Утечка персональных данных и информации ограниченного доступа является одной из самых острых проблем в современном мире. Крупные компании тратят огромные ресурсы для сохранения конфиденциальности данных и уделяют особое внимание уровню компетентности сотрудников, от которых зависит безопасность, а значит, и репутация корпорации в целом. О том, как и чему учат тех, кто предотвращает утечки информации, мы поговорили с профессором кафедры информационной безопасности НИУ МИЭТ Александром Душкиным.
— Александр Викторович, как вы пришли к тому, чем сейчас занимаетесь? Вы, насколько нам известно, раньше работали в Воронеже, в военной отрасли.
— Во время обучения в школе абсолютно не предполагал, что когда-либо моя жизнь будет связана с защитой информации. Хотел быть военным. В 1984 году поступил в Воронежское высшее военное инженерное училище радиоэлектроники. В нём готовили специалистов радиоэлектронной борьбы, способных создавать невидимый радиоэлектронный щит для различных образцов вооружений и, тем самым, делать нашу технику (самолёты, ракеты, танки и т. д.), а также различные военные или стратегические объекты (аэродромы, командные пункты, штабы), практически неуязвимыми для противника. В то время это считалось перспективным направлением, как, впрочем, и сейчас.
После окончания военного училища служил в войсках и через некоторое время вернулся в родное училище на одну из основополагающих кафедр. Далее было проще — адъюнктура и педагогическая работа, неразрывно связанная с научными исследованиями. Рядом, буквально за забором училища, находился научно-исследовательский институт, в котором разрабатывались и испытывались новейшие образцы техники радиоэлектронной борьбы. Наши организации проводили совместные научно-исследовательские и опытно-конструкторские работы, а наиболее подготовленные курсанты проходили практику у соседей, участвовали в разработке перспективных образцов вооружений и выполняли выпускные квалификационные работы под чутким руководством проектировщиков. Первые образцы новой техники, как правило, поступали в распоряжение нашего вуза. Да, было интересно!
Службу закончил начальником кафедры, а в ходе исследований подготовил докторскую диссертацию, в которой подробно рассматривались вопросы информационной безопасности. Потом предложили создать и возглавить кафедру информационной безопасности телекоммуникационных систем в одном из вузов силовых ведомств. Получилось не только поставить курсы по двум специальностям в сфере защиты информации, но и открыть адъюнктуру в области информационных технологий и безопасности. Но, увы, люди не могут служить вечно! Когда-то приходит срок снимать погоны. А тут в очередной раз на аккредитацию одной из специальностей приехал Анатолий Анатольевич Хорев, один из «китов» в области информационной безопасности, и предложил должность профессора на кафедре информационной безопасности НИУ МИЭТ, которую он возглавляет. Так как я уже не понаслышке знал уровень подготовки специалистов по защите информации в данном вузе и воочию видел мощнейший уровень материально-технической базы кафедры, сомнений было немного.
— Сейчас всё чаще говорят о том, что самая востребованная профессия будет у тех, кто сумеет удалить цифровые следы. Почему это так?
— Увы, если вы думаете, что в виртуальном пространстве можно творить всё, что заблагорассудится, и за это ничего не будет, то очень сильно ошибаетесь! Даже если вы пользуетесь так называемыми анонимайзерами и совершаете неправомерные действия или просто глупости с подставных адресов, то это совсем не означает, что вас невозможно вычислить. Интернет так устроен, что следы всё равно останутся, даже если их попытаться зачистить. И это уже вопрос квалификации и возможностей специалиста по обнаружению источника злонамеренного воздействия или «шутника». С развитием новых способов хакерских атак одновременно происходит развитие новых способов их обнаружения и предотвращения. Закон философии — единство и борьба противоположностей. Поэтому вопрос не в удалении цифровых следов, а в квалификации и возможностях специалистов в области информационной безопасности.
— Сегодня все мы активно используем социальные сети, электронную почту, облачные хранилища — насколько это безопасно?
