Кібербезпека в Україні: шляхи розвитку та можливості

Кіберборотьба й кіберзахист стали одними із ключових елементів гібридної війни. Наші фахівці та хакери-волонтери не лише успішно протистоять нападам, а й завдають дошкульних ударів у відповідь. Торік зафіксовано понад 1,25 мільйона DDoS-атак на російську інфраструктуру (це 8,4% від усіх кібератак у світі). За оцінками керівника служби з питань інформаційної безпеки та кібербезпеки Апарату РНБО Наталії Ткачук, Україна – єдина держава, яка змогла здобути перевагу у протистоянні кібератакам та інформаційній агресії рф.

Проте маємо усвідомлювати: про остаточну перемогу наразі не йдеться. Ворог удосконалюється, маневрує, змінює вістря ударів. Нинішній тренд - інтелектуальні атаки задля виявлення слабких місць в інфраструктурі. І світовий досвід доводить: надійна робота систем кіберзахисту залишатиметься актуальною і в мирний час.

Державна політика

Формуванням і реалізацією державної політики у сфері кіберзахисту, захисту об’єктів критичної інфраструктури та державних інформаційних ресурсів у кіберпросторі в нашій країні опікується Держспецзв’язку (Державна служба спеціального зв’язку та захисту інформації України). Вона також відповідає за підготовку фахівців у цих напрямах, що потребує особливої гнучкості, аби нові кадри відповідали мінливим вимогам сьогодення. Для цього існує лише два шляхи.

Перший – впровадження змін у систему вищої освіти. Зараз абітурієнтам, яких цікавить робота, пов’язана із захистом інформації, доступна лише одна опція – спеціальність 125 “Кібербезпека” у галузі знань 12 “Інформаційні технології”. Однак її стандарти не забезпечують майбутнім фахівцям увесь спектр знань та навичок, необхідних на сучасному ринку праці. Вихід – розширення переліку освітніх можливостей у співпраці з МОН. Однак кооперація з іншою державною структурою ускладнює процес і розтягує його в часі, а зміни необхідні вже зараз.

Другий шлях – імплементувати міжнародні стандарти та кращі світові практики і розробити кваліфікаційну рамку професій у галузі кібербезпеки. Простими словами – розширити перелік можливих посад для кіберспеціалістів в українському Класифікаторі професій, а також створити для них відповідну систему оцінювання фаху. Саме у цьому напрямі Держспецзв’язку наполегливо працює останні роки. У результаті кількість професій галузі кіберзахисту та захисту інформації збільшилася із 2 до 27. Ще однією ініціативою є створення кваліфікаційних центрів, де фахівці з кібербезпеки і дотичних спеціальностей зможуть складати професійні іспити. Це дасть їм можливість виходити на ринок праці як вузькопрофільні спеціалісти, а роботодавцям знаходити саме ті кадри, яких вони потребують. Крім влаштування профільних іспитів, кваліфікаційні центри зможуть також надавати освітні послуги. Тому Держспецзв’язку всіляко підтримує ініціативи навчальних закладів та приватних компаній щодо заснування на їхній базі сертифікаційних центрів та отримання ними акредитації відповідно до чинного законодавства.

“Очевидно, що Держспецзв’язку не може лише власними силами розбудувати ринок праці. Ми як державний орган і регулятор – чи радше медіатор – можемо задавати орієнтовний напрямок руху для подальшого розвитку в галузі кіберзахисту та захисту інформації. Проте без підтримки вищих навчальних закладів, роботодавців, приватних компаній, які надають освітні послуги, побудувати систему професійної сертифікації та ринку праці просто неможливо”, – вважає заступник Голови Держспецзв’язку Олександр Потій.

Працевлаштування і кар’єра

Цього року в Україні запрацювала бета-версія метчингової платформи для підбору професіоналів у галузі кібербезпеки – CyberPeople. Вона працює за принципом відповідності навичок фахівців запитам потенційних роботодавців та орієнтована у першу чергу на інтереси кандидатів. На відміну від рекрутингових платформ, таких як LinkedIn, де одразу видно всі попередні місця роботи, трудову історію та фото власника профілю, CyberPeople захищає кіберспеціалістів від оціночних суджень і неетичної поведінки з боку рекрутерів.

