Олег Иевлев: «Сегодня работодатель заинтересован в квалифицированном специалисте, умеющим работать в команде, и на которого не нужно тратить ресурсы и время «на доводку».
Олег Павлович Иевлев, декан факультета «Кибернетика и информационная безопасность» МТУСИ, ответил на вопросы, связанные с организацией и проведением Московских студенческих межвузовских соревнований M*CTF по информационной безопасности.
1. Насколько возрос интерес к теме информационной безопасности за последние годы среди абитуриентов и почему?
Рост интереса к теме ИБ характерен для всего нашего общества, что обусловлено проникновением информационных технологий во все сферы нашей жизни. А там, где есть информация, есть и угроза, которую необходимо идентифицировать и предупредить ее последствия.
Сегодня для сферы ИБ характерно повышенное внимание к проблеме защиты информации со стороны государства и других игроков рынка, деятельность которых непосредственно связана с высокими рисками нарушения конфиденциальности, целостности и доступности информации, громадный интерес со стороны организаций кредитно-финансовой сферы. Триада – экономическая, финансовая и информационная безопасность сейчас выходит на первый план. Далее следуют компании сектора электронной коммерции, государственные корпорации и, собственно, сами игроки отрасли информационная безопасность - вендоры и системные интеграторы.
На сегодняшний день информационная безопасность является одной из самых быстрорастущих ветвей IT-индустрии с ростом 15-20% в год, обгоняя прирост самой индустрии в целом. Рост и разнообразие задач информационной безопасности обуславливает увеличение спроса на высококвалифицированных специалистов, которых сейчас катастрофически не хватает. Уровень заработной платы также имеет большое значение, ведь начинающий специалист ИБ, например в Москве, зарабатывает не ниже 50-60 тысяч рублей в месяц, а это – стажер без опыта работы. Большая часть наших студентов уже на третьем курсе работает или проходит стажировку по специальности, успешно совмещая работу в компаниях с учебой.
Кроме того, ИБ – сфера деятельности, где молодой человек может проявить себя в наибольшей степени и прежде всего практически. Энтузиазм, фантазия, умение нестандартно мыслить и принимать решения, стремление проявить себя в чем-то важном, самоутверждение, романтизм профессии – все это также способствует громадному интересу абитуриентов к ИБ.
Основным показателем популярности тематики ИБ среди абитуриентов является постоянное увеличение конкурса на бюджетные и «платные» места на программы бакалавриата, специалитета и магистратуры 10-ки. В частности, в МТУСИ, в этом году, несмотря на непростую ситуацию с коронавирусом, конкурс продолжил свой рост пропорционально выделенным для поступления на бюджет местам.
2. Как проходит подготовка к CTF в вашем ВУЗе? Насколько успешно удается подготовке и организации соревнований встроиться в образовательный процесс и академическую структуру в целом? Можно ли говорить о формировании академической традиции в этом направлении?
Активности, связанные с подготовкой и участием в CTF движении, проходят в нашем университете сразу на нескольких уровнях.
Для старшеклассников наших подшефных школ и лицеев, учащихся колледжей, постоянно раз в неделю проводятся факультативные занятия. Ребята получают не только навыки самой игры, но и разнообразные прикладные теоретические знания в области существующих фреймворков и эксплойтов, рекогносцировки, тестирования на проникновение, Web-уязвимостей (OWASP TOP-10), анализа защищенности, способов выявления и противодействия кибератакам, реверс-инжениринга, и конечно, этичного хакинга.
Уже стало традицией проводить турниры лучших школьных команд во время проведения финала M*CTF. В M*CTF School в этом году участвовало более 30 команд из 5 регионов России. Для старшеклассников, при непосредственном их сопровождении преподавателями, а иногда и родителями, проводятся отдельные соревнования. И там – «все по- взрослому» – свои площадки, задания, партнеры и спонсоры, призы и конечно свои переживания и радость побед.
