Кафедра ИБ: как и чему учат тех, кто предотвращает утечки информации

Утечка персональных данных и информации ограниченного доступа является одной из самых острых проблем в современном мире. Крупные компании тратят огромные ресурсы для сохранения конфиденциальности данных и уделяют особое внимание уровню компетентности сотрудников, от которых зависит безопасность, а значит, и репутация корпорации в целом. О том, как и чему учат тех, кто предотвращает утечки информации, мы поговорили с профессором кафедры информационной безопасности НИУ МИЭТ Александром Душкиным.

— Александр Викторович, как вы пришли к тому, чем сейчас занимаетесь? Вы, насколько нам известно, раньше работали в Воронеже, в военной отрасли.

— Во время обучения в школе абсолютно не предполагал, что когда-либо моя жизнь будет связана с защитой информации. Хотел быть военным. В 1984 году поступил в Воронежское высшее военное инженерное училище радиоэлектроники. В нем готовили специалистов радиоэлектронной борьбы, способных создавать невидимый радиоэлектронный щит для различных образцов вооружений и, тем самым, делать нашу технику (самолеты, ракеты, танки и т. д.), а также различные военные или стратегические объекты (аэродромы, командные пункты, штабы), практически неуязвимыми для противника. В то время это считалось перспективным направлением, как, впрочем, и сейчас.

После окончания военного училища служил в войсках и через некоторое время вернулся в родное училище на одну из основополагающих кафедр. Далее было проще — адъюнктура и педагогическая работа, неразрывно связанная с научными исследованиями. Рядом, буквально за забором училища, находился научно-исследовательский институт, в котором разрабатывались и испытывались новейшие образцы техники радиоэлектронной борьбы. Наши организации проводили совместные научно-исследовательские и опытно-конструкторские работы, а наиболее подготовленные курсанты проходили практику у соседей, участвовали в разработке перспективных образцов вооружений и выполняли выпускные квалификационные работы под чутким руководством проектировщиков. Первые образцы новой техники, как правило, поступали в распоряжение нашего вуза. Да, было интересно!

Службу закончил начальником кафедры, а в ходе исследований подготовил докторскую диссертацию, в которой подробно рассматривались вопросы информационной безопасности. Потом предложили создать и возглавить кафедру информационной безопасности телекоммуникационных систем в одном из вузов силовых ведомств. Получилось не только поставить курсы по двум специальностям в сфере защиты информации, но и открыть адъюнктуру в области информационных технологий и безопасности. Но, увы, люди не могут служить вечно! Когда-то приходит срок снимать погоны. А тут в очередной раз на аккредитацию одной из специальностей приехал Анатолий Анатольевич Хорев, один из «китов» в области информационной безопасности, и предложил должность профессора на кафедре информационной безопасности НИУ МИЭТ, которую он возглавляет. Так как я уже не понаслышке знал уровень подготовки специалистов по защите информации в данном вузе и воочию видел мощнейший уровень материально-технической базы кафедры, сомнений было немного.

— Сейчас все чаще говорят о том, что самая востребованная профессия будет у тех, кто сумеет удалить цифровые следы. Почему это так?

— Увы, если вы думаете, что в виртуальном пространстве можно творить все, что заблагорассудится, и за это ничего не будет, то очень сильно ошибаетесь! Даже если вы пользуетесь так называемыми анонимайзерами и совершаете неправомерные действия или просто глупости с подставных адресов, то это совсем не означает, что вас невозможно вычислить. Интернет так устроен, что следы все равно останутся, даже если их попытаться зачистить. И это уже вопрос квалификации и возможностей специалиста по обнаружению источника злонамеренного воздействия или «шутника». С развитием новых способов хакерских атак одновременно происходит развитие новых способов их обнаружения и предотвращения. Закон философии — единство и борьба противоположностей. Поэтому вопрос не в удалении цифровых следов, а в квалификации и возможностях специалистов в области информационной безопасности.

— Сегодня все мы активно используем социальные сети, электронную почту, облачные хранилища — насколько это безопасно?

— Современную жизнь уже невозможно представить без IT-технологий, которые ускоряют наши коммуникационные возможности. Важно помнить, что бездумное использование информационных технологий не ведет ни к чему хорошему. Существует много сервисов, способствующих бизнесу, общению, коммуникации, но при этом нельзя забывать о том, что информация, поступившая в Интернет, там и остается. Даже если вы сами ее попытаетесь удалить, у вас ничего не получится.