“Я хочу зробити платформу такою, щоб вона була на боці професіоналів. Там будуть закриті профілі, а оцінювання відбуватиметься тільки за скілами (набутими навичками претендента на вакансію, - ред.). Зараз компанії кажуть, що на ринку немає достатньої кількості кваліфікованих працівників. Я із цим не зовсім згодна. Тож якщо ми запропонуємо компаніям зазначити навички, за якими вони шукають людей на ті чи інші позиції, і платформа сама їх оцінить, у підприємств не буде можливості сказати, що їм це не підходить. За результатами такого підбору компанії зможуть попросити кандидата відкрити свій профіль, а спеціаліст уже самостійно вирішуватиме, чи підходить йому пропозиція і чи хоче він проходити співбесіду”, – розповіла співзасновниця CyberPeople Ольга Насібулліна.

Наступним кроком розробки проєкту стане співпраця з навчальними платформами, яка дозволить фахівцям підтведжувати свої скіли та отримувати сертифікати відповідного рівня. Крім цього, платформа зможе запропонувати кіберспеціалістам побудову індивідуального кар’єрного треку, наприклад від джуніора (початківця) до мідла (фахівця зі стажем).

Загалом, говорячи про кар’єрні можливості та працевлаштування у галузі кіберзахисту, варто зазначити, що за останні кілька років підхід роботодавців до підбору нових працівників дещо змінився. Вимоги до практичних навичок кандидатів стали жорсткішими, при цьому суттєву роль у виборі найкращих претендентів стали відігравати їхні особистісні якості.

Своє бачення ситуації під час нещодавньої експертної дискусії на тему “Професії та кар'єра у сфері кібербезпеки” висловив керівник відділу IT-безпеки Raiffeisen Bank Євген Балютов: “Ще рік тому я б сказав: “якщо у вас горять очі, ви хочете щось робити і маєте базовий технічний бекграунд – окей, пограймо в цю гру. Нехай це буде півроку та personal development план, якщо у вас є амбіції – рушаймо!”. Зараз я скажу інакше. Коли команда вже збалансована, доводиться дуже акуратно ставитися до нових людей, що приносять нову культуру, нові цінності і якісь нові знання. Тому для мене важливий не тільки технічний бекграунд, а й здатність кандидата поділяти цінності команди, сформовані за роки. Наприклад, якщо весь колектив не проти гнучкого графіка та необхідності попрацювати ніч, коли горить дедлайн, а для когось одного це погано, то зазвичай це не дуже добре і для всієї організації. Тож ми намагаємося збалансувати роботу всіх членів колективу”.

Крім цього, змінилися пріоритети компаній у підготовці фахівців. З’явилася потреба саме у вузькопрофільних спеціалістах, котрі віртуозно володітимуть знаннями та навичками у своїй галузі. “Наприклад, у нашій компанії обов’язковою вимогою є англійська мова та рівень спеціалістів вище середнього. Зараз ми шукаємо фахівців з дуже глибокими точковими знаннями. Тобто універсали вже не такі цікаві, оскільки нам потрібні люди, які зможуть за рахунок своїх унікальних знань підсилити команду”, – зазначила Security Service Delivery Manager компанії EPAM Мирослава Стременецька.

Навіть попри те, що сфера кібербезпеки є глибоко технічною і потребує специфічного набору практичних умінь, тут так само високо цінуються навички спілкування, як і в багатьох інших галузях. А оскільки цей критерій здається не настільки очевидним при підборі фахівців, на ньому окремо акцентують уже досвідчені представники галузі кіберзахисту.

“Найприємніше шукати потрібних людей у ком’юніті (професійній спільноті), адже це ті, кого ми знаємо, і бачимо, як вони спілкуються. Технічні навички (hard skills) можна підтягнути, крім цього, їх легше перевірити. Соціально-комунікативні навички (soft skills) значно важче протестувати, а розвинути їх іноді неможливо. Тож коли ми зустрічаємо людину у ком’юніті і спостерігаємо її взаємодію з іншими, вже можна зрозуміти, як такий спеціаліст спілкуватиметься з клієнтами, замовниками, чи зможе він, наприклад, пояснити програмістам, як їм виконувати завдання, чи зможе вибудувати комунікацію з менеджментом. Важливим є те, як людина вміє презентувати себе, свій продукт або свою роботу. Адже безпека – невидима. Її потрібно презентувати, щоб компанії, усвідомлюючи свої вразливості, прагнули над цим працювати”, – наголосила Security Software Engineer компанії Cossack Labs Юлія Межер.

