Рубрика:
Безопасность /
Гость номера
|
Facebook
Мой мир
Вконтакте
Одноклассники
Google+
|
Мария Сидорова: «Мы проверяем, как студенты, которые сегодня учатся на старших курсах, способны принимать решения по информационной безопасности»
В апреле в Москве прошел III Всероссийский кейс-чемпионат для молодых специалистов по информационной безопасности RISC-2018. В гостях у «Системного администратора» организатор чемпионата – Мария Сидорова, руководитель сообщества RISC (Russian Information Security Club) в Санкт-Петербурге
|
Мария Сидорова, руководитель сообщества RISC. В области информационной безопасности работает более 10 лет. В настоящий момент трудится в компании, занимающейся развитием рынка газомоторного топлива в России. Мария – один из ведущих российских экспертов в области защиты информации в виртуализированных инфраструктурах. Автор серии публикаций «Мифы виртуализации. Заблуждения и стереотипы относительно обеспечения информационной безопасности инфраструктур виртуализации». Входит в топ-10 рейтинга лучших ИБ-спикеров по версии BISA (DLP-Expert) |
– Как родилась идея создания сообщества?
– История его создания достаточно долгая. Ранее я занималась созданием и поддержкой деятельности сообщества в Москве, занимавшегося вопросами безопасности в виртуализации. Я старалась объединить вокруг себя всех специалистов, которые работают в этой области. Когда это сообщество стало полноценно функционировать, ко мне пришли представители сообщества RISSPA и предложили объединить усилия. Мы объединились, стали и другие вопросы безопасности обсуждать… какое-то время работали вместе. Но потом по семейным обстоятельствам я уехала жить в Санкт-Петербург. Там подобных активностей у экспертного сообщества на тот момент не было. И, поскольку мы с RISSPA разошлись вомнениях, как это делать в Санкт-Петербурге, мы с коллегами решили начать все с нуля. Было это в 2014 году. То есть в мае нам исполнилось четыре года.
– Для сообщества, созданного с нуля, хороший срок!
– Да, и, судя по тому, что количество людей около нас растет, а количество проектов увеличивается, мы видим, что сообщество развивается.
– Сколько членов насчитывает ваше сообщество?
– Мы считаем людей, входящих в нашу группу в Facebook. На сегодняшний день это тот ресурс, который охватывает наибольшую аудиторию. Мы там публикуем только свои новости, информацию о своих активностях, так что посторонние там не ходят.
– Как много у вас активных членов сообщества?
– Тут вопрос в том, как оценивать активность. Потому что для определенных категорий сообщества интересны определенные темы. Так, студентам интересны свои, экспертам с более глубоким опытом – свои. То есть мы напоминаем, например, что хотим провести вебинар на такую-то тему, такого-то числа. Эксперты высказываются – «я бы мог рассказать об этом».
– Как появилась идея проводить именно кейс-чемпионаты для студентов?
– Мы проводили очные семинары, на которые, в том числе, приглашали именно студентов. Надо сказать, что в принципе мы не ставим никаких ограничений по посетителям…есть сто мест – мы берем сто человек. Представителей вендоров, экспертов, студентов.
И вот к нам обратились студенты одного из вузов с просьбой попытаться как-то вот это практическое вебинарное звено вписать в очное образование. Сначала мы не понимали, как это сделать. Да, перед глазами у нас был опыт CTF, то естьмы понимали, как у студентов проверять технические знания, но было непонятно, как проверять практические знания по управлению. Вещи эти немного разные. Когда проходит CTF, проверяется, как ты можешь взламывать. А мы хотели проверять, как студенты, которые сегодня учатся на старших курсах, завтра станут выпускниками и будут способны принимать решения по информационной безопасности.
– То есть речь шла именно об управленческом конкурсе среди технических специалистов?
– Да, именно управленческий конкурс. Нас интересовало, как студенты могут принимать решения в заданных рамках, как они взвешивают все «за» и «против», как они знают документацию по международной информационной безопасности, как они умеют ее применять. И мы решили организовывать такие тематические чемпионаты.
Если посмотреть на опыт трех чемпионатов, можно увидеть, что и задания немного менялись, и концепция. Мы стараемся, чтобы каждый следующий конкурс был лучше предыдущего. Обязательно собираем с каждого участника фидбэк: что понравилось, что не понравилось, что бы хотелось изменить, какие есть предложения по решениям? И всякий раз стараемся учесть все те пожелания, которые были высказаны.
Так, например, в этом году мы решили провести конкурс в Москве. Первые два чемпионата мы проводили в Санкт-Петербурге, потому что у нас основная база здесь. Но, как оказалось, студентам из регионов Санкт-Петербург не очень удобен. С точки зрения логистики Москва удобнее, сюда из российских городов добираться проще, ну и концентрация вузов выше.
– Расскажите об этапах подготовки чемпионата.
