Павел Йосифов от DIGITALL: Изискванията към специалистите по киберсигурност растат

Павел Йосифов е директор на отдел Продукти за киберсигурност в DIGITALL. Той е експерт с богат опит в продажбата, внедряването и поддръжката на различни решения и услуги за киберсигурност в организации от различни индустрии и от всякакъв размер. Обърнахме се към него, за да научим повече за знанията и уменията, които работещите в тази област трябва  да притежават. Вижте и кои са основните заплахи, които ни очакват през 2023 г., според експерта с над 15 години опит в ИТ, над десет от които в киберсигурността.

Бързото развитие - най-вече на цифровизацията, в днешно време налага и необходимостта от киберсигурност. С какви темпове се развива киберсигурността и отговарят ли те на темповете на развитие на цифровизацията?

Темповете на развитие на киберсигурността определено отговарят, дори - според мен, на моменти изпреварват тези на дигитализацията. Основният проблем обаче е късният старт – говорим за цифровизация от няколко десетилетия, докато на темите, свързани с киберсигурността, започна да се обръща внимание значително по-късно и значително по-малко.

Причините са ясни – дигитализацията води до определени бизнес ползи, докато киберсигурността се възприема като ограничаваща и водеща до допълнителни инвестиции. Най-ясно късният старт може да се види в образователната система.

Замислете се откога във висшите учебни заведения се изучават предмети, които спомагат процесите на цифровизация. Специалности по киберсигурност започнаха да се появяват едва в последните 5-6 години.

Какъв тип специалисти работят в тази сфера и кои са основните познания, с които трябва да разполага един специалист по киберсигурност?

Не съм сигурен, че бих типизирал специалистите в тази сфера. Както и в много други области, има различни направления и специализации и всеки следва да избере къде да се фокусира или поне откъде да започне.

Но определено основни познания в сферата на информационните технологии са почти задължителни, като: мрежови архитектури и принципи, сървърни системи, основни характеристики и принципи на Web приложенията и т.н.

Едно основно правило в киберсигурността е, че всичко е въпрос на риск. Този подход е чужд на повечето дисциплини в IT, но е задължителен за разбиране от страна на специалистите по киберсигурност.

Разбира се, в процеса на изграждане на такъв специалист неминуемо влизат разбирането на определени технологии за киберсигурност, като в последно време се набляга много на Security Operations Center.

Като пример мога да дам нашия SoC, който е базиран на технологичната линия на IBM – IBM Q-Radar, IBM XDR, IBM CloudPAK for Security, като водещ технологичен вендор на пазара и естествено - търсим и обучаваме експертите ни в тези технологии.

Чисто технологичните познания в областта достатъчни ли са за добрия специалист по киберсигурност или са необходими и допълнителни качества, като владеене на езици, способност за работа под стрес, презентационни умения?

Разбира се, че не. Има ли сфера, в която познанията са достатъчни? Имал съм удоволствието и привилегията да наемам хора с никакъв опит и познания в тази сфера и да виждам как се изграждат като едни от най-добрите специалисти в България в днешно време.

Най-важно е желанието – ако то е налице, почти всичко друго може да се научи. Но всеки, който се захване с кариера в тази сфера, трябва да знае, че ученето никога не спира. От една страна, технологичното развитие ни тласка непрекъснато да го следваме и да четем и учим нови неща.

От друга страна, изискванията към специалистите по киберсигурност растат и у тях се търсят определени комуникационни умения. Екипната работа е ключова и съответно е много трудно за хора, които не умеят да работят в екип, дори и да са страхотни специалисти – виждал съм доста такива примери през годините.

Разбира се, английският език е почти задължителен, а в определени направления е възможно да ви трябват и други езици. Има доста ситуации, които изискват изграждането на презентационни умения - например представянето на ново решение, или представянето на текущо състояние, или презентиране на форум за киберсигурност, дори в определени случаи и отчитането на текущата дейност.

Относно работата под стрес – всеки работи под някакъв вид стрес. В сферата на киберсигурността може би е повече, отколкото в някои други сфери, предвид чувствителността на информацията, с която работим, и определено се повишава в случаите, когато се работи по инциденти.

Но да го кажем така – ако търсите лека и спокойна работа, без много динамика и нужда за обновяване на знанията и уменията си, потърсете другаде.

При гарантирането на киберсигурността няма почивка. В тази връзка, работата на нощни смени също е едно от предизвикателствата за работещите в тази сфера. За какво трябва да са подготвени служителите в това отношение?

