В марте 2023 года комитет по информационной безопасности Ассоциации банков России (АБР) провел получившее резонанс заседание, посвященное проблемам подготовки и дополнительного образования ИБ-специалистов. Практически сразу выяснилось, что финансовое сообщество остро нуждается и в квалифицированных IT-кадрах, поскольку одного без другого не бывает. В Протоколе заседания ощущается крайняя озабоченность этими вопросами, а список именитых докладчиков позволяет надеяться, что решению проблемы удастся придать импульс ускорения.

Медиапроект «Б.О» решил глубже погрузиться в детали и выяснить, где и в чем именно существуют проблемы и с кого можно брать пример и успешно перенимать опыт.

Импортозамещение высветило проблемы

Без сомнения, уход западных вендоров, вкладывавших массу усилий в образовательные программы и сертификацию специалистов по всему миру, нарушил технологические механизмы в образовании и обострил массу проблем. Этот вопрос в последнее время не обошли стороной участники множества профильных конференций.

В частности, 18 мая в 2023 года в Нижнем Новгороде в ходе Всероссийской конференции «Преподавание IT в РФ» состоялся круглый стол Ассоциации разработчиков программных продуктов (АРПП) «Отечественный софт» на тему «Безболезненный переход на отечественные решения: миф или реальность».

Анастасия Горелова, модератор круглого стола, глава комитета по информатизации образования АРПП, заявила: «Сегодня необходимо начать работу по встраиванию российских решений в образовательный процесс, так как вузы — пока в состоянии ожидания официального распоряжения о переходе на отечественное ПО и не готовы самостоятельно двигаться в эту сторону. Важно проводить как можно больше пилотных проектов, направленных на внедрение новых технологий в образовании. Значимым элементом встраивания российского ПО в него является академическая программа с методологической поддержкой. Будущие IT-специалисты должны владеть знаниями о процессах импортозамещения, уметь работать с отечественным ПО и во время обучения взаимодействовать с IT-компаниями».

В этот же день состоялся VK Databases Meetup — мероприятие для технических специалистов, посвященное инструментам, практикам работы и технологическим трендам. Спикеры этого мероприятия подлили масла в огонь. Были сказаны три важные вещи.

Во-первых, импортозамащение в целом породило переход от вендорской on-premise-инфраструктуры к эластичным облачным средам, часто созданным с использованием open source. Соответствующих этой трансформации классных специалистов сегодня можно пересчитать по пальцам двух рук.

Во-вторых, ставка некоторых экспертов на то, что бум стартапов поможет решить проблемы, оказалась большей частью неверной по причине менторских ошибок при работе с молодыми IT-предпринимателями. Типичной ситуацией последнего времени стала ориентация фаундеров на работу исключительно с open source вместо того, чтобы «делать» сам стартап и его продукт. Предприниматели взваливают на свои плечи самостоятельное развитие open source, его доводку и поддержание инфраструктуры, а должны были бы максимально разгрузить себя, используя готовые коммерческие решения, пусть и базирующиеся на том же open source. В итоге решения подобных предпринимателей полны дыр в безопасности и прочего софтверного брака, зато их команда умеет поддерживать «все на свете». Что касается «дыр», то исследования показывает, что до 60% участников сообществ open source ничего не знают о стандартах безопасной разработки ПО.

В-третьих, по словам Владимира Перепелицы, архитектора и product-менеджера Tarantool, безопасность — эта такая среда, которая сама по себе не учит программистов. Если стандартная карьера разработчика системного или прикладного ПО предполагает обучение благодаря указаниям на ошибки со стороны наставников или среды разработки, то на ошибки ИБ никто никогда не указывает, ведь никто не знает, есть ли уязвимости в данном решении и эксплуатировались ли они хакерами. Поэтому ИБ следует учиться целенаправленно, но мало кто из новичков-разработчиков морально готов к этому. Да и учиться-то, собственно, не на чем в среде «дикого» open source: никто там ничего не гарантирует, все — как есть, и никакого договора на оказание услуг (SLA). Реально жизнеспособна только та модель, где есть кто-то, отвечающий за качество решения.