— Современную жизнь уже невозможно представить без IT-технологий, которые ускоряют наши коммуникационные возможности. Важно помнить, что бездумное использование информационных технологий не ведёт ни к чему хорошему. Существует много сервисов, способствующих бизнесу, общению, коммуникации, но при этом нельзя забывать о том, что информация, поступившая в Интернет, там и остаётся. Даже если вы сами её попытаетесь удалить, у вас ничего не получится.
Простой пример. Вы послали партнёру по бизнесу электронное письмо с конфиденциальной информацией и тут же его удалили. Ваш партнёр получил письмо, прочитал и тоже удалил. Всё это не означает, что этой конфиденциальной информации в сети не осталось! Многие об этом не задумываются. А теперь вспомните про закон Яровой. Подумайте, что обязан сделать оператор связи, предоставивший вам услуги. Правильно, записать эту информацию и хранить определённое время. То, что вы с партнёром удалили, исчезло из ваших аккаунтов, но осталось на серверах оператора связи и не только! Как будут развиваться дальнейшие события зависит от благонадёжности сотрудников тех подразделений связи, через которые прошли ваши сообщения… Кстати, статистикой доказано, что в более 80% случаев утечки информации происходят по вине сотрудников организации, т. е. внутреннего нарушителя. Вы, наверное, не раз слышали, что на чёрном рынке можно купить практически любую базу данных. Я не сомневаюсь, вы догадываетесь, как они туда попадают!
Далее поговорим о социальных сетях. С одной стороны, различные социальные сети созданы для удобства общения. Многие туда выкладывают информацию о своих увлечениях, работе. Делятся самыми животрепещущими подробностями своей жизни, фотографиями и т. д. Некоторые закрывают свои аккаунты, общаются только в кругу родственников, друзей, знакомых и думают, что всё в порядке, но на самом деле… Вспомните, что я говорил до этого. Всё, что один раз попало в сеть, удалить практически невозможно! Кроме того, существует множество готовых программ, позволяющих даже обычному пользователю, но задавшемуся определённой целью вскрыть ваш аккаунт, получить интересующую его информацию. На основании этой информации, которую вы сами же и выложили, можно определить круг вашего общения, ваш материальный достаток, интересы, время, когда вас не бывает дома, и т. д. и т. п. Выводы делайте сами. Всё зависит от того, кем является лицо, получившее доступ к информации вашего аккаунта. Я думаю, что достаточно подробно ответил на ваш вопрос.
— Да, спасибо, более чем. У кафедры информационной безопасности МИЭТа отличная репутация, она считается одной из самых сильных в России. В чём основные преимущества обучения специалистов по защите информации в вашем университете?
— Наша кафедра осуществляет полный 3-х ступенчатый цикл подготовки специалистов по направлению «Информационная безопасность»:
— бакалавров по профилю «Техническая защита информации»;
— магистров по программе «Аудит информационной безопасности»;
— аспирантов по программе «Методы и системы защиты информации, информационная безопасность».
То есть сначала учим «как и чем защищать информацию», потом обучаем «проведению контроля принятых мер защиты», а на третьем этапе — «проектированию и разработке новых перспективных методов, систем и средств защиты информации».
Заведующий кафедрой А.А. Хорев имеет богатейший практический опыт и сильнейшую теоретическую базу. Он с особой тщательностью подбирает преподавательский состав. Как правило, это люди, проработавшие не один десяток лет в области информационной безопасности в различных ведомствах, в том числе и силовых, и имеющие большой педагогический и научный опыт: 80% профессорско-преподавательского состава имеют научные степени и научные звания; 31% из числа руководителей и работников организаций, деятельность которых связана с информационной безопасностью; двоим сотрудникам присвоено звание Почётный работник высшего профессионального образования РФ.