Освітні можливості

З початком повномасштабного вторгнення стало зрозуміло, що кібербезпека є одним з пріоритетних і критично важливих напрямів розвитку країни. Звичайно, різні освітні ініціативи для підготовки майбутніх фахівців у цій сфері існували й раніше. Проте останній рік ознаменувався появою нових навчальних проєктів і можливостей, створених не лише для молоді, а й для тих, хто наважився на повну професійну переорієнтацію.

Так, у березні Міністерство цифрової трансформації України започаткувало освітній проєкт re/start in cyber. Програма складається з двох етапів. Перший – проходження онлайн-курсу з основ кібербезпеки на базі Toronto Metropolitan University, що передбачає набуття теоретичних знань та практичних навичок. Другий – підготовка до майбутнього працевлаштування за участі рекрутингової компанії BazaIT, під час якої учасники дізнаються про правила написання CV (професійного резюме) та проходження співбесіди з роботодавцями. Для участі у програмі є певні вимоги:

українське громадянство;

досвід роботи в будь-якій галузі, крім кібербезпеки, не менш ніж півтора року;

володіння англійською мовою на рівні не нижче В2.

Результатом успішного проходження курсу стане отримання всесвітньо визнаного сертифіката GIAC Foundational Cybersecurity Technologies (GFACT).

Багато українських абітурієнтів також бачать своє професійне майбутнє у галузі кібербезпеки, тож обирають відповідну спеціальність для вступу до вищих навчальних закладів. Як зазначає координатор освітнього напряму “Кібербезпека” на факультеті інформатики Національного університету “Києво-Могилянська Академія” Трохим Бабич, для навчання у цій галузі не потрібно нічого особливого, крім стійких знань з математики і англійської мови, а також певної рамки мислення, яка допоможе студентові розуміти специфіку роботи з тими чи іншими технологіями. “Якщо саме по собі програмування – це вміння будувати будинок, то кібербезпека для мене – це певна ревізія будинку, яка дозволяє знаходити в ньому зайві двері та вікна”, – пояснив Бабич.

Загалом рівень зацікавленості кібербезпекою в українському суспільстві підвищується. А враховуючи стрімкі темпи зростання галузі, треба розуміти, що нині питання захисту інформації стосується абсолютно всіх. На цьому акцентував співзасновник CyberSchool Єгор Аушев: “Елементарними знаннями з кібергігієни зараз повинна володіти кожна людина. Ми намагаємося пояснювати компаніям, що співробітники мають приділяти кіберзахисту хоча б кілька хвилин на тиждень. Таким чином з’являється human firewall, тобто вибудовуються стіни всередині організації, які захищають її від 80% хакерських атак. Є різні рівні навчання у кібербезпеці, починаючи від школярів та студентів і закінчуючи колективами компаній. Ми як CyberSchool готові співпрацювати з університетами, хочемо ділитися досвідом та рухати багато проєктів. Адже цей human firewall всередині нашої держави також має будуватись. Чим обізнаніше суспільство у кібербезпеці, тим міцнішою буде наша країна”.

Нині Україна перебуває на передовій кібервійни. І хоча ці обставини негативно впливають на наше життя, їх можна використати для тестування нових ідей та технологій у галузі захисту інформації. Досвід, який ми здобуваємо в боротьбі з ворогом, робить наших кіберспеціалістів лідерами галузі на світовому ринку. Крім цього, починає формуватися попит на українські освітні проєкти серед фахівців за кордоном. Із цього можемо зробити висновок, що галузь кіберзахисту у нашій державі й надалі активно зростатиме та залучатиме нові таланти, і настане час, коли ми зможемо повноцінно поділитися набутим знаннями зі світом.

Анастасія Кириченко, Київ

Фото з відкритих джерел