Кибербезопасность – уже не модное словечко из презентации, а одна из самых быстрорастущих сфер, а безопасник – актуальнейшая профессия последних лет. Если вы хоть раз задумывались, стоит ли в нее идти, то это статья для вас.
Автор: Роман Панин, независимый эксперт по информационной безопасности, автор канала “Пакет Безопасности”, ментор
Кажется, цифровой мир уже не вернется в эпоху паролей на бумажке. Атаки, слив персональных данных, латание дыр в системах безопасности – все это теперь естественный фон жизни.
Не только про хакеров в капюшонах
Большинство представлений о кибербезе – фэнтези. Образ один и тот же: человек в капюшоне, ночной экран с зеленым текстом, а где-то на фоне вот-вот рухнет Пентагон. В реальности все более обыденно, но от этого не менее интересно. Это не мир магии, а профессия с понятными задачами и направлениями.
Кто-то мониторит события безопасности в крупных системах и ищет странности в логах. Кто-то тестирует системы на уязвимости и пишет отчеты. Кто-то проектирует архитектуру безопасности с нуля. Есть и те, кто занимается политиками, комплаенсом, анализом рисков, обучением сотрудников. Но никто из них не выглядит как герой из хакерского триллера. Они обычные люди, только чуть более бдительные, чем остальные айтишники.
В кибербезе полно ролей, и далеко не все из них требуют навыков программирования. Это полноценная экосистема: с аналитиками, инженерами, менеджерами, юристами и даже детективами.
Почему сфера кибербезопасности так стремительно растет?
Причина проста и банальна: все в нашей жизни переехало в цифру, а защита не успевает за этим переездом. Кибербезопасность – вспомогательная функция, которая обслуживает все информационные технологии. Банки, больницы, электросети, госорганы, логистика, рестораны, школьные дневники – все подключено к сети Интернет, а значит, может быть атаковано. Чем больше становится цифровых систем, тем больше появляется точек входа, уязвимостей, рисков, поэтому потребность в тех, кто может находить и устранять бреши в безопасности будет постоянно расти.
Быстрый рост и стремительное развитие ИТ привели к хронической нехватке специалистов по информационной безопасности. По данным аналитического исследования "ЦСР "Северо-Запад" и Positive Technologies "Рынок труда в информационной безопасности в России в 2024–2027 гг.: прогнозы, проблемы и перспективы" [1], дефицит ИБ-специалистов уже составляет не менее 50 тыс. человек, и он будет только расти.
Рынок труда в ИБ, в отличие от ИТ, все еще кандидатский. То есть чаще всего не компании выбирают из сотен кандидатов, а сами кандидаты выбирают, куда пойти работать – нередко имея на руках сразу несколько офферов.
Многие компании открывают стажировки, вкладываясь в обучение, взращивая сотрудников практически с нуля. Зарплаты в большинстве регионов выше среднего уровня по рынку. Форматы гибкие, что раньше было чуждо для ИБ: можно работать в офисе, удаленно или комбинировать. Важно, что эта профессия в хорошем смысле антикризисная. Даже во времена экономического шторма, высокой ключевой ставки и прочих рыночных катаклизмов, специалисты по кибербезопасности все еще нужны и редко попадают под сокращение.
Кому подойдет кибербез?
Существует заблуждение, что если ты не умеешь писать код на трех языках и не поднимал свой сервер на Linux, то тебе в кибербез путь закрыт. Моя практика показывает, что люди приходят сюда из самых разных сфер. Есть бывшие юристы, гуманитарии, медики, инженеры, учителя. Да, "технарская" база – сильное преимущество, особенно если хочешь заниматься техническими аспектами, а не бумагами. Но даже если ты не пишешь код и не отличаешь TCP от UDP, то это не значит, что тебе нечего делать в сфере безопасности.
Ценно другое: способность разбираться в сложном, интерес к тому, как устроены системы, внимательность, желание учиться, следить за трендами, а главное – поспевать за ними. Технологии мира ИТ развиваются с высокой скоростью, и кибербезопасность неизбежно будет к этим изменениям адаптироваться, поэтому важно быть готовым к погружению в это инфополе.
Как войти?
Если не углуюляться в длинные списки ресурсов и сертификатов (их много и в свободном доступе), то путь в ИБ начинается с понимания составляющих современных ИТ-систем. Не просто "умею пользоваться компьютером", а на уровне "что происходит, когда я ввожу адрес сайта в браузере?" и "почему файрвол блокирует пакет?". Это не сфера ракетостроения, но тоже требует времени и усидчивости. В идеале нужно понять, как работают веб-сервисы (фронтенд, бэкенд), из каких компонентов они состоят (менеджеры очередей, базы данных, кэш и т.д.).
