Якщо ви бодай трохи знаєте англійську, вже із самої назви професії стане зрозуміло, чим займається цей фахівець. І якщо ви цікавитеся кібербезпекою, плануєте розвиватися в цій сфері та стати висококласним спеціалістом – розберемося для початку з базовими поняттями, хто такий та чим займається Security Specialist.
Спеціаліст із кібербезпеки – як вагомо і солідно звучать ці слова, коли вони поряд, чи не так? Одразу в уяві постають ті крутезні хакери з голівудських фільмів і не тільки, які зламають все що завгодно. Навіть системи захисту інопланетних кораблів прибульців, якщо буде дуже-дуже потрібно земному уряду. А всі ці рядки незрозумілого коду, написів і повідомлень, які з’являються на екрані комп’ютера, коли такий профі та з серйозним обличчям ламає чужий код і всі можливі системи захисту… забудьте. В реальності все трохи не так. Зрештою, ця стаття саме для того написана, щоб розібратися в тому, якою насправді є робота Security-спеціаліста.
Але доля правди у сказаному вище все-таки є. Security Specialist дійсно є фахівцем з кібербезпеки, основною метою діяльності якого є забезпечення захисту комп’ютеризованих систем від незаконних проникнень і шкідливого програмного забезпечення. Його робота запобігає витокам конфіденційної інформації, протидіючи хакерським атакам. Важливим етапом є розробка систем, які б надійно захищали приватну інформацію користувачів – як у мережі та хмарних сховищах, так і на персональних пристроях, якими володіє кінцевий юзер.
Ви не помилитеся, якщо одразу подумаєте про те, що платять таким фахівцям досить пристойно. Хороші фахівці із цієї специфічної та актуальної сфери діяльності на вагу золота. Без сумнівів, така тенденція зберігатиметься надалі.
Так скільки платять спеціалісту з кібербезпеки? Рівень оплати фахівця рівня Junior може коливатися в межах 500-1500 доларів, рівня Middle – запросто в діапазоні від 2 тис. доларів до 4,5 тис. хрустких американських банкнот. Ну а «сеньйори» можуть отримувати і 5 тис. доларів, і значно вище, якщо їхня кваліфікація та професіоналізм говорять самі за себе. Тут складно вивести конкретні цифри та універсальний прайс. Зарплатна вилка може суттєво відрізнятися від компанії до компанії, адже тут більше залежить від навичок конкретного співробітника, його майбутніх обов’язків та специфіки роботи саме в цій компанії. Але в своїх професійних обов’язках потрібно розбиратися на високому рівні, якщо хочете отримувати гідну зарплату. Зрештою, як і в будь-якій іншій сфері діяльності.
Якщо вас приваблює ця професія, будьте готові до того, що доведеться постійно навчатися чомусь новому. Такий шлях – тобто шлях самостійного навчання, – непростий і тернистий, всіяний помилками і наповнений щоденним вирішенням складних завдань, які потребують комплексного підходу, ретельного і виваженого аналізу інформації, прийняття правильних, оптимально вивірених рішень.
Другий важливий аспект – відсутність універсальності. Знову ж таки, орієнтуючись на фільми та художню літературу, ми звикли уявляти спеціалістів з кібербезпеки такими собі універсальними бійцями, які можуть вирішити будь-яке питання, пов’язане з безпекою в мережі та захистом конфіденційних даних. Але в реальності все інакше. У сфері кібербезпеки виділяють аж чотири основні напрямки діяльності – SOC, Audit, Penetration Testing, Application Security.
Тут важливо усвідомити, яка з цих сфер здатна зацікавити вас найбільше. Бо якщо одним з найперших пріоритетів для вас є розмір зарплати, про це взагалі не потрібно перейматися на старті вашої кар’єри. А все тому, що Security-спеціалісти всіх напрямів користуються шаленим попитом на ринку праці. І без різниці, в якій компанії ви хочете працювати – продуктовій чи консалтинговій, всі вони зацікавлені в тому, щоб їхні продукти, клієнти, сервера та бази даних були максимально захищені від незаконного проникнення.
А тепер розглянемо кожен напрямок у кібербезпеці більш детальніше.
Ця абревіатура розшифровується як «Security Operations Center», тобто спостереження за системою і вчасне реагування на сигнали тривоги. Обравши цей напрямок, вам доведеться мати справу з моніторингом та протоколюванням ймовірних вразливостей, пошуку потенційних ризиків, аналізом таких ризиків і пошуків шляхів для їхнього усунення.
Очікуйте, що писати трохи код теж доведеться. А на додачу – мати високу пильність та терпіння. Будьте, зокрема, готові й до того, що робочі зміни випадатимуть в будь-який час доби, тому вночі теж, найімовірніше, доведеться працювати.