Один из выводов из этих двух мероприятий следующий: у ушедших западных вендоров была понятная для всех система сертификации специалистов, которые умели пользоваться как тем или иным продуктом, так и экосистемой, включающей этот продукт.

«Дикий» open source представляет собой набор разрозненных продуктов, которыми мало кто умеет квалифицированно управлять даже по отдельности. Поэтому ни о какой, например, полноценной линии поддержки не может быть и речи, а значит, не может быть и разговоров об участии в тендерах с этим решением. Кто-то это уже понял и начал самостоятельно вкладываться в обучение и сертификацию собственных специалистов, но системной работы здесь пока не видно.

Кто и что в итоге нужны регулятору?

Возвращаясь к мартовскому комитету по ИБ АБР, необходимо отметить, что его участники в целом обозначили требования к будущим банковским офицерам ИБ, опираясь на соответствующий профстандарт.

В Банке России прокомментировали для «Б.О» смысл этого документа: «Профессиональный стандарт “Специалист по информационной безопасности в кредитно-финансовой сфере” определяет требования к специалистам по управлению рисками ИБ, обеспечению защиты информации и операционной надежности в финансовых институтах. Документ ориентирован на деятельность в области защиты информации, консультирование в области компьютерных технологий и вспомогательную работу в сфере финансовых услуг страхования. Стандарт вступит в силу с 1 сентября 2023 года и сможет применяться организациями в качестве как основного, так и дополняющего другие профессиональные стандарты. Сейчас на основании этого стандарта разрабатываются методические рекомендации для вузов, которые занимаются подготовкой специалистов по ИБ».

Кроме того, Банк России продолжает проводить собственное практико-ориентированное обучение по информационной безопасности «КиберКурс» для представителей финансовых организаций. Ежегодно в рамках «КиберКурса» проходят обучение около 2,5 тыс. работников банков и некредитных финансовых организаций. Всего с 2021 года прошли обучение свыше 5,3 тыс. человек. В ближайшее время стартует очередной курс обучения, в котором планируют принять участие свыше 3 тыс. человек.

В итоговом протоколе комитета АБР позиция ЦБ, озвученная Ольгой Зубаревой, заместителем начальника управления департамента информационной безопасности Банка России, выглядит следующим образом: «Перед рынком стоят две основные задачи: сформировать актуальную потребность отрасли в специалистах по кибербезопасности, а также разработать и реализовать соответствующие образовательные программы».

Кроме того, в документе нашло отражение предложение Анатолия Царегородцева, руководителя департамента информационной безопасности Финансового университета: «На базе ведущих вузов регионов создавать центры коллективного пользования с современной постоянно обновляющейся материально-технической базой и киберполигоном для подготовки специалистов по выявлению инцидентов безопасности, чтобы другие вузы этого региона могли пользоваться ресурсами такого центра. Важно и отрегулировать степень загрузки профессорско-преподавательского состава в целях привлечения практиков к преподаванию дисциплин».  

Банкиры не стоят в стороне

Как смотрят на ситуацию сами банкиры? Начальник управления обучения и развития персонала ПСБ Татьяна Меньшова рассказала: «ПСБ реализует целый комплекс задач в сфере IT и привлекает высококвалифицированных специалистов самых разных IT-направлений для достижения как оперативных, так и стратегических целей. Среди задач, которые они призваны решать, масштабная цифровая трансформация, проекты по импортозамещению IT-систем, обеспечению технологической независимости от импортного оборудования и софта».

