Безопасник – это человек, которого все и любят, и ненавидят одновременно. Ненавидят – потому что безопасник буквально усложняет всем жизнь, он приходит и говорит: «Вы, конечно, очень интересно написали эту фичу, но нужно ее переписать и усложнить в 10 раз, ибо не секьюрно». Любят – потому что когда по крупным компаниям прокатывается волна взломов, и эта волна не задевает вашу компанию – все дружно выдыхают, не зря переписывали код. Хотя отметим, что лавры безопасникам выдают нечасто, обеспечение информационной безопасности компании – оно как шпионаж, начинает быть заметным только после того, как что-то идет не так. Ниже – о том, кто такие специалисты по ИБ, чем они занимаются, сколько им платят и можно ли попасть в специалисты без опыта в IT (спойлер: практически нельзя).
Специалист по ИБ – это довольно широкое понятие, потому что «обезопасить», как и взломать, можно что угодно. Если смотреть широко, то нужно ввести понятие «инциденты ИБ», а для этого нужно понять, что такое «информационная безопасность». Информация бывает разной, но нас особенно интересуют 2 раздела: приватные данные и код. Приватные данные – это данные пользователей вашего продукта. Это могут быть данные пластиковых карточек, логины и пароли, контактные данные и так далее. Даже список покупок относится к приватным данным: если есть некий секс-шоп, который записывает фамилию-имя-отчество + список покупок пользователя, утечка этих данных с последующим обнародованием может доставить массу неудобств клиентам. Второй важный тип данных – это код. За код заказчики платят деньги, код – это интеллектуальная собственность, рожденная головами программистов.
Даже если половина кода – это ctrl-c ctrl-v со stackoverflow, код все равно представляет ценность, потому что программисты собрали его воедино и заставили работать.
Инциденты информационной безопасности – это когда вышеописанные данные попадают в руки третьим людям. Заметьте, что здесь речь идет не только про взлом – иногда в расследованиях инцидентов выясняется, что данные утекли по случайности. В любом случае такие инциденты в информационных технологиях ведут к убыткам бизнеса: разгневанные пользователи секс-шопа подают в суд за разглашение персональных данных, другие компании начинают бесплатно пользоваться наработками, за которые ваша компания платила программистам и так далее. Про репутацию и говорить нечего. Так вот, задача безопасника – не допускать таких инцидентов.
Два основных подхода в сфере ИБ – это недопущение утечек (превентивное исправление) и исправление тех утечек, которые уже есть, но были найдены безопасником раньше, чем хакерами. Вам может показаться, что намного проще сразу создать абсолютно безопасное приложение, но есть плохие новости: это в принципе невозможно. Дело в том, что разработчики вынуждены пользоваться чужим софтом, чтобы написать свой: никто не будет писать Windows с нуля, чтобы создать игру «Сапер». А в больших чужих программах иногда обнаруживаются ошибки (уязвимости), и повлиять на это никак нельзя. Задачи безопасника:
Из этого списка вам уже может стать понятно, почему в сферу кибербезопасности не берут людей без айтишного опыта. Среди профессиональных навыков безопасника – глубокое понимание технологий, с которыми работает его компания, а без опыта, чисто на теории, этого понимания достичь нельзя. Поэтому в сфере компьютерных технологий «безопасниками не рождаются, безопасниками становятся»: в сетевых технологиях в эту профессию идут сисадмины и девопсы, в разработке для обеспечения информационной безопасности привлекают тестировщиков и девелоперов.
Пожалуй, сообщим вам последнюю плохую новость и перейдем к дальнейшим разделам. Работа в сфере обеспечения информационной безопасности – тяжелая и неблагодарная:
Если ничего из этого вас не смущает – двигаемся к обзору рынка.
На август 2022 года по запросу «информационная безопасность» на hh.ru можно найти 5 900 вакансий, 2 400 из них – с указанной зарплатой. У 1 100 вакансий зарплата – меньше 65 000 рублей, у 1 300 вакансий – зарплата от 65 000 до 125 000 рублей. Заметим, что часто информационная безопасность является одним из требований для junior-сисадминов, отсюда и низкие зарплаты (чистые ИБшники с опытом часто получают от 150 000 рублей).
По основным требованиям для сферы информационной безопасности:
Отдельно отметим 2 момента: ВУЗы и работа в госструктурах. По высшему образованию вообще нет никаких требований – ни один университет не может подготовить хорошего безопасника, потому что течения в этой сфере меняются очень быстро, а ВУЗы – штука неповоротливая. Диплом требуется только в госструктурах, но вы вряд ли захотите там работать, потому что:
Поэтому не рекомендуем рассчитывать ни на высшее техническое образование, ни на работу в госах.
Самый простой старт – через системного администратора UNIX-систем. Во многих вакансиях этот специалист заодно и является начинающим безопасником, потому что администратору приходится сталкиваться с назначением ролей, установкой прав доступа, работой с защищенными протоколами – все это входит в список навыков безопасника. Через год-два, когда администрирование станет рутиной, можно будет рассматривать карьеру в информационной безопасности – сначала внедрять полезные практики из ИБ у себя на работе, а потом просить за это дополнительных денег и искать другую работу, если денег не дадут.
Сейчас одна из самых хлебных профессий в IT – это DevSecOps.
DevOps – это философия на стыке разработки (dev) и обеспечения этой разработки (ops), DevOps-специалисты на рынке крайне ценятся. DevSecOps – это DevOps, который дополнительно разбирается в информационной безопасности.
К примеру, на hh.ru по запросу DevSecOps есть 177 вакансий, зарплата указана только у 32, и:
Карьерный путь от junior-сисадмина до DevSecOps займет лет 5, но зарабатывать вы будете очень и очень большие деньги.
Школа |
Skillbox |
Стоимость |
101 122 руб |
Цена в рассрочку |
3 262 руб/мес |
Длительность курса |
12 месяцев |
Программа трудоустройства |
Есть |
Формат |
Запись лекций, Онлайн занятия с преподавателем |
Школа |
Skillfactory |
Стоимость |
156 960 руб |
Цена в рассрочку |
4 360 руб/мес |
Длительность курса |
13 месяцев |
Программа трудоустройства |
Есть |
Формат |
Запись лекций, Онлайн занятия с преподавателем |
Школа |
Нетология |
Стоимость |
128 300 руб |
Цена в рассрочку |
3 750 руб/мес |
Длительность курса |
13 месяцев |
Программа трудоустройства |
Есть |
Формат |
Запись лекций, Онлайн занятия с преподавателем |
Плюсы:
Минусы:
Если не хотите брать на себя столько ответственности – присмотритесь к вакансии системного администратора или девелопера. Если тянет в ИБ, но опыта нет – рассмотрите работу чистого пентестера. Пентестер – это человек, который взламывает продукт, чтобы найти в нем уязвимости. Что-то вроде ручного тестировщика, но в сфере информационной безопасности.
Это – более легкая, но все еще увлекательная работа.
Да, обязательно. По крайней мере вы должны уметь свободно читать, чтобы вовремя узнавать про новые угрозы.
Технически – можно. Когда вы устраиваетесь безопасником в госструктуру, на вас накладывают один из трех видов ограничений: выезд по предварительному уведомлению, выезд по предварительному согласованию, без выезда. В первом случае вы более-менее вольны выезжать, во втором случае вы можете выехать, если договоритесь с начальником.
Тезисно: