Иван Булавин, независимый эксперт: Лучшее, что безопасник может получить от вуза, — это комьюнити и почву для развития

Иван Булавин, специалист по анализу защищенности, преподаватель и капитан команды True0xA3, рассказал порталу Cyber Media о роли практикоориентированного подхода в академическом образовании, возможных точках роста для начинающего специалиста и роли ИБ-комьюнити.

Cyber Media: Часто свои первые навыки в анализе защищенности человек может получить сам, еще в подростковом возрасте. Какие рекомендации по развитию вы могли бы дать начинающим специалистам, где они могут получить знания и опыт до поступления в университет?

Иван Булавин: Недавно я был на CTF в вузе, где, среди прочих, были и бывшие одиннадцатиклассники — нынешние абитуриенты. Мне стало интересно, где они готовились и какие материалы изучали для подготовки к ИБ-карьере. Однако ничего нового они мне не сказали. Да, стало больше площадок и платформ, но их смысловое наполнение не изменилось.

Несмотря на доступность многих ресурсов, основные методы подготовки к ИБ-карьере остаются неизменными — решение CTF, изучение разборов и самостоятельная работа с различными онлайн-платформами.

Cyber Media: В комьюнити регулярно возникают дискуссии о полезности академического образования для специалиста-практика. На ваш взгляд, насколько вузовские программы позволяют получить применимые в практике знания и опыт?

Иван Булавин: Вопрос о практическом обучении в сфере информационной безопасности — это глобальная проблема, которая связана с особенностями системы образования в целом. В ней много недоработок, и вопрос о практической подготовке особенно актуален. Я не знаю ни одного вуза, где бы была реально хорошая программа по практической информационной безопасности.

Проблема в том, что таких программ просто нет. Да и привлечь действительно сильных действующих специалистов в качестве преподавателей вузы не могут. Причина, вероятно, в недостаточном финансировании и отсутствии интереса у специалистов делиться своими знаниями.

Большинство специалистов, окончивших вузы по кибербезопасности или смежным направлениям, которых я знаю, развивались в комьюнити внутри самого учебного заведения, а не благодаря конкретным программам. В самих программах студент получает базовые знания, которые даются довольно хорошо, включая программирование.

Но практики по анализу защищенности и другим направлениям ИБ в программах практически нет. Во многом потому что сложно утвердить материал по всем правилам и регламентам, включить его в программу обучения. Пока этот материал будет согласован – большая часть информации перестанет быть актуальной. Например, в анализе защищенности информация может устареть буквально за месяц.

Cyber Media: Как вы оцениваете роль комьюнити в обучении молодых специалистов, как выстроить процесс взаимодействия между экспертами в области ИБ и новичками?

Иван Булавин: Роль комьюнити в обучении молодых специалистов в сфере информационной безопасности огромна. Это проверено на опыте моей команды True0xA3, которая за последние пять лет выросла с 20 до 60 человек. В этом комьюнити люди общаются, делятся опытом, и каждый чему-то учит других.

Часто комьюнити формируются внутри вузов, потому что студентам просто некуда деваться. Они находятся вместе и общаются помимо учебного процесса. Также в вузах популярны внутренние CTF-команды, которые способствуют развитию навыков и обмену опытом. В качестве примера приведу сильную команду BalalaikaCr3w из МИФИ, которая выросла из вузовского комьюнити и даже участвовала в соревнованиях Black Hat в Вегасе. Многие участники этой команды впоследствии устроились на работу в российские и зарубежные топ-компании.

Мы в своей команде практикуем обмен информацией. У нас сложилось очень крутое комьюнити, где есть возможность взаимодействия. В команде много людей, которые хотят делиться, и их не надо долго уговаривать. Достаточно предложить им какие-то условия, и они готовы рассказывать. Я хочу сказать, что вузы, видимо, не приглашают таких людей или приглашают очень плохо. Хотя были случаи, когда специалисты давали бесплатные лекции в вузе. Как правило — в тех, которые закончили сами.

Cyber Media: Вопрос обучения специалистов по кибербезопасности регулярно звучит на всех профильных мероприятиях как минимум последние три года. Какие тенденции в контексте обучения этичных хакеров и специалистов других направлений ИБ вы видите и считаете наиболее полезными?

Иван Булавин: Я был на одном мероприятии, где выступал Алексей Лукацкий. Он говорил о подготовке рядового пентестера в формате среднего образования. И это действительно хорошая идея — быстрее и эффективнее обучить человека практическим навыкам за три года в колледже, чем за пять лет в вузе, где студентов «задушат» избытком теории.

Практический подход к обучению считаю наиболее эффективным. Ведь практические знания в ИБ невозможно просто зазубрить, нужно понимать принципы работы систем и уязвимостей. Поэтому решение задач — это ключевой аспект обучения. Я и сам учился практически, решая задачи и самостоятельно изучая материалы.

Хочу отметить, что тенденция к практическому обучению в ИБ уже наблюдается. Крупные компании вкладывают средства в дополнительное образование и сертификацию специалистов, фокусируясь именно на практике. И такое обучение должно быть не просто дистанционным с теоретическим материалом, а проходить с практикующими преподавателями, которые могут объяснить и показать, как все работает на практике.