Известно, что банк уделяет самое пристальное внимание кибербезопасности и защите конфиденциальной информации. Очевидно, поэтому в ПСБ подготовка кадров в области IT и информационной безопасности условно разделена на два больших направления. Татьяна Меньшова перечислили их: «Первое направление задействует классические инструменты для роста специалистов внутри банка: мы привлекаем внешних экспертов, образовательные организации и представителей провайдеров для обучения наших сотрудников, участвуем в профессиональных конференциях и митапах. Этот подход хорошо себя зарекомендовал для обучения специалистов, которые приходят к нам с открытого рынка. Чаще всего они уже имеют большой опыт работы в индустрии, знают, в каких направлениях им нужно развиваться, и ценят усилия своего работодателя в области дополнительного обучения. Другое направление — это подготовка специалистов начального уровня. Для этого мы запустили комплексную программу под названием “Школа цифровых ролей”, в основе которой лежат обучение и рабочая стажировка. В качестве кандидатов для привлечения в эту программу мы рассматриваем студентов технических вузов старших курсов в Самаре, Москве и Санкт-Петербурге».

Главной особенностью этой программы является обучение студентов на основе курсов, которые создаются внутри банка силами внутренних экспертов из IT и ИБ.

В зависимости от направления курсы длятся от трех до семи месяцев, по их окончании успешных выпускников ждет предложение об оплачиваемой рабочей стажировке сроком от трех месяцев. Таким образом, в диапазоне от полугода до года неопытный студент может стать специалистом, готовым к работе в банке на конкретном стеке технологий и с определенными задачами.

ПСБ уже заключил соглашение о сотрудничестве с Самарским национальным исследовательским университетом им. С.П. Королева, готовится к заключению соглашений с партнерскими вузами в Москве и Санкт-Петербурге и собирается расширять перечень направлений подготовки по своей программе. Сейчас на этапе рабочей стажировки находятся выпускники курса по функциональному тестированию ПО, готовятся к запуску курсы по разработке ПО и системному анализу, на очереди — курс по информационной безопасности. Обучение на этих курсах бесплатное.

«Мы убедились, что сотрудничество с вузами позволяет нам как потенциальному работодателю провести отбор среди студентов и дать им необходимую базу для закрепления и отработки практических навыков под кураторством наставников — опытных специалистов ПСБ. Мы гордимся качеством курсов “Школы цифровых ролей”: передовая методология и опытные эксперты в собственном технологическом стеке банка позволяют держать высокую планку.

Честная и постоянная обратная связь от студентов и заинтересованность внутренних экспертов из IT и ИБ в уровне подготовки выпускников помогают не прекращать процесс улучшения нашей программы обучения», — утверждает Татьяна Меньшова.

Что касается крупнейшего банка страны, то в 2023 году Сбер расширил внешнюю реферальную программу, направленную на поиск IT-специалистов. В прошлом году банк был готов заплатить по 80 тыс. рублей за успешную рекомендацию Java-разработчиков на вакансии в Москве, Санкт-Петербурге и Новосибирске. В обновленной программе расширен список профилей: теперь участники могут рекомендовать IT-специалистов уровня Middle и Senior с опытом работы более двух лет на разные направления. Размер вознаграждения по-прежнему составляет 80 тыс. рублей.

Александр Ветерков, заместитель генерального директора сервиса «Работа.ру» — партнера Сбера в этом проекте — объяснил цель банка: «Число специалистов, заинтересованных в работе в сфере IT, постоянно растет, однако на рынке все еще наблюдается недостаток опытных специалистов с развитыми профессиональными навыками. Конкуренция за талантливые кадры увеличивается, и компании используют дополнительные опции для их привлечения».

Что думают студенты?

Бытует мнение, будто финансовые институты настолько зарегулированы, что работать в них молодежи попросту неинтересно. Так ли это? Медиапроект «Б.О» решил получить ответ, что называется, из первых рук — в Образовательном центре «Сириус», и задал несколько вопросов Елене Саврук, проректору по образовательной деятельности Научно-технологического университета «Сириус»:

— Насколько эффективными и интересными для слушателей оказались выступления и мастер-классы представителей IT- и ИБ-бизнеса?