– Одна из сложностей, которая, правда, с каждым годом уменьшается – это то, что пока не все понимают, что это такое. К примеру, тот же CTF студентам более понятен изначально. Но чем больше мероприятий мы проводим, тем больше информации о них попадает в прессу, социальные сети, распространяется по сарафанному радио – и эта проблема уходит. И в наших чемпионатах участвуют люди, которые участвуют и в CTF. Там они проверяют свои технические знания винформационной безопасности, у нас – управленческие.
Конечно, мы привлекаем к проведению чемпионата компании-партнеры. Мероприятие требует не только нашей организационной работы, но и финансовых вложений.
Мы очень признательны нашим партнерам, состав их стабилен, как они начали с нами работать с самого первого чемпионата, так и поддерживают по сей день.
Каков их интерес? Компании подбирают себе кадры. Как правило, после финалов самых одаренных ребят тут же приглашают на собеседования. Как говорят представители компаний, по объявлениям на работных сайтах приходит немало соискателей, но редко такого уровня, как требуется. А чемпионат выявляет лучших. У нас действительно высокий уровень. К примеру, в финал выходят семь команд. Но эти семь команд мы подобрали из более чем сотни.
– Кто составляет задания чемпионата? Вы сами? Компании помогают?
– По нашей задумке, практические знания ребят должны оценивать те люди, на которых они должны равняться, те, какими они хотят стать в будущем. То есть действующие руководители подразделений по информационной безопасности. Нам кажется правильным, что задания делают представители компаний и проверяют тоже они. Если говорить о преимуществах, то первое – это бизнес-ориентация, а второе – это сами кейсы. Они готовятся в компаниях и проверяются вкомпаниях.
– Какие у вас планы по дальнейшему развитию?
– Мы хотим сделать чемпионат ежегодным, пока у нас это не получалось, но мы близки к осуществлению этого плана. Планируем расширять географию – привлекать команды не только из России, но и из стран СНГ. Хотим расширить круг компаний-партнеров.
Еще важный момент – качественный состав нашего сообщества. Ну и, возможно, в будущем мы возьмем в работу и старшеклассников. Для них бизнес-составляющая не совсем еще подходит, там мы сделаем акцент на общие вопросы безопасности.
По развитию самого сообщества – мы сейчас ищем для себя подходящую организационную форму. Мы не стремимся превратиться в ассоциацию, где берут членские взносы и этим живут, зарабатывать таким образом у нас цели нет. Скорее это будет что-то похожее на союз, объединение. Сейчас ничего подобного у безопасников нет. А потребность в нем есть. Группа в Facebook – это хорошо, но сегодня он есть, что будет завтра – непонятно, нужно рассчитывать на свой ресурс.
– Что может дать ваш союз его членам? Кроме дискуссионной площадки?
– К примеру, помощь в трудоустройстве. В нашей области есть вакансии закрытого характера. Такие запросы не публикуются на общедоступных ресурсах. Ищут проверенных специалистов, с рекомендациями. А рекомендации просят у нас, у тех, кто с нами работает, у наших экспертов. Запросы к нам приходят разные. К примеру, ищут молодого толкового специалиста с хорошей технической базой. У нас есть кандидаты, подходящие под эти условия.
Если проводить какой-то виртуальный срез нашей аудитории, то видны три категории.
Первая категори – те люди, которые уже состоялись в профессии, это наш костяк, наши эксперты, наша сила и мозговой центр. Мы им предлагаем некую тусовку, дискуссионную площадку, где можно обменяться мнениями.
Вторая категория – это те, кто еще в начале профессионального пути, такая «средняя прослойка», они заинтересованы в тех знания, которые могут дать наши эксперты, а также в личном пиаре, продвижении в ИТ, и мы можем им это дать.
И последняя группа – это совсем начинающие, это наши студенты. Они стремятся перебраться во вторую категорию, и для них очень полезно участие в мероприятиях. Наши чемпионаты – это, конечно, для третьей группы. Наша цель – организация третьей группы, потом «выращивание» ее до второй, далее – до первой…
Все звенья этой цепочки заинтересованы друг в друге. Идет профессиональное развитие, обновление кадров, мы ориентируемся на ситуацию на рынке. Кстати, у нас же не только российские, у нас и международные компании.
О сообществе
Russian Information Security Club (#RISC) – сообщество специалистов по информационной безопасности, основанное в мае 2014 года группой энтузиастов, имеющих многолетний опыт работы в этой области. Штаб товарищества RISC находится в Санкт-Петербурге.
RISC работает в нескольких форматах:
- проведение очных семинаров на различные актуальные темы по информационной безопасности – приглашаются известные спикеры, формируется программа, приглашаются спонсоры и определяется место проведения;
- организация и проведение очных и онлайн мастер-классов с известными экспертами;
- выпуск различных методических документов, подготовка экспертных материалов и аналитических отчетов, основанных исключительно на практике работы в области информационной безопасности.
RISC не представляет интересы каких-либо производителей средств защиты или интеграторов. Комиссариат товарищества RISC состоит из практикующих специалистов по информационной безопасности, поэтому перед сообществом нестоит цель продавать какие-то товары или услуги.
RISC не берет плату ни за вступление в товарищество, ни за участие в своих мероприятиях.
