За період повномасштабної війни росія здійснила понад 800 кібератак на українську інфраструктуру – сайти органів влади, оборонний, фінансовий, енергетичний та комерційний сектори (за даними Держспецзв’язку). Попри це, українські фахівці з кіберзахисту не тільки «тримають удари» – IT-армія успішно виводить з ладу тисячі сайтів агресора, зокрема й пов’язані з військовою інфраструктурою, а також стримують ворожу пропаганду. 


Кіберпростір – це важливий фронт, який потребує фахівців. Не тільки під час війни, а й у мирні й відносно стабільні часи – за прогнозами, після перемоги кібербезпека має стати одним із пріоритетів України, а відтак – потребуватиме ще більше талантів. Які саме спеціалісти затребувані і як розпочати кар’єру в цій перспективній галузі? Медіаплатформа budni поцікавилася в експертів. 


  


Олексій Барановський,


Application Security Engineer в Intellias, експерт із кібербезпеки,

куратор програми професійного розвитку у сфері кібербезпеки та реінтеграції ветеранів та ветеранок АТО/ООС «Кіберзахисники»

від Фонду Цивільних досліджень та розвитку США (CRDF Global)


Зараз війни ведуться зокрема й у кіберпросторі, це – важливий напрямок протистояння. Україна стала «полігоном» для відпрацювання російської кіберзброї ще задовго до початку повномасштабного вторгнення. Наприклад, у 2017 році відбулася найбільша кібератака у світовій історії вірусом notPetya (збитки оцінюються в десятки мільярдів доларів). А також низка інших атак, у яких теж підозрюють російські спецслужби – на міністерства, ЦВК, об’єкти енергосистеми, банки тощо. 


Є сучасні технічні засоби захисту та настанови щодо убезпечення систем і реагування на інциденти, і вони постійно розвиваються. Проблема в тому, що часто держави, організації та громадяни недооцінюють загрози і нехтують правилами, щоб запобігти ризикам. Наприклад, широко розповсюджене шахрайство з використанням мобільних телефонів – просто тому, що на них встановлюють стандартний пін-код, який легко зламати. А важливі персональні дані – наприклад, копії документів у «хмарі», мали б стати своєрідними цифровими «тривожними валізками» для українців


Новою важливою дисципліною в корпоративному секторі стає кібергігієна, зокрема – обережне ставлення до спам-листів і фішингових розсилок.


У бізнесі кібербезпека – це елемент керування операційними ризиками.


Загалом великі міжнародні та українські організації, зокрема й державні, зважають на загрози частіше, ніж малий та середній бізнес. І дарма, адже такі компанії також вразливі до атак. Наразі можна відзначити, що якщо в компанії роблять резервні копії інформації та встановлено якісні антивіруси – це вже непогано. 


Крім технологій та процесів, важливою складовою будь-якої системи – зокрема й кіберзахисту, є люди. Фахівці із кібербезпеки входять у топи найзатребуваніших. Наприклад, за даними Cybersecurity Ventures, з 2013 до 2021 року кількість відкритих вакансій у цій галузі зросла на 350% (з 1 млн до 3,5 млн). 


Спеціалістів бракує в усьому світі, тобто вона без сумнівів є перспективною. До того ж зараз галузь почала ділитися на вузькі спеціалізації, тобто професія розвивається. Підвищується рівень вимог до фахівців з боку роботодавців і росте коло сфер застосування в різних секторах, від фінансових організацій до сервісних компаній. А також у державному секторі, зокрема – в спецслужбах (наприклад, в Україні це Кіберполіція, Служба безпеки України, Збройні сили України тощо). 


Донедавна в Класифікаторі професій було всього дві, які стосуються кібербезпеки. Це не враховує стрімкого розвитку сфери. Тож у 2021 році додано ще 17 нових професій – серед них розробник систем захисту інформації, аналітик загроз безпеки, фахівець криптографічного захисту інформації, фахівець реагування на інциденти кібербезпеки, експерт-криміналіст сфери кібербезпеки та захисту інформації, слідчий кіберзлочинів тощо. 


