пятница, 24 сентября 2010 г.

Эх... чему у нас учат молодежь

Где та молодая шпана, что сотрет нас с лица земли....
Б.Б. Гребенщиков


Недавно мой коллега Евгений Царев в твиттере разместил ссылку на статью о том, что информационная безопасность сейчас одна из самых востребованных специальностей среди студентов. Это конечно здорово, но ....
По долгу службы, что называется, мне приходится собеседовать студентов, желающих устроиться по специальности. К сожалению степень их готовности не просто шокирует...а уже даже просто удручает. Возникает впечатление, что все что преподают этим ребятам это то, что такое ПЭМИН и как бороться с утечкой по техническим каналам. Они примерно даже знают как искать «жучков» и какой толщины должны быть стены в помещениях, где ведутся конфиденциальные переговоры, но только начинаешь с ними говорить о современных технологиях, о системах IDS/IPS, о сканерах уязвимостей или о чем-то более продвинутом, вроде систем корреляции логов (SIEM) и т.п..... в ответ тишина... И как мы с такими знаниями собираемся развивать инновации и создавать конкурентноспособную экономику? Да бог с ней с экономикой... кто банально будет отвечать за информационную безопасность в гос. структурах и коммерческих организациях через несколько лет ?... не знаю...
Понятно, что любого человека можно выучить в компании, особенно если человек тянется к знаниям. Но все же человек с высшим образованием должен уже (!) обладать серьезным багажом начальных знаний. И вот как-то обидно становится за нашу молодежь, ведь среди них есть немало талантливых, энергичных и творческих людей, а раскрыться у них возможности нет.... изучают архаизм и выходят из институтов совершенно «нулевыми»... Я понимаю, что на зарплату учителя высококлассный специалист по информационной безопасности не пойдет работать в институт, да и уровень его компетенции без практики очень быстро начнет падать. В этом смысле радуют инициативы Лаборатории Касперского по чтению специализированных курсов для студентов…. но это пока капля в море. Было бы здорово наверное, если бы таких волонтерских начинаний было побольше. Ведь у нас немало серьезных, компетентных экспертов в области информационной безопасности, которым безусловно есть чем поделиться с подрастающим поколением.

Update (02.2011) В развитие своих мыслей я решил запустить проект "Обратная связь". Буду по мере сил стараться исправить обозначенные проблемы.

22 комментария:

  1. Когда-то у нас был институт наставничества и обмена опытом.
    Наверно следует возрождать данный институт.

    Весь вопрос захотят ли ВУЗы т.к.:
    - занятия, скорее всего, будут проходить в выходные дни и факультативно
    - не факт, что то о чем будут рассказывать "волонтеры" соответствует тому, чему учат преподаватели. М.б. им придется переделывать программу обучения и в чем-то будет показана их некомпетентность/низкая компетентность - а этого врядли захотят...

    ОтветитьУдалить
  2. Когда понадобилось нанять человека (без опыта работы), я и не рассчитывал на то, что придет человек со знаниями. Тут фишка, как мне кажется в другом - чтобы умел логически думать и обладал пониманием что почем. Т.е. не глубину знаний оценивать, а потенциал зарабатывания этих знаний и возможность оперативно применять полученные знания (чтобы не год ушло на обучение, а пару месяцев).
    В общем-то так будет всегда, т.к. большая часть людей (около 80%) не особо умны, не умеют ставить цели и, соответственно, их достигать. Это суровая реальность.
    Подход себя оправдал:)

    ОтветитьУдалить
  3. О чём разговор... ДВГТУ: "комплексная защита информации" - программа только утверждена Министерством образования, с ФСБ и ФСТЭК не согласована, а следовательно - это уже и не "защитник", тем более, что занятия "читает" (именно, так) кндидат ГЕОЛОГИЧЕСКИХ наук!!!

    ОтветитьУдалить
  4. Этот комментарий был удален автором.

    ОтветитьУдалить
  5. не знаю ни одного инста где бы выпускали нормальных спецов в любой отрасли.
    все определяется только опытом.
    эти все программы обучения утверждаются не так часто как появляются технологии, а сама иб в стране построена на стандартах юрского периода.
    и студенты вообще ни при чем, не вините их.

