Количество кибератак за прошлый год увеличилось более чем в четыре раза. Если в 2023 году доля таких инцидентов составляла лишь около 10%, то в 2024 году этот показатель вырос более чем в 4 раза.
Аналитики отмечают, что основную долю успешных атак (до 60%) в 2024 году осуществляли профессиональные хакеры, в отличие от 2023 года, когда их значительная часть приходилась на «хактивистов» — злоумышленников, действующих по политическим мотивам.
Кибербезопасность становится важной задачей для всех, от частных лиц до корпораций и государств.
Об особенностях этой профессии, работе зарубежом и своих проектах в этом направлении, нам рассказала эксперт по кибербезопасности крупных европейских компаний Улдана Мусабекова.
- Улдана, сегодня вы профессиональный эксперт по кипербезопасности международного уровня, а с чего все началось?
- Мой профессиональный путь начался с переезда в одну европейскую страну, что, безусловно, открыло передо мной новые возможности.
Например, я смогла подать заявку на интернатуру в одном крупном международном банке, где меня приняли в департамент кибербезопасности. И я окунулась в «холодную воду» сразу с головой, так как мне было необходимо научиться и усовершенствовать технические знания, чтобы выполнять работу, требующую высокого уровня профессионализма. Одной из моих функций была проверка бизнеса и технических приложений на наличие уязвимостей, которые могли повлечь за собой различного рода киберинциденты.
Также я должна была производить оценку рисков приложений, чтобы дать представление бизнесу, насколько вероятны и критичны данные уязвимости. Все это было лишь частью моих ежедневных обязанностей и заложило прочный фундамент для развития в данной профессии. Кроме того, это был интенсивный процесс обучения, который позволил мне значительно повысить свою квалификацию, и в дальнешем привести меня к уровню эксперта международного уровня в данной нише.
- Расскажите о своей первой работе заграницей?
- Моя первая работа как раз таки началась с интернатуры, где я напрямую работала с директором по безопасности и выполняла поручения по разным стратегическим и операционным направлениям.
Я участвовала в одном крупном аудиторском мероприятии, организованном центральным банком и сфокусированном на проверке работ в кибербезопасности.
В мои обязанности входила помощь в консолидировании результатов аудиторских проверок, анализ и подготовка презентаций для всех лидеров по безопасности в дочерних компаниях. Это был колоссальный опыт, так как аудит - это одна из многих ключевых процедур, настолько же важная в области кибербезопасности, как и нормативные и законодательные требования управляющих органов по защите данных.
- С какими трудностями приходилось вам столкнуться?
- Прежде всего, это адаптация к различным культурным особенностям в международной среде, со своими подходами к вопросам кибербезопасности.
Мне также необходимо было вдвое больше усилий и времени, чтобы самостоятельно осваивать новые технические навыки, изучая дополнительные материалы, и применять их непосредственно на практике.
Но все это помогло мне вскоре показать свою значимость, и, в конечном итоге, привести меня к желаемой должности специалиста в этой области.
- Как вы пришли в ИТ, какая у вас была изначальная специализация?
- Изначально я получала образование в сфере бизнес-менеджмента и экономики, что уже давало мне хорошую возможность построения карьеры в финансовой и экономической сфере.
Но на интернатуру меня приняли не в бизнес-департамент, а в департамент кибербезопасности, куда требовались люди понимающие бизнес-процессы. Я была тем самым звеном, которое соединяет бизнес цели и технические задачи в единый процесс, обеспечивая их согласованность.
- Есть ли какие-нибудь нормы KPI? Если работы нет – значит хорошо работаете?
- В показателях кибербезопасности важно учесть, что нормативы могут варьироваться в направлениях как к 100% , так и к 0%.
Так что, когда некоторые показатели идут на снижение, у нас есть повод радоваться, что мы делаем эффективную работу. Это показатели, направленные на выявление и устранение инцидентов в кратчайшие сроки, или, например, устранение и обнаружение уязвимостей в системах тоже радуют нас, когда показатели находятся на самых низких границах стремящихся к 0.
Мы, может, и не генерируем материальный профит для организаций, но мы определенно оправдываем все инвестиции, что идут на поддержание безопасной среды в финансовых и технических организациях.