— Практически все выступления, а особенно мастер-классы, вызвали большую заинтересованность у слушателей. Они задавали вопросы, делились своим опытом.

— Интересует ли слушателей тема безопасности, в частности, финансовых организаций?

— Проблема повышения финансовой безопасности, безусловно, крайне актуальна, поэтому представляет огромный интерес для слушателей. Это связано как в целом с мировой финансовой нестабильностью, так и с поиском нестандартных решений в части обеспечения безопасности финансовых организаций.

— Есть ли примеры взаимовыгодного сотрудничества с банками и ИБ-разработчиками?

— Да, безусловно. В Университете «Сириус» ведется подготовка магистрантов по направлению «Финансовая математика и финансовые технологии» в тесном сотрудничестве с индустриальными партнерами.

Во-первых, специализированные дисциплины даются с привлечением экспертов-практиков: например, модели финансового скоринга студенты строят в команде отдела развития скоринговых моделей банка «Тинькофф», а практическое применение инструментов и деривативов процентных ставок изучают под руководством специалистов из Альфа-Банка. Об использовании криптовалют, концепции блокчейн-технологий и о вопросах регулирования узнают от первоисточника — Банка России.

Во-вторых, наши студенты проходят оплачиваемые стажировки, проводят исследования и решают индустриальные кейсы, применяя полученные в Университете знания по мобильной разработке, машинному обучению, системному анализу, анализу финансовых данных, проектированию и прототипированию решений по применению цифровых финансовых активов.

— Интересен ли Университету западный опыт или он ориентирован исключительно на внутренние наработки?

— Конечно, внутренние наработки являются приоритетом для Университета, но мы также не игнорируем положительный опыт наших зарубежных коллег.

Передовой IT-опыт Татарстана

Осталось понять, каким образом реагирует на вызовы времени образовательная среда: как IT-проекты могли бы способствовать устранению цифрового неравенства среди самих образовательных организаций, обеспечить доступ к верифицированному цифровому образовательному контенту и, главное, повысить его качество.

18 мая 2023 года были получены ответы на многие вопросы. В этот день в рамках подготовки к Международному форуму Kazan Digital Week – 2023 состоялся вебинар по направлению «Цифровые технологии в образовании».

Из выступлений докладчиков стало понятно, что отрасль в течение последних нескольких лет успешно выстраивает как методологическую базу, так и практическую сквозную бесшовную модель взаимоувязанных образовательных программ в учебных заведениях разного уровня.

Методологическую часть осветил Павел Бакунин, представитель департамента цифровой трансформации и больших данных Министерства просвещения. О сквозном характере процессов можно судить по составу спикеров: Елена Демидова, директор департамента реализации федерального проекта «Развитие кадрового потенциала IT-отрасли» проектного офиса АНО «Университет 2035»; Светлана Котенкова, директор Института передовых образовательных технологий Казанского федерального университета (КФУ); Екатерина Галиханова, заместитель директора Института дополнительного образования, руководитель Ассесмент-центра АНО ВО «Университет Иннополис».

Были обсуждены проблемы, начиная от развития предмета «Информатика» в школах в рамках проекта «Цифровой образовательный контент». Далее в рамках федерального проекта «Развитие кадрового потенциала IT-отрасли» уже доступен трек по обучению талантливых школьников 8–11-х классов в рамках дополнительного двухлетнего курса по изучению популярных языков программирования. Его инициатором является Минцифры. В июне 2023 года стартует новый набор, планируется принять 140 тыс. школьников, студентов колледжей и техникумов.

Следующий уровень подготовки — университетский. В частности, на примере Казанского федерального университета (КФУ) был показан эффект от развития проекта «Цифровые кафедры», части федерального проекта «Развитие кадрового потенциала IT-отрасли», который, в свою очередь, входит в нацпроект «Цифровая экономика РФ». Его суть состоит в том, что IT-компетенции нужны не только профильным специалистам, но и всем остальным студентам как в обязательном порядке, так и в рамках дополнительной девятимесячной подготовки. Причем перечень этих программ непрерывно расширяется в целях полного охвата IT- и ИБ-направлений, востребованных заказчиками КФУ. Студенты других вузов имеют возможность присоединиться к этому проекту Казанского федерального университета.