Уже з самої назви напрямку ви можете зрозуміти, що такі спеціалісти з кібербезпеки займаються аудитом безпеки для організацій та компаній. Їх умовно можна поділити на дві категорії, внутрішніх та зовнішніх аудиторів. Внутрішні займаються тим, що є аудиторами власної компанії, а їхня робота полягає в розробці систем безпеки для своєї організації. Відповідно, зовнішні аудитори перевіряють на стійкість і вразливість системи безпеки інших компаній.
Сфера робочих обов’язків внутрішніх аудиторів часто тісно переплітається з SOC. Багато моментів роботи, які присутні в SOC, присутні й тут – приміром, розробка планів реагування на кібер інциденти, надання рекомендацій для покращення якості моніторингу тощо.
Ось лише зараз ми дійшли до хакерських штучок. Але одразу зазначимо, що мова піде про «білих» хакерів, діяльність яких відбувається в межах закону, юридичних приписів та правил. Їхня діяльність не має нічого спільного з діяльністю так званих «чорних» хакерів. Останні є по суті кримінальними злочинцями, адже зламують системи захисту задля шантажу, власного збагачення чи на користь злочинної організації.
Pentester, якщо скорочено, відтворює (емулює) потенційно можливі атаки на конкретну систему захисту чи застосунок. У такий спосіб «білий» хакер прагне віднайти максимальну кількість вразливостей за певний проміжок часу. Виявлені вразливості записуються в звіт та віддаються замовнику.
Один з найцікавіших напрямків для розвитку Security Specialist як професіонала. Спеціалісти цього напрямку відповідають за безпеку одного чи навіть усіх продуктів компанії. Кардинальна відмінність від того ж пентестера полягає в тому, що ці кіберфахівці надають супровід продукту від планування та розробки до тестування і подальшої експлуатації продукту. Тобто на всіх етапах життєвого циклу систем чи програмного забезпечення.
Звичайно, щоб з великою впевненістю опанувати скіли, потрібні цьому спеціалісту для роботи, доведеться чимало часу затратити на навчання. Але якщо цей напрямок вас цікавить, ви з готовністю проведете сотні годин за навчанням.
Наостанок торкнемося ще одного болючого питання – отримання першої роботи. І якщо ви подумали про те, що таких фахівців, як і айтішників, без досвіду в теперішні часи не дуже охоче розглядають – це щира правда. Але хто шукатиме ту-саму-вакансію і докладатиме зусиль, щоб отримати цю роботу, рано чи пізно свого доб’ється. Все пропорційно від прикладених зусиль – такий усереднений результат «по палаті».
І ще про пошук роботи. Перевіряйте у відкритих джерелах, наскільки легальною та прозорою є діяльність компанії, яка готова запропонувати вам робоче місце. Якщо бачите найменші сумніви стосовно легальності її бізнесу, якщо вакансія викликає підозри – краще ретельніше зважити всі за і проти. Справа в тому, що деякі компанії під виглядом легальних дозволів можуть ламати певні системи захисту, а співробітники навіть не здогадуватимуться, що жодних легальних дозволів на таку діяльність в їхнього роботодавця немає. Не забувайте, на кого потім перекладуть відповідальність за такі неправомірні дії, які будуть прописані у вашому контракті маленьким нерозбірливим шрифтом; ну або деякі пункти контракту будуть сформульовані дуже розмито і двозначно.
Словом, до усіх цих речей треба підійти з відповідальністю та здоровим глуздом. Щоб потім не «влипнути» в неприємну історію. А загалом ця професія має безліч перспектив для особистісного розвитку, і людям з аналітичним складом розуму варто до неї пригледітися.
Новачок на роботі. До нього завжди придивляються. Від того наскільки новий співробітник уважний, тактовний та обачний залежить, як його прийме колектив, як складатимуться взаємини з керівництвом. Треба докласти чимало зусиль, щоб перше враження було гідним, адже другого шансу може й не бути.
В сучасному ритмі життя, коли треба скрізь встигнути і багато чого зробити, наша пам'ять час від часу дає збій. Не завжди пам'ятаємо, де лежать документи, забуваємо про заплановану зустріч, вийшовши з дому, важко згадуємо, чи вимкнули з розетки праску тощо. А причина такого збою – перевтома, часті хвилювання, і, як не дивно, одноманітність.
Підвищення по службі чи в іншій діяльності, досягнення популярності, слави тощо – це все кар'єра. А з чого починається це сходження і коли? На це запитання дає відповідь соціолог із Оксфорда Марк Тейлор.
Декілька порад від наших експертів про те, як, повернувшись до роботи, правильно застосувати «відновлений багаж сил».
Впавши, піднімаємося, обтрушуємо одяг, хочемо зробити крок, але біль у забитих колінах не дає ступити. Адже йти треба, хоча б до медпункту. Одні встають і, перемагаючи біль, йдуть далі, а в інших сил вистачає лише до кабінету лікаря або самому перев'язати собі рани, а деякі не можуть навіть піднятися від сильних забитих місць, розчарування та зневіри. Що робити і як допомогти собі?