Специалист по информационной безопасности – обзор профессии

Безопасник – это человек, которого все и любят, и ненавидят одновременно. Ненавидят – потому что безопасник буквально усложняет всем жизнь, он приходит и говорит: «Вы, конечно, очень интересно написали эту фичу, но нужно ее переписать и усложнить в 10 раз, ибо не секьюрно». Любят – потому что когда по крупным компаниям прокатывается волна взломов, и эта волна не задевает вашу компанию – все дружно выдыхают, не зря переписывали код. Хотя отметим, что лавры безопасникам выдают нечасто, обеспечение информационной безопасности компании – оно как шпионаж, начинает быть заметным только после того, как что-то идет не так. Ниже – о том, кто такие специалисты по ИБ, чем они занимаются, сколько им платят и можно ли попасть в специалисты без опыта в IT (спойлер: практически нельзя).

Специалист по информационной безопасности – кто такой и чем занимается

Специалист по ИБ – это довольно широкое понятие, потому что «обезопасить», как и взломать, можно что угодно. Если смотреть широко, то нужно ввести понятие «инциденты ИБ», а для этого нужно понять, что такое «информационная безопасность». Информация бывает разной, но нас особенно интересуют 2 раздела: приватные данные и код. Приватные данные – это данные пользователей вашего продукта. Это могут быть данные пластиковых карточек, логины и пароли, контактные данные и так далее. Даже список покупок относится к приватным данным: если есть некий секс-шоп, который записывает фамилию-имя-отчество + список покупок пользователя, утечка этих данных с последующим обнародованием может доставить массу неудобств клиентам. Второй важный тип данных – это код. За код заказчики платят деньги, код – это интеллектуальная собственность, рожденная головами программистов.

Даже если половина кода – это ctrl-c ctrl-v со stackoverflow, код все равно представляет ценность, потому что программисты собрали его воедино и заставили работать.

Инциденты информационной безопасности – это когда вышеописанные данные попадают в руки третьим людям. Заметьте, что здесь речь идет не только про взлом – иногда в расследованиях инцидентов выясняется, что данные утекли по случайности. В любом случае такие инциденты в информационных технологиях ведут к убыткам бизнеса: разгневанные пользователи секс-шопа подают в суд за разглашение персональных данных, другие компании начинают бесплатно пользоваться наработками, за которые ваша компания платила программистам и так далее. Про репутацию и говорить нечего. Так вот, задача безопасника – не допускать таких инцидентов.

Два основных подхода в сфере ИБ – это недопущение утечек (превентивное исправление) и исправление тех утечек, которые уже есть, но были найдены безопасником раньше, чем хакерами. Вам может показаться, что намного проще сразу создать абсолютно безопасное приложение, но есть плохие новости: это в принципе невозможно. Дело в том, что разработчики вынуждены пользоваться чужим софтом, чтобы написать свой: никто не будет писать Windows с нуля, чтобы создать игру «Сапер». А в больших чужих программах иногда обнаруживаются ошибки (уязвимости), и повлиять на это никак нельзя. Задачи безопасника:

1. Мониторить все новости в сфере ИБ и быстро ставить в известность команду разработчиков, если всплыла новая уязвимость.
2. Время от времени прибегать к аудиту информационной безопасности своей компании, чтобы самостоятельно находить и документировать дыры.
3. Постоянно консультировать разработчиков о проблемах, которые могут возникнуть при разработке той или иной фичи.

Из этого списка вам уже может стать понятно, почему в сферу кибербезопасности не берут людей без айтишного опыта. Среди профессиональных навыков безопасника – глубокое понимание технологий, с которыми работает его компания, а без опыта, чисто на теории, этого понимания достичь нельзя. Поэтому в сфере компьютерных технологий «безопасниками не рождаются, безопасниками становятся»: в сетевых технологиях в эту профессию идут сисадмины и девопсы, в разработке для обеспечения информационной безопасности привлекают тестировщиков и девелоперов.

Пожалуй, сообщим вам последнюю плохую новость и перейдем к дальнейшим разделам. Работа в сфере обеспечения информационной безопасности – тяжелая и неблагодарная:

1. Недальновидные коллеги будут относиться к вам с неприязнью.
2. Если что-то случится – на вас повесят всех собак.
3. Если ничего не случится – все будут думать, что вы зря едите свой хлеб.
4. Вы никогда не будете уверены в том, что вас не взломают.
5. Вы будете находиться в постоянном стрессе и поиске информации.

Если ничего из этого вас не смущает – двигаемся к обзору рынка.

Обзор рынка труда: перспективы и зарплаты

На август 2022 года по запросу «информационная безопасность» на hh.ru можно найти 5 900 вакансий, 2 400 из них – с указанной зарплатой. У 1 100 вакансий зарплата – меньше 65 000 рублей, у 1 300 вакансий – зарплата от 65 000 до 125 000 рублей. Заметим, что часто информационная безопасность является одним из требований для junior-сисадминов, отсюда и низкие зарплаты (чистые ИБшники с опытом часто получают от 150 000 рублей).