Простой пример. Вы послали партнеру по бизнесу электронное письмо с конфиденциальной информацией и тут же его удалили. Ваш партнер получил письмо, прочитал и тоже удалил. Все это не означает, что этой конфиденциальной информации в сети не осталось! Многие об этом не задумываются. А теперь вспомните про закон Яровой. Подумайте, что обязан сделать оператор связи, предоставивший вам услуги. Правильно, записать эту информацию и хранить определенное время. То, что вы с партнером удалили, исчезло из ваших аккаунтов, но осталось на серверах оператора связи и не только! Как будут развиваться дальнейшие события зависит от благонадежности сотрудников тех подразделений связи, через которые прошли ваши сообщения… Кстати, статистикой доказано, что в более 80% случаев утечки информации происходят по вине сотрудников организации, т. е. внутреннего нарушителя. Вы, наверное, не раз слышали, что на черном рынке можно купить практически любую базу данных. Я не сомневаюсь, вы догадываетесь, как они туда попадают!

Далее поговорим о социальных сетях. С одной стороны, различные социальные сети созданы для удобства общения. Многие туда выкладывают информацию о своих увлечениях, работе. Делятся самыми животрепещущими подробностями своей жизни, фотографиями и т. д. Некоторые закрывают свои аккаунты, общаются только в кругу родственников, друзей, знакомых и думают, что все в порядке, но на самом деле… Вспомните, что я говорил до этого. Все, что один раз попало в сеть, удалить практически невозможно! Кроме того, существует множество готовых программ, позволяющих даже обычному пользователю, но задавшемуся определенной целью вскрыть ваш аккаунт, получить интересующую его информацию. На основании этой информации, которую вы сами же и выложили, можно определить круг вашего общения, ваш материальный достаток, интересы, время, когда вас не бывает дома, и т. д. и т. п. Выводы делайте сами. Все зависит от того, кем является лицо, получившее доступ к информации вашего аккаунта. Я думаю, что достаточно подробно ответил на ваш вопрос.

— Да, спасибо, более чем. У кафедры информационной безопасности МИЭТа отличная репутация, она считается одной из самых сильных в России. В чем основные преимущества обучения специалистов по защите информации в вашем университете?

— Наша кафедра осуществляет полный 3-х ступенчатый цикл подготовки специалистов по направлению «Информационная безопасность»:

• бакалавров по профилю «Техническая защита информации»;
• магистров по программе «Аудит информационной безопасности»;
• аспирантов по программе «Методы и системы защиты информации, информационная безопасность».

То есть сначала учим «как и чем защищать информацию», потом обучаем «проведению контроля принятых мер защиты», а на третьем этапе — «проектированию и разработке новых перспективных методов, систем и средств защиты информации».

Заведующий кафедрой А.А. Хорев имеет богатейший практический опыт и сильнейшую теоретическую базу. Он с особой тщательностью подбирает преподавательский состав. Как правило, это люди, проработавшие не один десяток лет в области информационной безопасности в различных ведомствах, в том числе и силовых, и имеющие большой педагогический и научный опыт: 80% профессорско-преподавательского состава имеют научные степени и научные звания; 31% из числа руководителей и работников организаций, деятельность которых связана с информационной безопасностью; двоим сотрудникам присвоено звание Почетный работник высшего профессионального образования РФ.

Практика осуществляется в ведущих организациях, занимающихся различными аспектами в области защиты информации, начиная с разработки и производства аппаратных и программных средств и заканчивая аудитом информационной безопасности. Кафедра поддерживает связь с 37 научно-образовательными партнерами, где обучающиеся оттачивают свои теоретические знания, умения и приобретают практический опыт деятельности. Кроме того, периодически на базе кафедры проводятся мастер-классы с ведущими специалистами в области защиты информации и выпускниками кафедры, которые делятся с обучающимися своим опытом деятельности, рассказывают о перспективах и современных трендах в области информационной безопасности.

Пример: абсолютное большинство наших студентов ежегодно участвует в независимом Добровольном квалификационном экзамене в области информационной безопасности, проводимом Правительством города Москвы. Даже самые слабые набирают около 70 баллов по каждому из направлений. Ряд наших студентов становятся призерами.

Кстати, во время обучения на кафедре можно параллельно получить второе военное образование в Военном учебном центре при МИЭТе, после чего желающие могут поступить на службу в различные силовые ведомства. В итоге из юных выпускников школ получаются «маститые» дипломированные специалисты, которых с удовольствием берут на работу не только в ведущие коммерческие структуры, но и органы государственной исполнительной власти, а также силовые ведомства — Министерство обороны РФ, ФСБ, ФСО, ГРУ, МВД и т. д.

– Каких ребят вы ждете? К чему они должны быть готовы, выбирая эту специальность?

– Я думаю, что основные качества, которыми должны обладать поступающие по данному направлению – это соответствующая мотивация и целеустремленность. Учиться у нас интересно! Тем более, что в ходе обучения при одинаково хорошей базовой подготовке можно выбрать свою специализацию. Если больше тянет к технической защите информации – делай упор на нее, больше нравится защита компьютерных систем – занимайся защитой автоматизированных систем и сетей от несанкционированного доступа. Каждый найдет себе занятие по душе! Не в каждом вузе вам такое предложат! Тем более, что в большинстве вузом вам будут предлагать только одно направление, связанное с защитой компьютерных систем и сетевой безопасностью. Техническая защита информации – это наш конек! Такой уровень подготовки вы вряд ли где найдете!