Далее следует обучение безопасности как таковой. Вы найдете достаточно много курсов, Telegram-каналов, видеоуроков, книг, тренажеров и даже менторов. Важно воспринимать это все именно как инструменты для достижения своих целей, а не как волшебную пилюлю, которая превратит вас в матерого кибербезопасника. Все эти вещи будут либо ускорять, либо оптимизировать путь, который вы можете пройти и самостоятельно, вооружившись Интернетом и ChatGPT. Не забывайте фиксировать где-то все то, что вы изучаете и в чем участвуете, – пригодится при создании резюме.
Различные сообщества и CTF – вам в помощь: там вы сможете обсудить насущные проблемы, получить поддержку и применить на практике освоенные навыки. Найти единомышленников всегда можно в профильных чатах и группах.
На первых порах вам могут пригодиться сертификаты об определенной квалификации, такие как OSCP, CISSP, CEH, OSWE, BSCP, CompTIA и пр. Это аналог диплома о полученном академическом образовании, но только в мире кибербезопасности. Большинство из них платные и стоят недешево, но они будут свидетельствовать о том, что не так давно вы подтверждали свои профильные навыки, что является немаловажным преимуществом в глазах потенциального работодателя.
При поиске первой работы у многих опускаются руки от бесконечных отказов, ограничений на 1–3 года опыта и множества сложных слов в описании вакансии – последние чаще всего легко гуглятся. Ограничение в опыте, как правило, копируется сотрудниками HR из вакансии в вакансию, поэтому не факт, что оно действительно есть. Ну, а отказы рано или поздно закончатся. Ищите открытые стажировки, постепенно изучайте все неизвестные термины, проходите собеседования и выписывайте вопросы, заданные на них. Вопросы – это конечное множество, поэтому так или иначе вы узнаете все, о чем вас могут спросить на интервью.
Карьера от SOC до CISO
Чаще всего для входа в мир кибербезопасности используют роли аналитика SOC (L1), пентестера и администратора/инженера СЗИ. Пробежимся поверхностно по каждой из них.
Аналитик первой линии (L1) SOC фильтрует и анализирует события безопасности, реагируя на простые инциденты и передавая сложные случаи старшим специалистам (L2/L3). Его главная задача – не пропустить атаку, используя все доступные инструменты безопасности.
Пентестер – это этичный хакер, который легально взламывает системы, приложения и сети, чтобы найти уязвимости до того, как это сделают злоумышленники. Его цель – не навредить, а помочь устранить бреши в безопасности. С разрешения владельца системы он имитирует действия злоумышленника.
Администратор/инженер СЗИ – это инженер, отвечающий за настройку, внедрение и поддержку технических и программных средств защиты информации в организации. Его задача: обеспечить конфиденциальность, целостность и доступность данных в соответствии с требованиями регуляторов и стандартов (ФСТЭК России, ФСБ России, GDPR, PCI DSS и др.).
Я перечислил три роли с наиболее низким порогом вхождения в ИБ. Благодаря им можно получить концентрированный опыт и насмотренность. Главное – быть проактивным и делать не только то, что говорят, но и наблюдать за тем, что происходит в соседних областях ИБ.
Через какое-то время у вас появится выбор: углубиться в техническую сферу (например, пойти в инфраструктурный пентест, архитектуру, AppSec, DevSecOps), уйти в сторону анализа и процессов (например, риски, комплаенс) или попробовать себя в управлении. Горизонтальные переходы тоже возможны. Тут нет единого правильного пути – можно всю жизнь копать глубже в одной теме и стать лучшим в своем ремесле. А можно расти вверх, строить команды и руководить целыми областями ИБ.
А минусы будут?
Будут. Во-первых, на входе вас ждет конкуренция. Несмотря на дефицит кадров и кандидатский рынок, новичков много, поэтому придется выделяться. Во-вторых, темп. Без постоянного обучения вы просто выпадете за борт, особенно на первых порах. В-третьих, эмоциональная нагрузка. В некоторых ролях, например реагирование на инциденты, работа может быть жесткой и выматывающей. Как и везде, может случиться выгорание. В-четвертых, не всё в этой работе романтично. Иногда придется не ловить хакеров, а объяснять менеджменту, зачем нужен еще один аудит. Ну и мое самое любимое, в-пятых, профдеформация. Это достаточно сильно зарегулированная сфера, свои истоки она берет из силовых структур, поэтому недоверие, дистанция и предвзятость – то, от чего мы все еще пытаемся избавиться.
Стоит ли идти в кибербез?
Зависит от мотивации. Если хочется просто "войти в айти", но не хочется много учиться и погружаться, то лучше выбрать что-то попроще, например QA – там побольше конкуренция, но и порог вхождения намного ниже, а рынок шире.
Если же вам действительно интересно, как работают системы, как устроены атаки, как можно защитить данные и людей, то специалист по ИБ – одна из лучших профессий, которую можно выбрать в наше время. Она сложная, требует дисциплины и ответственности, но взамен подарит востребованность на рынке, понимание большинства процессов в современном ИТ и ощущение важности, а это сегодня дорогого стоит.