Работата в извънработно време не е чужда на никой експерт в нашата област. Използването и внедряването на различни технологични решения подпомага дейността ни, но все още е нужно човешката намеса, и то адекватна такава.

В този ред на мисли, има определени направления, където наличието на експерт 24/7 е абсолютно задължително. В други пък се налага да сме на разположение, в случай че ни потърсят.

Тъй като кибератаките са изпълними от всяка точка на земното кълбо, часовите диапазони играят все по-малка роля, освен ако атакуващите целенасочено не ги подбират. Тук отново ще обърна внимание на желанието – повечето от нас реагират на необходимостта от намеса в извънработно време с готовност и желание.

Преди малко говорехме за стрес – човек го приема като стрес, ако го прави без нужната мотивация. Иначе е предизвикателство. 

Облачните приложения и инфраструктура, личните електронни пощи, мобилните устройства, корпоративните уебсайтове, уеб приложенията са само част от киберпространството. Кои са основните технологии, към които могат да се насочат хората, които биха искали да се развиват в тази сфера?

Зависи откъде тръгвате и къде искате да стигнете. Както вече споменах, общи познания в ИТ ще са винаги полезни – те са преплетени във всеки аспект на киберсигурността. Допълнително има определени принципи и на самата киберсигурност, които също следва да се изучат, познават и прилагат.

Оттам нататък започва въпроса към кое направление иска да се насочи човек. Security Operations Center е едно много добро начало, ако сте начинаещ, защото дава възможност както за кариерно развитие в самото направление, така и за изграждане на нужното разбиране и опит за преминаване в някое от другите направления.

Някои от тях са Governance (или как да изготвяме нужните правила, процедури и процеси за осигуряване на киберсигурността), RedTeaming (или как да извършваме контролирани симулации на кибератаки с цел идентифициране на слаби места), BlueTeaming (или как да идентифицираме пробиви и да реагираме адекватно, където, всъщност, се включва и Security Operations Center), Application Security (или как да разработваме приложения с вградени принципи на киберсигурността), Network Security (или как да изграждаме защитени мрежи) и доста други.

Всяко от тези направления е приложимо и към Cloud света, макар да се изисква допълнително разбиране на Public Cloud и специфично за конкретния му доставчик. И всяко от тези направления изисква определени знания и качества.

Какви са най-честите казуси, с които специалистът по киберсигурност се сблъсква в работното си ежедневие?

Предполагам, че вече съм създал някакво разбиране за това колко различни и множество направления има в сферата на киберсигурността, като всяко от тях се бори с различни казуси. Най-честите са свързани с идентифициране на инциденти и слабости – това е ежедневие.

Голяма чат от нашето време минава в опит да подобрим нивото на киберзащита на дадена организация – дали с нови правила и процеси, дали с внедряване на нови технологии, дали с анализ на текущите и тяхното оптимизиране.

Но може би най-динамичните казуси са свързани с разследване на заплахи, инциденти и пробиви, като основна част от тях са свързани с пробиви през Web и Email и доста често водят до изтичане на данни, криптиране или компрометирането на работоспособността на определени информационни системи.

Откриването им, изолирането им, минимизирането на щетите, корективните действия и последващите превантивни подобрения – всичко това е част от само един инцидент, с който ние се сблъскваме.

Какви са основните заплахи - от гледна точка на киберсигурността, които ни очакват през следващата година?

Не се очаква типът на заплахите да се промени драстично през 2023 спрямо 2022 г. Простичко казано – очакваме повече от същото. Това означава, че ще продължим да виждаме много зловредно съдържание в имейл трафика, ще виждаме атаки към уеб приложенията и мобилните такива, ще виждаме и доста DDoS атаки.

Човешката грешка продължава да е основен фактор за голяма част от пробивите и така ще бъде и през 2023 г. – не сме взели достатъчно мерки да обучим хората и да ги направим по-малко податливи на атаките.

Разбира се, Ransomware ще продължава да води статистиките на техниките за монетизиране на пробивите – просто се доказа като твърде ефективен и приложим при организации от всякакъв мащаб, а понякога дори и спрямо конкретни личности.

Надявам се, и всички ние работим в тази посока, обществото да повишава нивото си на разбиране на тези заплахи и да става все по-резистивно към тях през следващите години.

Ако ние, хората, сме по-внимателни и съвестни, 2023 г. може и да ни изненада приятно с по-малко и по-незначителни инциденти.

Новините на Darik Business Review във Facebook , Instagram , LinkedIn и Twitter !