Далее, работа с первокурсниками. Начиная с 1 сентября, ребята получают возможность участвовать в постоянно действующем кружке *CTF. Сейчас в работе кружка участвуют около 180 студентов всех «технических» направлений нашего вуза. Один раз в неделю, по субботам, они знакомятся с историей движения, разбирают тактики, приемы, стратегии, пишут скрипты. У ребят есть возможность попасть в существующие команды или создать новые. Кружок CTF – это серьезная и системная работа с будущими «белыми» хакерами.
Ребята постарше сами успешно участвуют в многочисленных соревнованиях *CTF. Правда, кубок RuCTF мы еще не выигрывали, но только потому, что предоставляем эту возможность нынешнему поколению игроков.
Занятия на всех уровнях подготовки мы проводим факультативно, хотя знаем и изучили методический материал, разработанный АРСИБ по встраиванию *CTF в образовательный процесс. Может сделаем это позже, но пока не хочется «загонять» эту романтическую и предполагающую участие по желанию ребят игру в рамки обязательных к исполнению ФГОСов.
В статусе факультативных занятий *CTF являются прямым дополнением образовательных программ в сфере ИБ. Здесь прослеживается аналогия с практико-ориентированными курсами, которые читают для наших студентов профильные компании. Например, сейчас, специально для наших ребят проводятся онлайн курсы от Лаборатории Касперского, Позитив Технолоджис, Инфотекс, которые, как и *CTF, являются неотъемлемым практическим дополнением компетенций, формируемых дисциплинами учебных программ, например, по безопасности Web-приложений, безопасности сетей, аппаратно-программных средств, операционных систем и данных 10-ки.
Всеобщим праздником для всех становится финал M*CTF, который уже пять лет проводится на нашей площадке. В отборочных соревнованиях приняло участие около 250 команд. Кстати, наша команда попала в число десяти, но участие в финале будет принимать лишь в качестве гостевой, ведь разрабатываем таски мы сами. В этом году, мы провели традиционно, но не традиционно в онлайн формате, наверно один из лучших в нашей истории финалов с участием 10 лучших команд Москвы. Необходимо отметить и состав партнеров соревнований, среди которых компании Код Безопасности, Лаборатория Касперского, Mail.RU Group, Воентелеком.
Конечно, пять лет назад, когда мы только начинали знакомиться с движением *CTF, о таком можно было только мечтать! Тогда, большую организаторскую и информационную помощь нам оказала АРСИБ, и прежде всего, Минин Виктор Владимирович, за что ему большое спасибо!
3. Какие отличия в уровне подготовки студентов Вы заметили до начала проведения CTF турниров (до 16 года) и после?
Как отмечают работодатели – уровень подготовки в нашем университете всегда остается высоким. Различия возникают только в наполненности контента подготовки, который с каждым годом становится все сложней и многообразней. Оглядываясь на 5 лет назад, разве можно было представить сегодняшние тренды, такие как нейтрализация инъекций SQL, OS Command injection, широкомасштабное применение искусственного интеллекта при обнаружении и управлении инцидентами ИБ. Очень важная черта *CTF состоит в том, что при возникновении нового тренда ИБ, он сразу же появляется в заданиях на соревнованиях.
Заметны стали различия и в компетенциях самих ребят. Это – сквозные знания и навыки сразу в нескольких смежных областях ИБ (одна из основных составляющих общекомандного успеха в *CTF), сочетание профильных компетенций с навыками разработчика, сисадмина и аналитика, подкованность в написании кода, быстрота мышления и принятия решений – все это говорит, кстати, о хорошей полученной базисной подготовке в вузе. Что касается наших ребят, то большую роль в их подготовке играет знаменитая на всю страну кафедра Информационной безопасности моего факультета, большая часть преподавателей которой одновременно работают в ведущих компаниях отрасли.
4. Насколько востребованы навыки, получаемые при подготовке и игре в CTF среди работодателей?