    ОтветитьУдалить
  6. Безопасность не живет сама по себе. Она безопасность чего-то: сетей или операционных систем или даже побочных электромагнитных излучений. Спрашивайте человека о знаниях сетей, операционных систем, понимания стека, кучи и других вещей, без знания которых на курсы по IPS, сканерам безопасности и firewall посылать бесмыссленно. А потом пошлите этого человека на нужный компании курс. Вкладывайтесь в развитие собственных сотрудников и вам воздастся.

    ОтветитьУдалить
  7. Я в этом году решил пойти попробовать себя в роли преподавателя (и в должности 0,25 ставки ассистента за 1125 руб/месяц). Дисциплина "Программно-аппаратная защита информации". Отчитал пока одну лекцию, есть заинтересованные студенты. По их словам, им в основном преподают организационную ЗИ, даже противопожар.безопасность, а по дисциплине а-ля "Сетевая безопасность" был только реферат :( Преподают в этом ВУЗе одни теоретики (по крайней мере на той кафедре, где я читаю лекции), так что удивляться нечему. Надо не жаловаться, а действовать.
    Уважаемый, Александр! Обращаюсь к Вам с предложением. Готовы ли Вы лично или специалист из Вашей компании приехать в Санкт-Петербург и прочитать студентам лекцию на тему, выбранную вами?
    С уважением,
    Краснов Алексей

    ОтветитьУдалить
  8. "Надо не жаловаться, а действовать" Алексей, полностью с Вами согласен и именно поэтому я пытаюсь запустить проект "Обратная связь". В эту субботу у меня будет лекция в МИФИ. Приехать в Питер я не против и готов поделиться опытом со студентами, НО такая поездка потребует определенных финансовых расходов, а т.к. проект с моей стороны совершенно некоммерческий, то пока я не рассматривал вопрос лекций в других городах. Если будет финансирование, то я готов приехать (даже банально на 1 день без того, чтобы останавливаться в гостинице).

    ОтветитьУдалить
  9. Спасибо за отклик!
    В части финансирования постараюсь решить этот вопрос в университете, готов отдать свою ассистентскую зарплату :) (благо, что это "хобби").
    Что ещё должно входить в финансовое обеспечение с нашей стороны кроме проезда и питания (если на 1 день)? (ответ можно по эл.почте)
    Когда я писал рабочую программу дисциплины (кстати, в тот момент я из-за всех этих бумаг и «беготни» с ними при утверждении я пожалел, что пошёл на это дело:) ), я планировал сводить студентов на экскурсию в одну-две организации, занимающиеся ИБ, но потом передумал, так как это не заводы, а обычные компании с офисными работниками и показывать там кроме занятых людей, оргтехники и столов нечего. Нужен контакт с представителями этих компаний, общение.
    Надеюсь на сотрудничество :)

    ОтветитьУдалить
  10. По моему в статье есть доля от лукавого ;). По своему опыту преподавательской деятельности могу сказать, что из потока в 60-80 студентов - только 10 занимаются вопросами аттестации объектов информатизации, что кстати очень хорошо, т.к. нормативка РФ нам говорит о том что конфи информация в гос. органах должна обрабатываться на аттестованных АРМ - это к вопросу о том кто будет защищать информацию в гос. органах (грустно когда студент не может расшифровать сокращение ПЭМИН или написать пакет нормативки для аттестуемого объекта). Кстати аттестация включает две составляющие - техническая и НСД.
    Остальные разделяются примерно 40% на 60%. 40% Занимаются вопросами создание программных СЗИ, в том числе и криптографии (сюда попадают и IPS\IDS) и системы защищенного документооборота и еще много чего интересного. Остальные 60% занимаются изучением нормативно-методической базы, в том числе последне время ФЗ № 152 очень актуален у студентов. Далее СТО, Методики оценки рисков, Инцидентов, Международная нормативка, национальные стандарты. Практически все умеют работать с линейкой продуктов компании Aladdin, Информзащита, часть с продуктами Инфотекс. Мне кажется, что вы слегка сгущаете краски ;). Если действительно универ в Москве готовит только таких спецов, то скажите какой?

