Дмитрий Правиков, РГУ нефти и газа им. И.М. Губкина: Взаимодействие между вузом и бизнесом — это всегда «игра вдолгую»

Дмитрий Правиков, заведующий кафедрой комплексной безопасности критически важных объектов РГУ нефти и газа (НИУ) имени И.М. Губкина, рассказал порталу Cyber Media, как меняется интерес абитуриентов к специальностям в сфере информационной безопасности, как вуз сочетает академическую подготовку с практикой, и почему быстрых результатов в партнерстве между университетами и бизнесом ждать не стоит.

Cyber Media: По вашему опыту, как изменился интерес к обучению по направлениям информационной безопасности за последние годы? Насколько вырос конкурс на место, изменились ли требования при поступлении и т. д.

Дмитрий Правиков: Требования к поступлению за последние годы остались прежними — учитываются результаты ЕГЭ и индивидуальные достижения. Если с ЕГЭ все понятно, то индивидуальные достижения могут дать дополнительные баллы. Например, РГУ нефти и газа им. И.М. Губкина начисляет бонусные баллы победителям, призерам и лауреатам секции «Школьное научное общество» Международной молодежной научной конференции «Нефть и газ – 2025». Такие баллы засчитываются при поступлении.Это же касается и победителей аналогичной секции конференции 2024–2025 годов.

Если говорить о конкурсе, ситуация сложнее — он имеет как качественную, так и количественную составляющую. Что касается качества, можно обратиться к статистике поступления за последние три года на специалитет кафедры комплексной безопасности критически важных объектов.

Как видно, и минимальный, и средний баллы с годами выросли, что говорит о повышении уровня подготовки абитуриентов.

С количественной стороны все менее однозначно. Сейчас абитуриенты могут подавать документы сразу в несколько вузов. Обычно они серьезно рассматривают 2-3 вуза, но на всякий случай подают заявления еще в несколько. Из-за этого оценить реальный конкурс сложно. Фактически, ведутся две статистики:

• общее число поданных заявлений;
• количество тех, кто принес подлинники документов, подтверждая свое намерение поступать именно в этот вуз.

И ориентироваться только на число заявлений нельзя — оно мало о чем говорит.

В целом заметно, что поступающие на специальности, связанные с информационной безопасностью, стали более осознанно подходить к выбору профессии. Это подтверждается, например, тем, что среди тех, кто переводится на другие направления с информационной безопасности, нет случаев разочарования в самой профессии — только сложности с освоением учебной программы.

Cyber Media: Сейчас много говорят о практико-ориентированном подходе к обучению специалистов по информационной безопасности. На ваш взгляд, каким должен быть баланс между академическими знаниями и практическими навыками для студента? Что должен дать вуз, а что студент может получить сам с помощью дополнительного обучения/факультативов, платформ для практики и т. д.?

Дмитрий Правиков: В профессиональной среде есть, на первый взгляд, парадоксальное мнение: образование в сфере информационной безопасности считается качественным, если выпускник способен справиться с угрозами, о которых ему в университете даже не рассказывали. Это означает, что основой должны быть академические, фундаментальные знания. Именно они позволяют специалисту ориентироваться в новых, ранее незнакомых ситуациях.

При этом для успешного старта в профессии необходимы и практические навыки — особенно умение работать с конкретными средствами защиты информации. Чтобы совместить оба подхода, в учебной программе мы даем академическую базу и параллельно показываем, как работают реальные продукты защиты. Это позволяет студентам вне рамок вуза без особых сложностей получать вендорские сертификаты.

Например, в рамках эксперимента ГИА – НОК мы засчитываем такие сертификаты, как часть практической части итоговой аттестации. В группе выпускников 2024 года на специалитете минимальное количество сертификатов у студента составило 4, а максимальное — 18. И этот студент, к слову, без проблем устроился в одну из ведущих компаний в сфере ИБ.

Cyber Media: По вашему опыту, какой процент студентов, которые идут учиться на направления, связанные с информационной безопасностью, после идут работать по специальности, а не в смежные направления, такие как ИТ? С чем, на ваш взгляд, в целом связано желание обучающихся уйти в смежные, непрофильные направления?

Дмитрий Правиков: Отвечу на примере магистерской группы, выпускающейся в этом учебном году. Даже на этапе составления расписания мы стараемся стимулировать студентов к практической деятельности. В результате около 90% учащихся занимаются профильной работой. В группе есть как специалисты по информационной безопасности, так и разработчики программного обеспечения. Однако даже среди программистов многие занимаются безопасной разработкой — это направление находится на стыке ИТ и ИБ и сейчас активно развивается.

Можно ли считать работу разработчиком в компании-интеграторе по информационной безопасности уходом в ИТ? На мой взгляд — нет. Это все еще профильная область, просто с акцентом на практическую реализацию защиты.

Если смотреть шире, на уровне государства сейчас ведется работа по сопоставлению образовательных программ с профессиями из Общероссийского классификатора занятий. Для каждой специальности определяются как «профильные», так и «подходящие» профессии. И если выпускник уходит в одну из подходящих — это нормальная реакция на изменения рынка труда и не считается чем-то тревожным.

Настоящей проблемой был бы массовый переход, например, из информационной безопасности в сферу продаж или менеджмента. Но такой тенденции мы не наблюдаем.

Cyber Media: В контексте дефицита кадров часто говорят о развитии среднего специального образования, которое может ускорить процесс прихода новых специалистов в отрасль, например, на позицию пентестера или администратора СЗИ, где не требуются глубокие знания теории. На ваш взгляд, при таком подходе, какие последствия ждут специалиста и отрасль в целом?

Дмитрий Правиков: Около десяти лет назад в сфере информационной безопасности существовала проблема с карьерным ростом: специалист приходил на позицию «универсального» специалиста и мог оставаться на ней до пенсии, без четкой траектории развития. Сейчас ситуация изменилась — появились различные роли и специализации, что стимулирует профессиональный рост. Однако при этом все большее значение приобретает уровень образования, особенно в компаниях с государственным участием, где кадровые подразделения ориентируются на профессиональные стандарты.

Специалист со средним профессиональным образованием может вполне успешно начать карьеру, например, в роли администратора средств защиты информации. Но он должен понимать: либо он будет выполнять эти функции до ухода с должности, либо, если стремится к росту, ему потребуется высшее образование.

Такие специалисты, как правило, обладают крепкими практическими навыками и умеют эффективно администрировать средства защиты. Однако у них нет подготовки для решения более сложных задач, например, проектирование комплексных систем защиты, управление ими или моделирование угроз. Если для конкретного работодателя эти компетенции не являются приоритетными, то специалист со средним образованием может быть даже предпочтительнее.

Но если речь идет о крупных компаниях, где важно взаимодействие с регуляторами и выполнение более сложных и системных задач, — в таких случаях предпочтут специалиста с высшим образованием.

Cyber Media: Многие ИБ-компании заинтересованы во взаимодействии с вузами. Это могут быть и оборудованные классы, и специальные курсы, и программы стажировок. Исходя из вашего опыта, с какими сложностями можно столкнуться в процессе выстраивания взаимодействия между вузом и компанией, какие аспекты стоит учесть?

Дмитрий Правиков: Взаимодействие между вузом и компанией — это всегда «игра вдолгую». Имеющийся опыт показывает, что ориентир со стороны компании на конкретный результат в виде двух или трех студентов, которые «завтра» придут на стажерские позиции, как правило, не приводит к выстраиванию долгосрочных партнерских отношений.

Cyber Media: В криминальной ленте новостей все чаще появляются новости, где жертвами киберпреступников становятся студенты. При этом систематических программ повышения осведомленности, обязательных для всех направлений обучения, нет. На ваш взгляд, насколько вероятно появление отдельного предмета, направленного на повышение осведомленности для студентов, которые учатся на всех направлениях?

Дмитрий Правиков: Недавно мне попался интересный документ, подготовленный Европейским агентством по кибербезопасности — Cybersecurity Education Maturity Assessment. В нем одним из критериев зрелости системы образования в сфере информационной безопасности является наличие в учебных программах обязательных часов, посвященных вопросам кибербезопасности.

Думаю, что мы тоже обязательно к этому придем. По крайней мере, в нашем вузе мы уже начинаем об этом задумываться.