Практика осуществляется в ведущих организациях, занимающихся различными аспектами в области защиты информации, начиная с разработки и производства аппаратных и программных средств и заканчивая аудитом информационной безопасности. Кафедра поддерживает связь с 37 научно-образовательными партнёрами, где обучающиеся оттачивают свои теоретические знания, умения и приобретают практический опыт деятельности. Кроме того, периодически на базе кафедры проводятся мастер-классы с ведущими специалистами в области защиты информации и выпускниками кафедры, которые делятся с обучающимися своим опытом деятельности, рассказывают о перспективах и современных трендах в области информационной безопасности.
Пример: абсолютное большинство наших студентов ежегодно участвует в независимом Добровольном квалификационном экзамене в области информационной безопасности, проводимом Правительством города Москвы. Даже самые слабые набирают около 70 баллов по каждому из направлений. Ряд наших студентов становятся призёрами.
Кстати, во время обучения на кафедре можно параллельно получить второе военное образование в Военном учебном центре при МИЭТе, после чего желающие могут поступить на службу в различные силовые ведомства. В итоге из юных выпускников школ получаются «маститые» дипломированные специалисты, которых с удовольствием берут на работу не только в ведущие коммерческие структуры, но и органы государственной исполнительной власти, а также силовые ведомства — Министерство обороны РФ, ФСБ, ФСО, ГРУ, МВД и т. д.
— Каких ребят вы хотите видеть в числе ваших студентов?
— Я думаю, что основные качества, которыми должны обладать поступающие на данное направление подготовки — это соответствующая мотивация и целеустремлённость. Учиться у нас интересно! Тем более, что в ходе обучения при одинаково хорошей базовой подготовке можно выбрать свою специализацию. Если больше тянет к технической защите информации — делай упор на неё, больше нравится защита компьютерных систем — занимайся защитой автоматизированных систем и сетей от несанкционированного доступа. Не в каждом вузе вам такое предложат! Тем более, что в большинстве вузов вам будут предлагать только одно направление, связанное с защитой компьютерных систем и сетевой безопасностью. Техническая защита информации — это наш конёк! Такой уровень подготовки вы вряд ли где найдёте.
Выбирая данную специальность надо быть готовым к тому, что в силу специфики работы придётся работать с конфиденциальными сведениями и сведениями, составляющими государственную тайну, а это накладывает некоторые ограничения.
— Александр Викторович, кем становятся ваши выпускники?
— Направления, по которым ведётся обучение на кафедре, очень востребованы сегодня. 100% наших выпускников трудоустроены, из них 86% работают по специальности, а остальные — в смежных областях, как правило, в сфере IT. Причём многие ведущие коммерческие организации, регуляторы, интеграторы и вендоры в области информационной безопасности сами выходят на руководство кафедры и просят подобрать студентов, как правило, магистров, а в некоторых случаях и бакалавров, с определёнными профессиональными качествами. Мало того, они берут их на работу ещё во время обучения в вузе. Там же студенты проходят практику. Кроме того, уже который год осуществляется целевой набор по заказу Федеральной службы технического и экспортного контроля России, являющейся регулятором в области информационной безопасности. Не всякому вузу может доверить федеральная служба подготовку своих специалистов. Это о многом говорит!
Диапазон должностей выпускников — от специалиста (инженера) по защите информации до руководителя организации (подразделения). Вот только небольшой список наиболее крупных организаций, где работают наши выпускники: Центробанк, Сбербанк, ВТБ, Тинькофф банк, «Роснефть», «Газпром», «Ростелеком», «Ростех», IBM, «Лаборатория Касперского», «Ангстрем», «Элвис-плюс», «Эшелон», «Гамма», «Информзащита», «Код безопасности», «Сюртель» и т. д. Это я ещё не затрагивал федеральные ведомства и службы, федеральные и муниципальные органы исполнительной власти, силовые ведомства и т. п.
Ряд наших выпускников уже достигли определённых высот. Возглавляют соответствующие подразделения не только в органах федеральной и муниципальной исполнительной власти, но и в банках, коммерческих организациях. Предела для карьерного и профессионального роста нет!
Беседовала Екатерина Палепина