Взломы, турниры для хакеров и чем опасен искусственный интеллект. Разговор с преподавателем по кибербезопасности

9 Января 2023, 13:15
АВТОР
Подпишитесь на наш
Telegram-канал
и узнавайте новости первыми!
Райымбек Мағазов 9 Января 2023, 13:15
9 Января 2023, 13:15
4386
Фото: Райымбек Мағазов

Райымбек Мағазов — молодой преподаватель вуза, который обучает кибербезопасности. Он разработал и модернизировал специальную платформу для студентов, с помощью которой студенты пробуют свои навыки в хакерстве. За последние годы престиж и популярность профессий IT стремительно возросли в Казахстане и в мире. BaigeNews.kz решил поговорить с Райымбеком Мағазовым об особенностях подготовки специалистов по кибербезопасности в стране.

— Райымбек Саламатович, за последние годы насколько повысилась востребованность профессии специалиста по кибербезопасности? В чём принципиальное отличие программиста от специалиста по информационной безопасности?

— Востребованность этой профессии, конечно же, растёт с каждым годом. В 2022 году она увеличилась на 15 процентов, если верить зарубежным источникам и исследованиям. Также прогнозируется что к 2025 году сфера кибербезопасности увеличится до 95 миллиардов долларов.

Если говорить по-простому, программист — это человек, который пишет код или создаёт программу. А специалист по информационной безопасности — это тот, кто разбирает код, либо ищет уязвимости в этой программе.

— Насколько важно высшее образование в этой сфере, учитывая, что множество "айтишников" — самоучки, либо окончили курсы?

— Я согласен, что в сфере IT сейчас очень много самоучек и тех людей, которые прошли какие-либо курсы по программированию. Я думаю, это связано с тем, что IT предполагает очень много разных направлений. Соответственно, за время обучения в университете ты не можешь охватить всё. Поэтому ты идёшь на эти курсы, потому что они длятся не так долго. Иногда, если это хорошие курсы, там очень много практики, и ты получаешь хорошую базу знаний.

— Что в принципе лучше, на Ваш взгляд, обучение в университете — с утверждённой программой, которая меняется не так гибко. Или всё же курсы, которые могут меняться более оперативно и быть современнее? Можете назвать плюсы и минусы обоих вариантов обучения?

— Насчёт высшего образования в сфере кибербезопасности или IT, лично я считаю, что да, оно нужно. С наличием высшего образования вам будет легче получить работу, нежели без него. Так как некоторые компании ставят обязательную галочку на то, чтобы у сотрудника было высшее техническое образование. Также вуз и высшее образование расширяет ваш кругозор, потому что вы будете проходить большое количество дисциплин, и особо важно, что высшее образование учит вас выполнять задачи. Вы будете за всё время получать большое количество заданий, задач, проектов, у вас будут дедлайны, технические задания. Это поможет вам в будущем в работе. Вдобавок ВУЗ даёт вам хорошее общество единомышленников, что может дать вам в будущем хорошие связи. Это может сыграть хорошую роль. Также высшее образование учит мыслить системно, формирует гибкость мышления. Если вы идёте на какую-то ведущую профессию в области IT, вам обязательно потребуется знание дискретной математики, физики и инженерии.

Если говорить о минусах, то высшее образование не всегда углубленно учит программированию. Оно может научить вас базовым вещам. Конечно же, не всегда образовательные программы современны, так как в IT и сфере кибербезопасности нужно всегда следить за тенденциями. Второе, нужно отметить фокус, в университете вы не всегда можете сосредоточиться на образовательной программе, у вас бывают другие бюрократические проблемы.

Ну и конечно, бывает очень много дисциплин и порой лишних заданий. Соответственно, студент просто не успевает это всё освоить.

Насчёт курсов — я приветствуют курсы, там больше плюсов, чем минусов. Но при этом я ни в коем случае не говорю, что они лучше, чем высшее образование. Если говорить о плюсах — самый первый — ты выбираешь то, что тебе нужно, на каком уровне и в каком количестве. Второе — более современные методы, если вы, конечно, найдёте хорошие курсы, то высока вероятность, что вы получите именно то, что вам нужно и в предельно короткие сроки. Ну и, конечно же, цена.

Если вы проходите какой-либо курс, обычно вам предоставляют видеоматериалы, и по ним вы начинаете самообучение. Минус в том, что вы предоставлены сами себе, и никто не будет следить за вашим прогрессом. Не всегда так, курсы бывают разные. Но вы не можете знать заранее, насколько эти курсы качественные. Будут ли это деньги на ветер или нет.

— Расскажите о преподавании по хакерству? Насколько необходимо специалистам по IT-безопасности уметь самим взламывать системы?

— Обучение информационной безопасности — это одно из самых, интересных и увлекательных направлений в сфере IT. Интересно тем, что студентов обучают не только защищаться, но и атаковать. Они должны знать, как атакуют злоумышленники, хакеры, как они думают, чем атакуют, какие инструменты используют и т.д. Если провести аналогию, вы словно даёте человеку оружие, и он сам выбирает — либо нападать, либо защищаться этим оружием.

— Поделитесь своими методами преподавания. Вы создали специальную платформу для студентов и устраиваете соревнования. Что Вас подвигло поменять подход к передаче своих знаний студентам?