    ОтветитьУдалить
  11. Я на первой лекции у студентов спросил знают ли они (4 и 5 курс) что-нибудь про ФЗ-152 и ПДн. Ответ был - нет. Грустно. Некоторые (не более 10 из 80) знают Страж, Даллас и Аккорд. Зависит не только от города, ВУЗа, но даже и от кафедры. Везде по разному.
    Был в прошлом году на госэкзамене. ПЭМИН "расшифровывают" единицы, путают лицензирование с сертификацией и аттестацией. Из примерно 80 только пятерым можно было выдать диплом. Выдали всем.

    ОтветитьУдалить
  12. Я говорю за кафедру КИБЭВС ТУСУР. Кстати в ЛЕТА работает Царев в должности руководлителя направления - выпускник кафедры РЗИ ТУСУР ;). Знать про закон 152-ФЗ и обладать фундаментом знаний в области построения защищенных систем и оценки рисков разные вещи. Второе предпочтительнее чем первое, так как в основе процессов ЗИ лежит три основных классических составляющих: организационная (документы), техническая, программно-аппаратная. Из своего опыта, когда начинал работать в направлении ПДн (в интеграторе) ни чего не знал про 152 ФЗ, а через неделю уже проводил предпроектные, строил модели угроз для разных ИСПДн, ТЗ, Тех проект, внедрение, аттестация :).
    По моему мнению ВУЗ должен готовить специалистов с прочными фундаментальными знаниями, а практика нарастет оч. быстро - это конечно не говорит о том, что не надо практики вообще.
    Посмотрел я презентацию Александра для студентов МИФИ - фактически это требования компании Лета к специалисту, а возьмите гос сектор - образование, здравоохранение, чиновники - думаете специалистам нужен сертификат CISSP?! Или знание оценки рисков?! Возьмите нефть и газ - у них там своя серия стандартов - закрытая ;). А если взять интеграторов, которые занимаются аттестацией по конфи - надо их специалистам знать как оцениваются риски?! Думаю что все должно зависить от человека - на сколько он хочет развиваться в данном направлении - ведь если он знает серию СТО, а работает в здравоохранении - то эти знания просто бессмысленные ;).

    ОтветитьУдалить
  13. Насчёт фундаментальных знаний полностью согласен, но считаю что противопожар. безопасность специалистам по ИБ нужна не в первую и не во вторую очередь. Лично мне по работе она никогда не была нужна (прошу не путать с БЖД).

    ОтветитьУдалить
  14. БЖД это конечно перебор :), но я на своей памяти не помню на специальности КОИБАС БЖД.

    ОтветитьУдалить
  15. БЖД - это, кажется, обязательная дисциплина (по крайней мере для технарей) для допуска к работе с электрооборудованием.
    Я про то, что студентам по ИБ преподают про разные типы противопожарных датчиков, системы охранно-пожарной сигнализации и т.п. – это им не к чему. Зато по сетевой безопасности ни лекций, ни тем более практик, а только реферат.

    ОтветитьУдалить
  16. Посмотрите рабочие программы по специальности КОИБАС http://keva.tusur.ru/drop/?q=node/22, в том числе там есть и программа по Безопасности Вычислительных сетей. Конечно там не все гладко, но основные базовые понятия рассматриваются. Хотя я не помню, что бы студентов учили на лабах админить FreeBSD, это скорее на личное рассмотрение, хотя может сейчас что-то изменилось :).

    ОтветитьУдалить
  17. Я честно рад за студентов ТУСУР, но в ВУЗе, о котором я веду речь, к сожалению всё не так, хотя в рабочих программах тоже "красиво" написано.

    ОтветитьУдалить
  18. офтоп: Сергей, у нас в компании, кстати, сейчас проходят стажировку 2 студента из ТУСУРа :)

    ОтветитьУдалить
  19. Алексей, ну и как впечатления?

    ОтветитьУдалить
  20. Я с ними не взаимодействую, знаю только что есть они, поэтому ничего сказать не могу.

    ОтветитьУдалить
  21. Хм, проблема с ПЭМИН и криптой как фокусом внимания безопасников на самом деле обходится...искать надо просто на соседних специальностях, типа "компьютерные сети и системы" с специализациями, например, "защита информации в банковских сетях и системах". Вот там то и дают основные понятия (и сетевая безопасность есть, и безопасность операционных систем и пресловутая криптография). А то в UISG в одной теме тоже жаловались что ничему не учат, а как копнули то оказалось что это тяжкое наследие СССР.

    ОтветитьУдалить