Студенти та фахівці на початку кар’єри часто мріють стати пентестерами, тобто «етичними хакерами», які атакують системи для перевірки їхньої надійності (з дозволу власника). Потім із досвідом зазвичай обирають інші цікаві для себе напрямки – наприклад, стають інженерами систем інформаційної безпеки. Також тенденції в попиті на фахівців пов’язані з розвитком та появою нових технологій і, відповідно, засобів безпеки. 


В Україні більш ніж 50 навчальних закладів готують фахівців із кібербезпеки. Зокрема, у Військовому інституті телекомунікацій та інформатизації імені Героїв Крут. ​Проте диплом вишу не є ключовим фактором. Теоретичні знання можна отримати навіть на платформах для самонавчання. Роботодавці ж полюють насамперед на практичні навички. Здебільшого компанії шукають фахівців, які мають мінімум 2-3 роки досвіду, можливо навіть у близькому до кібербезпеки напрямку, а також – високо цінуються професійні сертифікації.




Ірина Карієва,

HR Manager, 10Guards


Кібербезпека є однією з найважливіших глобальних тем. Експерти підкреслюють, що через прискорення глобальної цифровізації світ стає все більш взаємозалежним. Навколо нас створюються цифрові екосистеми: країни, корпорації та приватні особи використовують переваги швидкого інтернету і «розумних» пристроїв. І в цьому контексті єдиної вразливої ланки достатньо, щоб порушити всю систему за принципом доміно. Світу важливо бути готовим до такого перебігу подій.


Щодня ми стикаємося з імовірністю кібератак. За даними Інтерполу, за час пандемії їхня кількість збільшилася в рази. Якщо тенденція останніх років збережеться, за прогнозами Cybersecurity Ventures, у 2025 світові збитки від кібератак складуть $10,5 трлн – втричі більше, ніж у 2015 році. 


Кібербезпека – це процес, а не завдання, яке можна виконати раз і назавжди.


Кіберзлочинці робитимуть спроби «пробити» навіть найсучасніші системи захисту, тому необхідно підвищувати їхню стійкість постійно. Загрозу можуть становити як окремі хакери, так і уряди зацікавлених країн. Водночас найслабшою ланкою в усіх системах безпеки є люди.Наприклад, дистанційна робота економічно вигідна, проте створює для бізнесу додаткові кібер-ризики. Інтернет-з’єднання з дому менш безпечне, а відтак простіше проникнути в мережу організації. Використовуючи онлайн-інструменти для роботи, треба надавати доступ до даних організації третім особам. Зростає й ризик фішингу та програм-вимагачів (в офісі працівники рідше переходять за невідомими посиланнями і частіше звертаються за допомогою в відділ безпеки в разі проблем). Із початком повномасштабної війни та масовою евакуацією людей в різні куточки України та світу загрози загострилися ще більше. Тому бізнеси мають регулярно проводити тренінги і семінари для співробітників, а також тестувати їхні знання.




Зараз фахівців із кібербезпеки критично бракує.


Як в Україні, так і в світі загалом. Зокрема, тому, що вища освіта відстає від темпів розвитку індустрії. І дефіцит кадрів буде тільки зростати.


Є велика проблема в підборі фахівців. Компанії часто вказують у вакансіях надлишкові вимоги чи самі не розуміють, хто їм потрібен. А фахівці, своєю чергою, не можуть чітко окреслити свої обов’язки на посаді. Як результат – наймають не тих людей, що призводить до проблем із кібербезпекою. Роботодавці часто шукають «кандидатів, які можуть все» – але кібербезпека схожа на медицину, бо має багато напрямків, кожний із яких вимагає спеціальних знань, умінь і якостей.


Компанії зацікавлені насамперед у кандидатах на інженерні позиції рівня мідл (Web Application, Mobile Application, Network), керівниках середньої ланки (Information Security Manager) та вищої ланки (CISO). Найбільший попит у бізнес-сегменті – в таких сферах, як банки, фінтех і ІТ (розробка).


З огляду на дефіцит фахівців, коли за певними спеціалізаціями немає не тільки кандидатів сеньйор- і мідл-рівнів, а й навіть «джунів» – розглядають і пошукачів без досвіду. Але це можуть собі дозволити компанії, які мають відповідний відділ, а відтак і ментора для початківця. 