Cyber Media: Есть мнение, что специалисты старшего поколения больше тяготеют к подходу try harder — самостоятельно научиться, самому отыскать информацию и т. д. А ребята младшего поколения представляют образование как сервис — им нужен ментор, подсказки, поддержка в учебе и прочее. Что вы думаете по этому поводу?

Иван Булавин: Я согласен с этим мнением и даже могу пояснить, почему так случилось. В прошлом, лет 20-25 назад, доступ к информации был ограничен. Полезные материалы были редкостью и часто на иностранном языке. Их приходилось выискивать и анализировать самостоятельно.

Сегодня же проблема обратная: информации слишком много. Молодое поколение привыкло к тому, что все можно найти в интернете. Они гуглят и получают готовые ответы. Но это не всегда способствует развитию аналитических навыков. Конечно, сразу получить структурированный материал — это удобно. Но важно развивать критическое мышление, а не просто решать типовые задачи.

Специалисты, которые учатся решать стандартные задачи, как в CTF, могут столкнуться с трудностями в реальной работе, где требуется нестандартный подход и глубокое понимание систем. Не всегда правильная модель решения — это истинный путь, а стандартные алгоритмы не всегда работают.

В прошлом специалисты развивали навыки анализа и поиска нестандартных решений, понимая, что идеального решения не существует. Они учились искать лазейки, находить уязвимости в системах и работать с неполной информацией.

Например, раньше все думали, что атака должна быть направлена на компанию напрямую. Но потом появилось понимание того, что уязвимость может быть в дочерних компаниях, предоставляющих аутсорсинг. Это пример нестандартного мышления, которому не всегда можно научиться, просто решая типовые задачи.

Важно помнить, что стандартные решения не всегда работают в реальном мире. Нужно уметь думать критически, анализировать ситуацию и находить нестандартные подходы.

Cyber Media: Поделитесь вашим опытом взаимодействия с начинающими специалистами: в рамках кибербитв, рабочих задач или в ходе их обучения. С какими сложностями вы столкнулись, какие интересные особенности можете отметить?

Иван Булавин: Я преподавал информационную безопасность ученикам 10-11 классов. И столкнулся с несколькими проблемами. Первая — школьники часто не имеют базовых знаний в IT, что делает понимание предмета сложным. Информационная безопасность — это не просто теория. Чтобы ее понять, нужно иметь практический опыт в программировании, сетевом администрировании или других смежных областях. А у школьников нет никакой базы. Недостающий материал можно дать детям. Но тут мы сталкиваемся со второй проблемой — им это не особо интересно. Из 30 учеников только пятеро проявили серьезный интерес к предмету.

Что касается особенностей, хочу отметить, что встречаются очень интересные дети. Например, у меня был ученик, которому до 10 класса не разрешали пользоваться компьютером. Но он заинтересовался информационной безопасностью, вник и в итоге уехал поступать на программирование. Мы до сих пор общаемся, и я вижу, как ему нравится то, чем он занимается. На олимпиадах по кибербезопасности тоже встречаю очень много одаренных школьников, у которых крутой уровень.

Cyber Media: Насколько классическое академическое образование по ИБ важно для трудоустройства?

Иван Булавин: В сфере кибербезопасности, особенно в государственном секторе, образование является обязательным условием для трудоустройства. Строгие правила и требования к наличию документации делают получение работы без диплома практически невозможным. Низкая заработная плата также является существенным барьером для привлечения специалистов.

Однако опыт и навыки могут быть более ценными, чем формальное образование. Существуют примеры успешных специалистов в кибербезопасности, которые не имеют профильного диплома, но достигли высоких результатов благодаря своим знаниям и опыту. Вместо того чтобы оценивать кандидата по диплому, важно провести беседу, определить его навыки и потенциал.

Cyber Media: Если представить студента 1-2 курса, который считает, что университет не дает ему тех знаний, которые нужны для профессионального развития, и уже начал работать. Какие советы, исходя из своего опыта преподавателя и профессионала, вы бы дали этому молодому человеку?

Иван Булавин: Молодому специалисту, который чувствует нехватку знаний в университете, я бы посоветовал активно участвовать в мероприятиях, чтобы определить свои интересы и найти свою нишу. Также рекомендую посещать различные мероприятия: от научных конференций до хакатонов, общаться с людьми, задавать вопросы и создавать связи. Важно помнить, что в сфере кибербезопасности постоянное развитие — это ключ к успеху. Ты можешь месяц ничего не делать и уже отстанешь. За месяц может произойти масса событий, появятся новые уязвимости или исследования, о которых нужно знать.

В качестве примера расскажу историю. Однажды на олимпиаде по кибербезопасности одна команда не смогла решить задачу, потому что не знала о новой уязвимости в OpenSSH, которая была обнаружена неделей ранее. А вторая команда, которая следила за новостями, смогла использовать эту уязвимость для решения задачи.

Поэтому общаться и постоянно развиваться — вот два совета, которые помогут молодым специалистам добиться успеха в сфере кибербезопасности — найти работу, встроиться в комьюнити и продолжать развиваться в своей профессии.