Якщо ви бодай трохи знаєте англійську, вже із самої назви професії стане зрозуміло, чим займається цей фахівець. І якщо ви цікавитеся кібербезпекою, плануєте розвиватися в цій сфері та стати висококласним спеціалістом – розберемося для початку з базовими поняттями, хто такий та чим займається Security Specialist.

Хто такий Security Specialist?

Спеціаліст із кібербезпеки – як вагомо і солідно звучать ці слова, коли вони поряд, чи не так? Одразу в уяві постають ті крутезні хакери з голівудських фільмів і не тільки, які зламають все що завгодно. Навіть системи захисту інопланетних кораблів прибульців, якщо буде дуже-дуже потрібно земному уряду. А всі ці рядки незрозумілого коду, написів і повідомлень, які з’являються на екрані комп’ютера, коли такий профі та з серйозним обличчям ламає чужий код і всі можливі системи захисту… забудьте. В реальності все трохи не так. Зрештою, ця стаття саме для того написана, щоб розібратися в тому, якою насправді є робота Security-спеціаліста.

Але доля правди у сказаному вище все-таки є. Security Specialist дійсно є фахівцем з кібербезпеки, основною метою діяльності якого є забезпечення захисту комп’ютеризованих систем від незаконних проникнень і шкідливого програмного забезпечення. Його робота запобігає витокам конфіденційної інформації, протидіючи хакерським атакам. Важливим етапом є розробка систем, які б надійно захищали приватну інформацію користувачів – як у мережі та хмарних сховищах, так і на персональних пристроях, якими володіє кінцевий юзер.

Скільки платять Security-спеціалісту?

Ви не помилитеся, якщо одразу подумаєте про те, що платять таким фахівцям досить пристойно. Хороші фахівці із цієї специфічної та актуальної сфери діяльності на вагу золота. Без сумнівів, така тенденція зберігатиметься надалі.

Так скільки платять спеціалісту з кібербезпеки? Рівень оплати фахівця рівня Junior може коливатися в межах 500-1500 доларів, рівня Middle – запросто в діапазоні від 2 тис. доларів до 4,5 тис. хрустких американських банкнот. Ну а «сеньйори» можуть отримувати і 5 тис. доларів, і значно вище, якщо їхня кваліфікація та професіоналізм говорять самі за себе. Тут складно вивести конкретні цифри та універсальний прайс. Зарплатна вилка може суттєво відрізнятися від компанії до компанії, адже тут більше залежить від навичок конкретного співробітника, його майбутніх обов’язків та специфіки роботи саме в цій компанії. Але в своїх професійних обов’язках потрібно розбиратися на високому рівні, якщо хочете отримувати гідну зарплату. Зрештою, як і в будь-якій іншій сфері діяльності.

Багато вчитися і знати – це про фахівця з кібербезпеки

Якщо вас приваблює ця професія, будьте готові до того, що доведеться постійно навчатися чомусь новому. Такий шлях – тобто шлях самостійного навчання, – непростий і тернистий, всіяний помилками і наповнений щоденним вирішенням складних завдань, які потребують комплексного підходу, ретельного і виваженого аналізу інформації, прийняття правильних, оптимально вивірених рішень.

Другий важливий аспект – відсутність універсальності. Знову ж таки, орієнтуючись на фільми та художню літературу, ми звикли уявляти спеціалістів з кібербезпеки такими собі універсальними бійцями, які можуть вирішити будь-яке питання, пов’язане з безпекою в мережі та захистом конфіденційних даних. Але в реальності все інакше. У сфері кібербезпеки виділяють аж чотири основні напрямки діяльності – SOC, Audit, Penetration Testing, Application Security.

Чотири напрямки роботи Security Specialist

Тут важливо усвідомити, яка з цих сфер здатна зацікавити вас найбільше. Бо якщо одним з найперших пріоритетів для вас є розмір зарплати, про це взагалі не потрібно перейматися на старті вашої кар’єри. А все тому, що Security-спеціалісти всіх напрямів користуються шаленим попитом на ринку праці. І без різниці, в якій компанії ви хочете працювати – продуктовій чи консалтинговій, всі вони зацікавлені в тому, щоб їхні продукти, клієнти, сервера та бази даних були максимально захищені від незаконного проникнення.

А тепер розглянемо кожен напрямок у кібербезпеці більш детальніше.