Если мы говорим о профессиональных компетенциях, то навыки, демонстрируемые в игре *CTF, имеют самое прямое отношение к квалификационным требованиям работодателей. Они могут быть востребованы в целой гамме позиций, например, пентестера, специалиста по разработке безопасного ПО, администратора серверов и сервисов, специалиста по компьютерным сетям.
Сегодня работодатель, как никогда ранее, заинтересован в квалифицированном специалисте, умеющего работать в команде, и на которого не нужно тратить ресурсы и время «на доводку». Очень важен опыт практической работы, причем с возможностью применить его в реальных и экстремальных ситуациях. Именно такие компетенции и помогает сформировать *CTF.
Участие, а особенно победы в турнирах CTF, по словам наших партнеров-работодателей, можно смело записывать в резюме.
5. Какие результаты для студентов дало появление CTF, какие новые (укрепить уже имеющиеся) компетенции это помогло им освоить?
Игра в *CTF призвана помочь сформировать как профессиональные, так и личностные компетенции, важные как для каждого студента, так и востребованные работодателем. Из личностных, особенно ценны навыки работы в команде и умение выстраивать взаимоотношения в рабочем коллективе. Это ведь необходимо и для разработчиков, и для внедренцев, руководителей проектов, и для сейлов. Для некоторых позиций, например, связанных с анализом и прогнозированием рисков ИБ, важны также аналитические способности, тоже формируемые *CTF.
Как я уже говорил, *CTF дополняет компетенции студента, формируемые во время прохождения образовательной программы. Кроме того, важно отметить, что компетенции *CTF находятся в русле реализуемых моим факультетом Кибернетики и информационной безопасности МТУСИ активностей по созданию учебно-научного потенциала в сфере использования искусственного интеллекта в задачах ИБ. С этой целью на факультете проводятся работы по созданию уникального учебного центра по обнаружению и управлению инцидентами ИБ (SOC), а также по организации подготовки к независимой сертификации CEH (Certified Ethical Hunter).
6. Насколько популярная эта история у абитуриентов и как они относятся к подобным активностям на факультете?
История эта – суперпопулярна. Взять хотя бы первокурсников. Буквально все первокурсники 10-ки участвуют в кружке и уже играют в *CTF. Ощущение складывается такое, что все кубки CTF будут наши!
Ребята полностью поддерживают активности факультета КиИБ, участвуя в любой активности CTF. В качестве примера могу сказать, что на участие в финале M*CTF в качестве волонтеров более, чем за месяц до его проведения, среди студентов уже образовалась большая конкуренция.
7. Студенты МТУСИ активно принимают участие в Летней Школе, что им это даёт в плане образовательного процесса и дальнейшего трудоустройства?
Вы правы – наши ребята являются постоянными и наверно самыми многочисленными участниками Летней школы *CTF. Это стало возможным благодаря позиции ректора университета Ерохина Сергея Дмитриевича, всячески поддерживающего развитие движения *CTF в МТУСИ. Основное требование к ребятам, кроме хорошей успеваемости – «горящие» глаза и желание биться за МТУСИ на полях CTF.
Как известно, участие в Летней школе – это не только игра, общение и классное времяпровождение с единомышленниками, но еще и учеба. Организаторы, в лице АРСИБ, постоянно приглашают к участию в Школе представителей крупнейших профильных компаний с мастер-классами и презентациями. Ребята получают не только профильные знания и умения, но и понимание внутренней корпоративной культуры компаний своего потенциального трудоустройства.
8. Какие навыки получают организаторы и разработчики турниров и насколько они важны?
Я не буду перечислять список активностей при подготовке турниров, в частности финала M*CTF. Это – большая, кропотливая и ответственная работа, включающая не только организаторские активности, но и обеспечение работоспособности платформы и инфраструктуры, разработку и непосредственную работу тасков.
У нас так сложилось, что команда организаторов и разработчиков заданий в основном состоит из студентов. Без «мудрого руководства» конечно не обходится, но фактически, ребята сами инициируют, предлагают, разрабатывают, сами и отвечают за результаты работы.