По основным требованиям для сферы информационной безопасности:

• опыт администрирования систем ИБ;
• сильные знания в компьютерных сетях, в том числе стек TCP/IP, модель OSI и защищенные сетевые протоколы;
• умение читать программный код на основных высокоуровневых языках (C++, Python, Java, JavaScript, C#);
• технологические знания, достаточные для проведения аудитов ИБ по используемым в компании технологиям;
• знание основных технологий мониторинга активности баз данных;
• опыт администрирования Windows/UNIX-систем (в том числе основные дистрибутивы Linux, отдельно – CentOS);
• опыт работы с сетевым оборудованием;
• стрессоустойчивость и коммуникативность.

Отдельно отметим 2 момента: ВУЗы и работа в госструктурах. По высшему образованию вообще нет никаких требований – ни один университет не может подготовить хорошего безопасника, потому что течения в этой сфере меняются очень быстро, а ВУЗы – штука неповоротливая. Диплом требуется только в госструктурах, но вы вряд ли захотите там работать, потому что:

1. Вам придется работать с очень старым программным обеспечением.
2. Зарплаты специалистов в госструктурах – так себе.
3. Зачастую ИБшники в госструктурах подписывают документ о неразглашении, который «бонусом» запрещает специалисту выезд за пределы страны в течение 5 лет.

Поэтому не рекомендуем рассчитывать ни на высшее техническое образование, ни на работу в госах.

Карьерный путь специалиста

Самый простой старт – через системного администратора UNIX-систем. Во многих вакансиях этот специалист заодно и является начинающим безопасником, потому что администратору приходится сталкиваться с назначением ролей, установкой прав доступа, работой с защищенными протоколами – все это входит в список навыков безопасника. Через год-два, когда администрирование станет рутиной, можно будет рассматривать карьеру в информационной безопасности – сначала внедрять полезные практики из ИБ у себя на работе, а потом просить за это дополнительных денег и искать другую работу, если денег не дадут.

Сейчас одна из самых хлебных профессий в IT – это DevSecOps.

DevOps – это философия на стыке разработки (dev) и обеспечения этой разработки (ops), DevOps-специалисты на рынке крайне ценятся. DevSecOps – это DevOps, который дополнительно разбирается в информационной безопасности.

К примеру, на hh.ru по запросу DevSecOps есть 177 вакансий, зарплата указана только у 32, и:

• у 1 из них – зарплата до 150 000 рублей;
• у 2 – зарплата от 150 000 до 225 000 рублей;
• у 4 – зарплата от 225 000 до 295 000 рублей;
• у остальных – зарплата от 295 000 рублей.

Карьерный путь от junior-сисадмина до DevSecOps займет лет 5, но зарабатывать вы будете очень и очень большие деньги.

Обучение на специалиста по информационной безопасности

Платные курсы

Курс «Специалист по кибербезопасности» от Skillbox

Курс ««Белый» хакер» от Skillfactory

Курс «Специалист по кибербезопасности» от Eduson Academy

Бесплатные курсы

• Общий курс по КБ. 9 уроков, в которых довольно развернуто объясняются основные виды атак.
• Основы кибербезопасности. Месячный курс, который детально вводит слушателя во все основы ИБ.
• Основы ИБ. Оксфордский курс с возможностью получить диплом.

Плюсы и минусы работы

Плюсы:

• Хорошо платят.
• Иногда можно изображать видимость бурной деятельности.
• Постоянно узнаете что-то новое.

Минусы:

• Стресс.
• Нужны сильные софт-скилы – придется много общаться.
• Нужно поглощать большие объемы информации.
• Большая ответственность.
• Вас далеко не всегда будут любить.

На какие еще направления стоит обратить внимание

Если не хотите брать на себя столько ответственности – присмотритесь к вакансии системного администратора или девелопера. Если тянет в ИБ, но опыта нет – рассмотрите работу чистого пентестера. Пентестер – это человек, который взламывает продукт, чтобы найти в нем уязвимости. Что-то вроде ручного тестировщика, но в сфере информационной безопасности.

Это – более легкая, но все еще увлекательная работа.

Что почитать по теме

• Статьи по ИБ на Хабре.
• 25 основных видов взломов и проникновений.

FAQ

Нужен ли английский?

Да, обязательно. По крайней мере вы должны уметь свободно читать, чтобы вовремя узнавать про новые угрозы.

Можно ли устроиться в госструктуру и иметь возможность выезжать за границу?

Технически – можно. Когда вы устраиваетесь безопасником в госструктуру, на вас накладывают один из трех видов ограничений: выезд по предварительному уведомлению, выезд по предварительному согласованию, без выезда. В первом случае вы более-менее вольны выезжать, во втором случае вы можете выехать, если договоритесь с начальником.

Подведем итоги

Тезисно:

• Специалист по информационной безопасности занимается предотвращением утечки данных компании и клиентов.
• Обычно в безопасники берут людей с опытом в IT.
• Платят безопасникам много, особенно в DevSecOps.
• Если очень хотите в эту сферу, а опыта нет – начните с пентестера (после курсов) или сисадмина.
• Работа – стрессовая.