нас особенно интересуют 2 раздела: приватные данные и код. Приватные данные – это данные пользователей вашего продукта. Это могут быть данные пластиковых карточек, логины и пароли, контактные данные и так далее. Даже список покупок относится к приватным данным: если есть некий секс-шоп, который записывает фамилию-имя-отчество + список покупок пользователя, утечка этих данных с последующим обнародованием может доставить массу неудобств клиентам. Второй важный тип данных – это код. За код заказчики платят деньги, код – это интеллектуальная собственность, рожденная головами программистов.

Даже если половина кода – это ctrl-c ctrl-v со stackoverflow, код все равно представляет ценность, потому что программисты собрали его воедино и заставили работать.

Инциденты информационной безопасности – это когда вышеописанные данные попадают в руки третьим людям. Заметьте, что здесь речь идет не только про взлом – иногда в расследованиях инцидентов выясняется, что данные утекли по случайности. В любом случае такие инциденты в информационных технологиях ведут к убыткам бизнеса: разгневанные пользователи секс-шопа подают в суд за разглашение персональных данных, другие компании начинают бесплатно пользоваться наработками, за которые ваша компания платила программистам и так далее. Про репутацию и говорить нечего. Так вот, задача безопасника – не допускать таких инцидентов.

Два основных подхода в сфере ИБ – это недопущение утечек (превентивное исправление) и исправление тех утечек, которые уже есть, но были найдены безопасником раньше, чем хакерами. Вам может показаться, что намного проще сразу создать абсолютно безопасное приложение, но есть плохие новости: это в принципе невозможно. Дело в том, что разработчики вынуждены пользоваться чужим софтом, чтобы написать свой: никто не будет писать Windows с нуля, чтобы создать игру «Сапер». А в больших чужих программах иногда обнаруживаются ошибки (уязвимости), и повлиять на это никак нельзя. Задачи безопасника:

1. Мониторить все новости в сфере ИБ и быстро ставить в известность команду разработчиков, если всплыла новая уязвимость.
2. Время от времени прибегать к аудиту информационной безопасности своей компании, чтобы самостоятельно находить и документировать дыры.
3. Постоянно консультировать разработчиков о проблемах, которые могут возникнуть при разработке той или иной фичи.

Из этого списка вам уже может стать понятно, почему в сферу кибербезопасности не берут людей без айтишного опыта. Среди профессиональных навыков безопасника – глубокое понимание технологий, с которыми работает его компания, а без опыта, чисто на теории, этого понимания достичь нельзя. Поэтому в сфере компьютерных технологий «безопасниками не рождаются, безопасниками становятся»: в сетевых технологиях в эту профессию идут сисадмины и девопсы, в разработке для обеспечения информационной безопасности привлекают тестировщиков и девелоперов.

Пожалуй, сообщим вам последнюю плохую новость и перейдем к дальнейшим разделам. Работа в сфере обеспечения информационной безопасности – тяжелая и неблагодарная:

1. Недальновидные коллеги будут относиться к вам с неприязнью.
2. Если что-то случится – на вас повесят всех собак.
3. Если ничего не случится – все будут думать, что вы зря едите свой хлеб.
4. Вы никогда не будете уверены в том, что вас не взломают.
5. Вы будете находиться в постоянном стрессе и поиске информации.

Если ничего из этого вас не смущает – двигаемся к обзору рынка.

Обзор рынка труда: перспективы и зарплаты

На август 2022 года по запросу «информационная безопасность» на hh.ru можно найти 5 900 вакансий, 2 400 из них – с указанной зарплатой. У 1 100 вакансий зарплата – меньше 65 000 рублей, у 1 300 вакансий – зарплата от 65 000 до 125 000 рублей. Заметим, что часто информационная безопасность является одним из требований для junior-сисадминов, отсюда и низкие зарплаты (чистые ИБшники с опытом часто получают от 150 000 рублей).

По основным требованиям для сферы информационной безопасности:

• опыт администрирования систем ИБ;
• сильные знания в компьютерных сетях, в том числе стек TCP/IP, модель OSI и защищенные сетевые протоколы;
• умение читать программный код на основных высокоуровневых языках (C++, Python, Java, JavaScript, C#);
• технологические знания, достаточные для проведения аудитов ИБ по используемым в компании технологиям;
• знание основных технологий мониторинга активности баз данных;
• опыт администрирования Windows/UNIX-систем (в том числе основные дистрибутивы Linux, отдельно – CentOS);
• опыт работы с сетевым оборудованием;
• стрессоустойчивость и коммуникативность.