— Если вспомнить старые методы обучения, лекции, когда лектор приходил на занятие, вытаскивал бумагу А4 и просто зачитывал текст и ты сидел, ничего не понимал и не представлял. Я знаю, какая это была на то время боль, и как это было не информативно. У меня каждая лекция проходит в виде докладов всегда с реальными примерами, скринами и картинками, схемами. 

Одно из самых главных отличий моих методов преподавания — проведение практических занятий в формате CTF. Это турнир, мероприятие, расшифровывается как capture the flag (захватить флаг). Специально общепринятый формат, турнир для хакеров, в котором нужно найти какой-то ключ и сдать его. Студентам даётся задание, к примеру, взломать сервер, пароль, расшифровать, вычислить IP человека, зашифровать компьютер полностью, взломать виртуальную машину, разобрать чей-то код, найти там ключ, разобрать вирус и найти внутри него какие-то ключи или флаги. Очень крутое направление, очень удобно, вместо скучных коллоквиумов. Это развивает конкуренцию среди студентов, а где конкуренция там и развитие.

А платформа создана для студентов, где они регистрируются, делятся на команды и решают задачи. Им даётся определённое количество времени. Всем даётся одинаковое задание, и они начинают его решать. Выигрывает та команда, которая решила больше всех заданий, больше всех набрала очков. Система очков динамическая, когда несколько команд делают одно и то же задание, соответственно, очки за эти задания уменьшаются. К примеру, изначально 40 очков давали за это задание, но если его решили несколько команд, то даётся условно — 20 очков. Это такой брейншторм, соревновательный режим, который очень интересен. И это приносит свои плоды.

Соревнование в формате CTF

— Чего на сегодня, по-вашему, не хватает отечественному образованию для подготовки программистов и специалистов по кибербезопасности? На каком уровне сфера кибербезопасности в Казахстане, на Ваш взгляд?

— Не хватает хороших специалистов в области образования. Они есть в Казахстане, но все работают в частных компаниях, потому что университеты не могут дать ту зарплату, которую они получают там. В этом университеты просто не могут конкурировать.

Но самое главное, чего не хватает, это соревнований между студентами. По программированию проводятся иногда, но не по кибербезопасности. В России, например, CTF-турнир между студентами проводится с 2008 года ежегодно. Проходят онлайн-этап, квалификацию, финал. У нас проводят такой турнир только две компании, и то частные. За что им большое спасибо — это ЦАРКА и Spectre Security Group.

Но почему такие соревнования нужны отдельно для студентов? Потому что в общих участвуют специалисты информационной безопасности, у которых стаж по 5-10 лет, и студентам очень сложно с ними конкурировать в этой среде. Если министерство науки и высшего образования будет проводить соревнования именно на уровне студентов, это было бы очень круто.  

— А в чём Казахстан преуспел?

— IT в Казахстане преуспел, потому что цифровизация у нас на очень высоком уровне. Это уже отмечали многие страны, было про это много публикаций. Даже если брать тот же Kaspi, его аналогов нигде нет почти. У нас среди компаний очень большая конкуренция, из-за чего они быстро развиваются и выходят в топ.

— Есть ли у вас прогнозы — будет ли профессия программиста и специалиста по кибербезопасности становиться ещё более популярной, или сейчас она достигла своего пика?

— Конечно, популярность будет расти. Если сейчас каждая уважающая себя компания имеет в штате одного-двух программистов или целый отдел, то лет через пять каждая компания будет иметь одного или двух специалистов по информационной безопасности.

— Можно ли вообще с помощью каких-то вычислений и алгоритмов рассчитать, какие профессии будут популярны в ближайшие 10 лет?

— Конечно, можно. Есть такое направление — искусственный интеллект или нейронные сети. Можно спокойно это рассчитать, если правильно дать входные данные.

— Извечный вопрос — может ли всё-таки искусственный интеллект в большинстве случаев заменить человека? Сейчас есть публикации о том, что искусственный интеллект вытесняет специалистов некоторых процессий, к примеру, HR-специалистов.

— Да, в какой-то степени искусственный интеллект может заменить человека, но не полностью. Скорее всего, он сократит штат, количество сотрудников в компании, сэкономит их какие-то ресурсы на этом. Но полностью заменить человека он не может. Искусственный интеллект опасен, его используют тоже в информационной безопасности. Есть такое направление Deep Fake, когда оживляются портреты. Вы можете двигаться, разговаривать, портрет будет повторять вашу мимику. Хакеры научились этим пользоваться. Они ищут какие-то онлайн-вакансии в интернете, проходят собеседование, включая эту программу — их лицо меняется, и под вымышленным именем устраиваются на работу в какую-то компанию. на предоставляет свои данные, логин, пароль от корпоративной сети. И хакеры вытаскивают из компании очень много важной информации, происходит утечка. Был такой кейс использования искусственного интеллекта для взлома.

— Какие компетенции и навыки нужно "прокачивать" людям, чтобы конкурировать с машинами в будущем?

— Если вы являетесь программистом, то вам обязательно нужно идти в направление нейронных сетей, потому что сейчас везде, даже маркетологами используются эти нейронные сети. Было несколько публикаций на эту тему, что специалисты по искусственному интеллекту будут входить в топ-10 востребованных профессий в следующие 10 лет.

Наверх