– Как студенты ИБ участвуют в научной работе? Есть ли у кафедры зарубежный опыт и какие перспективы видите на будущее в этой теме?

– При кафедре создан инновационный Научно-технический центр «Техническая защита информации» (НТЦ ТЗИ) на базе которого развернута аттестованная лаборатория «Специальных проверок и специальных исследований».

Лаборатория оборудована полным комплектом современного оборудования, предназначенного для сертификации аппаратных и программно-аппаратных систем и комплексов, а также для аттестации выделенных помещений и объектов информатизации.

Здесь обучающиеся проводят следующие исследования:

- системный анализ прикладной области, выявление угроз и оценка уязвимости информационных систем;

- обоснование выбора состава, характеристик и функциональных возможностей систем и средств обеспечения информационной безопасности объектов защиты на основе российских и международных стандартов;

- разработка программ и методик испытаний средств и систем обеспечения информационной безопасности;

- аудит информационной безопасности информационных систем и объектов информатизации;

- аттестация объектов информатизации по требованиям безопасности информации.

Кроме того, студенты могут проходить производственную практику – научно-исследовательскую работу в тех организациях, где они трудоустроены. А это, как правило организации – разработчики технических и аппаратно-программных средств защиты информации.

Таким образом, вы сами видите, что на кафедре есть возможность для полноценного становления специалиста по информационной безопасности.

Зарубежный опыт, в силу специфики направления деятельности, пока ограничен участием в международных научно-технических конференциях и выставках, где наши студенты часто становятся победителями или занимают призовые места.

– Над чем сейчас работает кафедра ИБ?

– Вы знаете, работы много и всю ее хочется сделать. Например, единый Центр оценки компетенций в области технической защиты информации планируется создать при поддержке Ассоциации защиты информации на базе НТЦ ТЗИ МИЭТ. А это означает, что где бы не готовились специалисты по информационной безопасности, а подтверждение квалификации они будут получать у нас в МИЭТе.

Кроме того, в данное время завершается работа по организации курсов дополнительной профессиональной подготовки в области защиты государственной тайны. И это только маленькая часть того, над чем мы работаем. Идей много – кто бы делал! Кстати, и здесь не обходится без непосредственного участия студентов. Они не только учатся, но и участвуют в разработке учебно-методических материалов, подготовке лабораторных и практических работ. А в рамках педагогической практики участвуют в проведении занятий.

— Александр Викторович, кем становятся ваши выпускники?

— Направления, по которым ведется обучение на кафедре, очень востребованы сегодня. 100% наших выпускников трудоустроены, из них 86% работают по специальности, а остальные — в смежных областях, как правило, в сфере IT. Причем многие ведущие коммерческие организации, регуляторы, интеграторы и вендоры в области информационной безопасности сами выходят на руководство кафедры и просят подобрать студентов, как правило, магистров, а в некоторых случаях и бакалавров, с определенными профессиональными качествами. Мало того, они берут их на работу еще во время обучения в вузе. Там же студенты проходят практику. Кроме того, уже который год осуществляется целевой набор по заказу Федеральной службы технического и экспортного контроля России, являющейся регулятором в области информационной безопасности. Не всякому вузу может доверить федеральная служба подготовку своих специалистов. Это о многом говорит!

Диапазон должностей выпускников — от специалиста (инженера) по защите информации до руководителя организации (подразделения). Вот только небольшой список наиболее крупных организаций, где работают наши выпускники: Центробанк, Сбербанк, ВТБ, Тинькофф банк, «Роснефть», «Газпром», «Ростелеком», «Ростех», IBM, «Лаборатория Касперского», «Ангстрем», «Элвис-плюс», «Эшелон», «Гамма», «Информзащита», «Код безопасности», «Сюртель» и т. д. Это я еще не затрагивал федеральные ведомства и службы, федеральные и муниципальные органы исполнительной власти, силовые ведомства и т. п.

Ряд наших выпускников уже достигли определенных высот. Возглавляют соответствующие подразделения не только в органах федеральной и муниципальной исполнительной власти, но и в банках, коммерческих организациях. Предела для карьерного и профессионального роста нет!

— Это правда, что сотрудники, чья работа связана с информационной безопасностью компании, как правило не имеют возможности выезжать за границу?

— Вопрос, конечно, спорный. Все зависит от уровня специалиста и степени его ознакомленности со сведениями, составляющими государственную тайну. Далее, в силу вступает российское законодательство, согласно которому после ознакомления с рядом грифованных документов необходимо получать согласие соответствующих органов для выезда за границу. Ничего страшного в этом нет. Для меня, например, особых ограничений в этом смысле после службы пока не было. По крайней мере, я не чувствую себя обделенным.

Источник: Зеленоград.Ру