Водночас поріг входу в професію досить високий: треба «копати глибоко», щоб відчувати себе впевненим фахівцем. Крім знань, для досягнення успіху фахівці з кібербезпеки мають відточувати здатність мислити нестандартно, розвивати свою цікавість та вчитися працювати з людьми. Більше уваги звертати на розвиток soft skills. Адже кібербезпека – це не «технолого-центрична», а насамперед – «людино-центрична» галузь


Технічні знання та soft skills за бажаною професією можна розвивати самостійно та в університеті. Дуже важливе також знання англійської мови.


Рівень заробітних плат, навіть на одній позиції в різних компаніях, значно варіюється. Зокрема, на нього впливає форма власності: в комерційних компаніях зарплати більші, але й відповідальність теж вища. Часто роботодавці збільшують свій хедкаунт фахівців з кібербезпеки, «перекуповуючи» їх з інших компаній і, звичайно, пропонують зарплату вище ринку. Також важливі фактори – це регіон, вид діяльності та затребуваність наших фахівців на міжнародному ринку.




Артем Коханевич,

CEO, GigaCloud


З кожним роком ми все частіше чуємо про витоки даних, DDoS-атаки та «діри» в системах безпеки програмного забезпечення. І це цілком зрозуміло: ІТ-сервісів більшає, вони стають складнішими, багато з них надаються за моделлю SaaS, при використанні якої замовнику лишається тільки вірити, що розробник приділяє достатньо уваги безпеці ПЗ та даних. 


Своєю чергою інструменти кіберзахисту теж постійно розвиваються, і при правильному застосуванні вони дозволяють побудувати високий рівень інформаційної безпеки. Водночас упевнений, багато людей не використовують ці інструменти. Наприклад, двофакторну авторизацію, резервні email та телефонні номери в системах авторизації Office365, Google, Facebook тощо. Бачили попередження при створенні логінів на сайтах і в системах, що пароль компрометований і його потрібно замінити – але не зробили це. Мовляв, «довго, лінь, потім, якось пронесе». 


Часто ми знаємо, що потрібно робити, але нехтуємо цим – до першого значного інциденту. Так і кібербезпекою починають займатися зазвичай уже після того, як щось трапилося. Чи відрізняється ця модель поведінки від того, як ми поводимося в інших сферах життя? Ні. Така природа людини – сподіватися, що нічого поганого не трапиться, і терміново робити щось після того, як неприємність уже відбулася. 


В Україні загальна ситуація з кібербезпекою є досить невтішною, особливо в держсекторі. Дивно, але в певному розумінні ми «тримаємося» за рахунок того, що величезна кількість ПЗ написана 15-20 років тому, а відтак – не пов’язана з інтернетом і найчастіше працює у закритому мережевому просторі. 


Ми в стані війни з росією, що має, ймовірно, найпотужнішу у світі команду хакерів, що атакують. І маємо робити якнайбільше, щоб ефективно протистояти черговій атаці. 


Швидкого розв’язання цього завдання немає. Основна проблема – це брак фахівців. За моїми оцінками, зараз спеціалісти з кібербезпеки – найзатребуваніші на ринку, навіть без досвіду, але з гарними здібностями. І не тільки в Україні: більшість наших компаній, які займаються інформаційною безпекою, переорієнтувалися на роботу з закордонними клієнтами, де оплата праці вдвічі й більше вища, і нікому не потрібно доводити свою значущість. 


Затребувані фахівці, які мають навіть невелике та неповне розуміння сфери інформаційної безпеки. Якщо людина «з головою», її можна досить швидко довчити та запропонувати можливості для розвитку кар’єри. Наприклад, у нашій компанії GigaСloud зараз відкрито вакансії керівника служби технічної підтримки, інженера по Vmware, інженера по Linux, глави IT-департаменту – всі вони повинні мати знання у кібербезпеці, адже у хмарах зберігаються чутливі дані тисяч компаній та мільйонів українців.


Ми, як і будь-яка інша агенція, що швидко розвивається, готові брати фахівців із суміжних галузей, із невеликим досвідом, і навчати їх. І в найближчі п’ять років на ринку праці в цій сфері тон задаватимуть фахівці, а не роботодавці.


Переглянути відкриті вакансії в галузі кібербезпеки на robota.ua можна за посиланням