Что касается профильных IT-направлений, то КФУ переходит с 2030 года на новую модель образования STREAM, основанную на синергии базовых научных и технологических дисциплин, а также смежных технологий, инжиниринга и математики. Сюда же добавляются творческая компонента в виде компьютерного арта и мощный исследовательский блок. Как утверждают в КФУ, именно исследовательский трек сейчас является «мегавостребованным» предприятиями и банками Республики Татарстан.

Что касается Университета «Иннополис», то он принимает участие во всех тех проектах, о которых говорили предыдущие спикеры, в качестве методолога или оператора. Но фокус доклада был сделан на дополнительном профессиональном IT-образовании в рамках «цифровой экономики», в частности на внедрении цифровых технологий непосредственно в процесс обучения. Именно Институт дополнительного образования в рамках «Иннополиса» отвечает за разработку актуального методологического и обучающего контента, который затем тиражируется другими образовательными учреждениями. С него большой спрос, но ему и награды за передовые технологии IT- и ИБ-обучения на территории Республики Татарстан, которая, очевидно, наряду с федеральной территорией «Сириус» стала центром развития молодых кадров в области высоких технологий. Но, к сожалению, эти успехи не отменяют некоторых провалов в других направлениях подготовки специалистов.

 

Анастасия Харыбина, председатель Ассоциации пользователей стандартов по информационной безопасности (АБИСС)

Если говорить о профессиональной подготовке консультантов и аудиторов по ИБ, то сегодня в вузах и других учебных заведениях ее как таковой нет. Комплаенс-аудиторами по ИБ в настоящий момент становятся либо специалисты по ИБ, либо юристы, которые работали в области информационной безопасности. ИБ-консультанты — это в прошлом также специалисты по ИБ, которые решили развиваться в качестве внешних экспертов. Что касается технического аудита (тесты на проникновение, анализы защищенности, анализы уязвимости ПО), то тут — также представители разных IT- и ИБ-специальностей.

При этом разница в обучении ИБ-специалистов и ИБ-аудиторов, на мой взгляд, должна быть. Если говорить об оценке соответствия, то аудитору необходимо не только знать базу по информационной безопасности, но и иметь более глубокое погружение в регуляторику, а также понимать, как строится процесс аудита, как и какие свидетельства собирать, что является подтверждением реализации тех или иных требований и т.д. Помимо этого аудитор должен понимать отраслевые особенности и специфические процессы. Особенно это актуально для ИБ-аудита организаций кредитно-финансовой отрасли.

На данный момент в России нет стандарта, который закреплял бы фреймворк по проведению аудита ИБ, поэтому действующие аудиторы ориентируются в том числе на международные практики. Важно, что сейчас прорабатывается инициатива по созданию такого стандарта, в частности, для аудита информационной безопасности в финансовых организациях.

Что касается образовательных программ для профессиональной подготовки ИБ-аудиторов, то, я надеюсь, они появятся в обозримом будущем. Скорее всего, это будет дополнительное образование или повышение квалификации, во всяком случае, АБИСС работает в этом направлении. Параллельно мы разрабатываем курсы для Академии информационных систем (АИС) по регуляторике. Их пока нельзя назвать полноценной подготовкой аудиторов, но это хотя бы первый шаг. В АИС уже давно организован курс по ГОСТ Р 57580.1(2) — основному стандарту для финансовых организаций с требованиями по защите информации. В этом году мы планируем разработать курсы по двум новым стандартам: управлению рисками информационных угроз (ГОСТ Р 57580.3) и обеспечению операционной надежности (ГОСТ Р 57580.4).