Важно понимать, отсутствие инцидентов в организации не означает отсутствие работы для специалистов кибербезопасности. На самом деле, именно благодаря слаженной и проактивной работе данных команд удается поддерживать показатели инцидентов на минимальном уровне, что позволяет не превышать рисковые пороговые значения. Это результат постоянной профилактики, мониторинга и улучшения мер безопасности, которые предотвращают возможные угрозы до того, как они перерастут в реальные инциденты.
- Сложно ли девушке конкурировать с мужчинами в ИТ-индустрии?
- Конкуренция, основанная на гендерных стереотипах, не должна иметь место в организациях со здоровым климатом. К сожалению, в большинстве случаев, девушкам все еще приходится прикладывать вдвое больше усилий для того, чтобы выделить свою значимость в преобладающе мужской индустрии.
По моему мнению, здоровая конкуренция не зависит от пола. И всегда является стимулом к совершенствованию нужных навыков и квалификаций, особенно в такой стремительно развивающейся эре, и особенно в ИТ-индустрии.
- Как вы считаете, в чем преимущество женщин в ИТ?
- Здесь важно отметить, что каждый человек, независимо от пола, может иметь свои уникальные сильные стороны, и все зависит от его стремления, мотивации, дисциплины, навыков и умений.
Конечно, в количественном плане женщин в ИТ все еще значительно меньше, чем мужчин. Женщины вносят важный баланс в эту сферу, что, на мой взгляд, делает ее более эффективной.
Поэтому в вопросе диверсификации в ИТ-индустрии, многие компании стараются достичь этого баланса путем привлечения женщин. И это очень важно, чтобы женщины не боялись идти в эту индрустрию и проявлять свои лучшие качества наравне с мужчинами.
В конце концов, мы все экперты, а у экспертов нет пола.
- Считаете ли вы кибербезопасность перспективной областью для построения карьеры?
- Однозначно - да. Сегодня это одна из самых перспективных областей для построения карьеры. С каждым годом объем данных и цифровизация бизнесов неумолимо растет, а внедрение искусственного интеллекта практически во все аспекты бизнеса, делают защиту информации и инфраструктуры критически важной.
С увеличением технологических возможностей растет и уровень киберугроз, которые не стоят на месте, а становятся все более сложными и многогранными. А как следствие, спрос на специалистов в кибербезопасности растет в геометрической прогрессии, и продолжит расти с усовершенствованием потенциальных угроз.
Кроме того, с усилением нормативных требований в области защиты данных, соблюдения стандартов и борьбы с киберпреступностью, также растет спрос на квалифицированных специалистов. Эти процессы создают уникальные возможности развития в разных направлениях данной профессии.
- Какой совет вы бы дали ребятам, которые выбирают ИТ своей будущей профессией.
- Мой совет – всегда быть готовым к постоянному обучению и адаптации. Важно не только овладеть фундаментальными техническими навыками, но и не переставать осваивать новые знания, новые методики и тренды.
Не менее важно развивать свои личностные квалификации: умение эффективно коммуницировать, работать в команде, управлять проектами и взаимодействовать с различными заинтересованными лицами. И, самое главное – выбирайте то направление ИТ, которое вас действительно увлекает.
- Расскажите о вашей сегодняшней работе.
- На данный момент я руковожу разработкой центральной платформы для отчетности по инцидентам для всех дочерних компаний, а также разрабатываю и внедряю обязательные тренировочные программы для повышения квалификаций специалистов нашей компании в области кибербезопасности.
Сегодня в мои должностные обязанности, как эксперта по кибербезопасности, входит обеспечение стратегического и оперативного руководства в реализации структуры управления эффективностью безопасности в дочерних компаниях одной из самых крупных страховых компаний в стране моего проживания.
Помимо этого, я отвечаю за разработку обязательных норм и документации по безопасности, устанавливая требования и нормативные процессы для операционных команд в ИТ и ИТ-безопасности, таких как нормы реагирования на инциденты и их отчетность.
- Какие цели вы ставите перед собой? (как в карьере, так и в целом в жизни)
- Хочу продолжать развиваться в области кибербезопасности, а также помогать другим в реализации карьеры мечты. Мне также хотелось бы делиться своим опытом и знаниями с теми, кто хочет построить свою карьеру в ИТ.
Я люблю находиться среди людей, поэтому данная цель, я уверена, позитивно скажется и на моей жизни в целом. Хочу много путешествовать, познавать новые культуры и работать в свое удовольствие.
Анна Попова