Отдельно отметим 2 момента: ВУЗы и работа в госструктурах. По высшему образованию вообще нет никаких требований – ни один университет не может подготовить хорошего безопасника, потому что течения в этой сфере меняются очень быстро, а ВУЗы – штука неповоротливая. Диплом требуется только в госструктурах, но вы вряд ли захотите там работать, потому что:

1. Вам придется работать с очень старым программным обеспечением.
2. Зарплаты специалистов в госструктурах – так себе.
3. Зачастую ИБшники в госструктурах подписывают документ о неразглашении, который «бонусом» запрещает специалисту выезд за пределы страны в течение 5 лет.

Поэтому не рекомендуем рассчитывать ни на высшее техническое образование, ни на работу в госах.

Карьерный путь специалиста

Самый простой старт – через системного администратора UNIX-систем. Во многих вакансиях этот специалист заодно и является начинающим безопасником, потому что администратору приходится сталкиваться с назначением ролей, установкой прав доступа, работой с защищенными протоколами – все это входит в список навыков безопасника. Через год-два, когда администрирование станет рутиной, можно будет рассматривать карьеру в информационной безопасности – сначала внедрять полезные практики из ИБ у себя на работе, а потом просить за это дополнительных денег и искать другую работу, если денег не дадут.

Сейчас одна из самых хлебных профессий в IT – это DevSecOps.

DevOps – это философия на стыке разработки (dev) и обеспечения этой разработки (ops), DevOps-специалисты на рынке крайне ценятся. DevSecOps – это DevOps, который дополнительно разбирается в информационной безопасности.

К примеру, на hh.ru по запросу DevSecOps есть 177 вакансий, зарплата указана только у 32, и:

• у 1 из них – зарплата до 150 000 рублей;
• у 2 – зарплата от 150 000 до 225 000 рублей;
• у 4 – зарплата от 225 000 до 295 000 рублей;
• у остальных – зарплата от 295 000 рублей.

Карьерный путь от junior-сисадмина до DevSecOps займет лет 5, но зарабатывать вы будете очень и очень большие деньги.

Обучение на специалиста по информационной безопасности

Платные курсы

Курс «Специалист по информационной безопасности: расширенный курс» от Нетология

Курс «Специалист по кибербезопасности» от Skillbox

Курс «Инженер информационной безопасности» от ProductStar

Бесплатные курсы

• Общий курс по КБ. 9 уроков, в которых довольно развернуто объясняются основные виды атак.
• Основы кибербезопасности. Месячный курс, который детально вводит слушателя во все основы ИБ.
• Основы ИБ. Оксфордский курс с возможностью получить диплом.

Плюсы и минусы работы

Плюсы:

• Хорошо платят.
• Иногда можно изображать видимость бурной деятельности.
• Постоянно узнаете что-то новое.

Минусы:

• Стресс.
• Нужны сильные софт-скилы – придется много общаться.
• Нужно поглощать большие объемы информации.
• Большая ответственность.
• Вас далеко не всегда будут любить.

На какие еще направления стоит обратить внимание

Если не хотите брать на себя столько ответственности – присмотритесь к вакансии системного администратора или девелопера. Если тянет в ИБ, но опыта нет – рассмотрите работу чистого пентестера. Пентестер – это человек, который взламывает продукт, чтобы найти в нем уязвимости. Что-то вроде ручного тестировщика, но в сфере информационной безопасности.

Это – более легкая, но все еще увлекательная работа.

Что почитать по теме

• Статьи по ИБ на Хабре.
• 25 основных видов взломов и проникновений.

FAQ

Нужен ли английский?

Да, обязательно. По крайней мере вы должны уметь свободно читать, чтобы вовремя узнавать про новые угрозы.

Можно ли устроиться в госструктуру и иметь возможность выезжать за границу?

Технически – можно. Когда вы устраиваетесь безопасником в госструктуру, на вас накладывают один из трех видов ограничений: выезд по предварительному уведомлению, выезд по предварительному согласованию, без выезда. В первом случае вы более-менее вольны выезжать, во втором случае вы можете выехать, если договоритесь с начальником.

Подведем итоги

Тезисно:

• Специалист по информационной безопасности занимается предотвращением утечки данных компании и клиентов.
• Обычно в безопасники берут людей с опытом в IT.
• Платят безопасникам много, особенно в DevSecOps.
• Если очень хотите в эту сферу, а опыта нет – начните с пентестера (после курсов) или сисадмина.
• Работа – стрессовая.