SOC

Ця абревіатура розшифровується як «Security Operations Center», тобто спостереження за системою і вчасне реагування на сигнали тривоги. Обравши цей напрямок, вам доведеться мати справу з моніторингом та протоколюванням ймовірних вразливостей, пошуку потенційних ризиків, аналізом таких ризиків і пошуків шляхів для їхнього усунення.

Очікуйте, що писати трохи код теж доведеться. А на додачу – мати високу пильність та терпіння. Будьте, зокрема, готові й до того, що робочі зміни випадатимуть в будь-який час доби, тому вночі теж, найімовірніше, доведеться працювати.

IT Audit

Уже з самої назви напрямку ви можете зрозуміти, що такі спеціалісти з кібербезпеки займаються аудитом безпеки для організацій та компаній. Їх умовно можна поділити на дві категорії, внутрішніх та зовнішніх аудиторів. Внутрішні займаються тим, що є аудиторами власної компанії, а їхня робота полягає в розробці систем безпеки для своєї організації. Відповідно, зовнішні аудитори перевіряють на стійкість і вразливість системи безпеки інших компаній.

Сфера робочих обов’язків внутрішніх аудиторів часто тісно переплітається з SOC. Багато моментів роботи, які присутні в SOC, присутні й тут – приміром, розробка планів реагування на кібер інциденти, надання рекомендацій для покращення якості моніторингу тощо.

Penetration testing, або «тестування на проникнення»

Ось лише зараз ми дійшли до хакерських штучок. Але одразу зазначимо, що мова піде про «білих» хакерів, діяльність яких відбувається в межах закону, юридичних приписів та правил. Їхня діяльність не має нічого спільного з діяльністю так званих «чорних» хакерів. Останні є по суті кримінальними злочинцями, адже зламують системи захисту задля шантажу, власного збагачення чи на користь злочинної організації.

Pentester, якщо скорочено, відтворює (емулює) потенційно можливі атаки на конкретну систему захисту чи застосунок. У такий спосіб «білий» хакер прагне віднайти максимальну кількість вразливостей за певний проміжок часу. Виявлені вразливості записуються в звіт та віддаються замовнику.

Application Security

Один з найцікавіших напрямків для розвитку Security Specialist як професіонала. Спеціалісти цього напрямку відповідають за безпеку одного чи навіть усіх продуктів компанії. Кардинальна відмінність від того ж пентестера полягає в тому, що ці кіберфахівці надають супровід продукту від планування та розробки до тестування і подальшої експлуатації продукту. Тобто на всіх етапах життєвого циклу систем чи програмного забезпечення.

Звичайно, щоб з великою впевненістю опанувати скіли, потрібні цьому спеціалісту для роботи, доведеться чимало часу затратити на навчання. Але якщо цей напрямок вас цікавить, ви з готовністю проведете сотні годин за навчанням.

А як з першою роботою для Security Specialist?

Наостанок торкнемося ще одного болючого питання – отримання першої роботи. І якщо ви подумали про те, що таких фахівців, як і айтішників, без досвіду в теперішні часи не дуже охоче розглядають – це щира правда. Але хто шукатиме ту-саму-вакансію і докладатиме зусиль, щоб отримати цю роботу, рано чи пізно свого доб’ється. Все пропорційно від прикладених зусиль – такий усереднений результат «по палаті».

І ще про пошук роботи. Перевіряйте у відкритих джерелах, наскільки легальною та прозорою є діяльність компанії, яка готова запропонувати вам робоче місце. Якщо бачите найменші сумніви стосовно легальності її бізнесу, якщо вакансія викликає підозри – краще ретельніше зважити всі за і проти. Справа в тому, що деякі компанії під виглядом легальних дозволів можуть ламати певні системи захисту, а співробітники навіть не здогадуватимуться, що жодних легальних дозволів на таку діяльність в їхнього роботодавця немає. Не забувайте, на кого потім перекладуть відповідальність за такі неправомірні дії, які будуть прописані у вашому контракті маленьким нерозбірливим шрифтом; ну або деякі пункти контракту будуть сформульовані дуже розмито і двозначно.

Словом, до усіх цих речей треба підійти з відповідальністю та здоровим глуздом. Щоб потім не «влипнути» в неприємну історію. А загалом ця професія має безліч перспектив для особистісного розвитку, і людям з аналітичним складом розуму варто до неї пригледітися.