Чтобы стать членом товарищества RISC, достаточно вступить в группу на Facebook.
|
|
|
Александр Двинских, капитан команды Bread Hunting, занявшей 1-е место в III чемпионате
– Пожалуйста, расскажите, как образовалась команда Bread Hunting? Как вы нашли друг друга? Почему решили участвовать?
– Нашу команду, можно сказать, собрала Семкина Наталия. Изначально мы планировали собрать команду из одногруппников (НИУ ВШЭ), но найти серьезных и не сильно занятых ребят было не так просто, поэтому Наталия предложила своим коллегам (учащимся), которые собственно нам и помогли (Дмитрий и Светлана).
О кейс-чемпионате я узнал, только когда его проводили второй раз. На тот момент я не мог участвовать, но с радостью выступил в роли зрителя. Когда узнал, что в этом году планируется новый чемпионат, то решил попробовать свои силы. Собственно, основная цель участия в кейс-чемпионате была не получение каких-то призов, а проверка своих знаний и навыков, которыми владею.
|
Команда Bread Hunting (слева направо): Наталия Семкина (НИУ ВШЭ), Александр Двинских (НИУ ВШЭ), Дмитрий Топорков (МПУ) и Светлана Кузьмичева (НИЯУ МИФИ), фото – Алексей Пырков |
– Нравятся ли вам кейсы-задания Чемпионата? Они кажутся вам сложными или, наоборот, легкими?
– Задания в этом году были отличными. Мне они понравились еще с заочного этапа. Максимально проработаны условия задачи. Конечно, имелись и вопросы по исходным данным, которых иногда не хватало и приходилось делать предположения (а так ли на самом деле в организации?!). Назвать их сложными я не могу, т.к. имею уже опыт работы с различными системами защиты информации, а здесь как раз акцент в большей степени был на технические меры защиты. Можно сказать, что был в своей стихии. Легкими их тоже нельзя назвать, т.к. при решении задания очного этапа вся сложность была в ограниченности времени, поэтому, даже имея в голове организованный план, не успеваешь еговесь представить в виде презентации.
Также хотел отметить, что еще до получения задания заочного тура, я был уверен, что тематика задания будет связана с актуальными темами по ИБ, такими как безопасность КИИ.
– Удалось ли в ходе чемпионата узнать что-то новое? Чему-то научиться? Если да, то чему? Если нет, то чтобы вы хотели получить от участия в чемпионате (новые знания, опыт, знакомства, работу и т.д.)?
– Безусловно, даже в ходе решения задания заочного тура мне пришлось изучить принципы работы систем защиты, с которыми ранее не сталкивался. Дополнительно по завершении кейс-чемпионата я завел новые знакомства с интересными людьми и профессионалами в этой области, что не может не радовать. Как я уже сказал ранее, основная цель участия в чемпионате была проверка себя как специалиста по ИБ, и, собственно, этой цели я достиг.
– Чего вам как молодому специалисту по ИБкатастрофически не хватает на рынке ИБ? Видите ли вы какие-то проблемы на рынке ИБ? Если да, то какие?
– Я бы хотел выделить то, что бОльшая часть проблем связана именно с российским рынком ИБ, да и в целом с ведением бизнеса в России. Сейчас из-за санкций, требований регуляторов нет возможности приобретать качественные зарубежные решения по ИБ (не будем называть компании). С одной стороны, это, конечно, хорошо, т.к. мы продвигаем наши разработки, но с другой, как показывает практика, качество этих разработок оставляет желать лучшего. При этом стоимость отечественного решения будет в два, три, четыре... раза дороже зарубежного аналога только лишь из-за того, что имеет сертификат соответствия регулятора. На своем небольшом опыте я уже столкнулся с большим количеством таких примеров.
Чего не хватает мне как молодому специалисту, к счастью, я не могу выделить сразу. Однако еще до начала работы мне определенно не хватало сведений о том, как в действительности происходит обеспечение ИБ на предприятиях. Теория – теорией, но практику никто не отменял. Тем не менее это претензия к сотрудникам вузов.
Для меня как молодого специалиста очень важно постоянное обучение, развитие профессиональных навыков, но этого мне пока хватает с лихвой.
– Опишите общие впечатления от участия в III кейс-чемпионате. Что особенно запомнилось?
– Первое – это сами задания кейс-чемпионата, т.к. в этом году они были очень интересными, качественно проработанными и ориентированными на актуальные темы по ИБ.
Также запомнился новый конкурс капитанов. Единственное, что хотелось бы в нем поменять, так это убрать оттуда общеобразовательные вопросы и сделать больше на тему ИБ. Ну а в целом идея викторины отличная.
Общее впечатление, безусловно, очень позитивное. Я считаю, думаю, как и многие, количество таких мероприятий для студентов должно расти. Да, конечно, сейчас огромное количество различных CTF, но помимо умения взламывать кого-то, нужно уметь защищаться, да и в целом понимать, что такое бизнес по ИБ в России и не только.
Беседовал Владимир Лукин
Facebook
Мой мир
Вконтакте
Одноклассники
Google+
|