Что такое кибер- и информационная безопасность, и как стать специалистом в этой области   

IQ Media представляет подкаст о профессиях и компетенциях будущего – «Кем стать, когда вывезу». О том, чему и где научиться уже сейчас, чтобы быть востребованным через 25-50 лет, рассказывают эксперты Высшей школы экономики. В этом выпуске  мы пообщались с заведующим кафедрой информационной безопасности киберфизических систем МИЭМ, академическим руководителем образовательных программ НИУ ВШЭ «Информационная безопасность и технологии искусственного интеллекта» и «Кибербезопасность» Олегом Евсютиным. 

Вместе с ведущим подкаста, кандидатом физико-математических наук Евгением Ребровым Олег Евсютин рассуждал о том, что должны уметь специалисты области кибер- и информационной безопасности, как попасть в эту сферу и действительно ли современный человек может быть защищен от действий кибермошенников и хакеров. 

Также приглашаем вас присоединиться к дискуссии о компетенциях будущего на Форуме дополнительного профессионального образования. Он состоится 20-21 ноября 2025 года, все подробности и регистрация по ссылке.

Евгений Ребров (Е.Р.) — Всем привет! Меня зовут Евгений Ребров, и это подкаст о профессиях «Кем стать, когда вывезу» – проект бренд-медиа Высшей школы экономики IQ Media для тех, кто хочет быть востребованным сегодня и в будущем, освоить новую профессию, выйти на новый карьерный уровень, для тех, кто проектирует себя. Сегодня тема нашего подкаста «Киберпреступления будущего и кто их предотвратит?». Об этом нам расскажет заведующий кафедрой информационной безопасности киберфизических систем Московского института электроники и математики имени Тихонова Олег Олегович Евсютин. Олег, добрый день! 

Олег Евсютин (О.Е.) —  Евгений, добрый день! 

Е.Р. —  Все мы знаем, что киберпреступления набирают обороты, видоизменяются, становятся все более и более современными. Можно сказать, что киберпреступления —  это и есть преступления будущего, и их нужно предотвращать. Уже сейчас  нужно готовить специалистов, которые смогут с этим бороться. Олег, в связи с этим  вопрос общего характера: кто должен бороться с киберпреступлениями? Какой специализацией, профессией должен владеть человек? 

О.Е. —  Отвечая на ваш вопрос, хочу сказать, что борьба с киберпреступлениями — это задача для целого ряда специалистов, но ключевая профессия в этой области — специалист по кибербезопасности и защите информации. Эта профессия далеко не новая. В России, например, таких специалистов готовят уже около 30 лет. Это динамичная, постоянно развивающаяся сфера. Конечно, 20-30 лет назад требуемые навыки были другими. Теперь ландшафт киберугроз постоянно меняется: появляются новые атаки, технологии и уязвимости.

Задача ведущих учебных заведений, таких как Высшая школа экономики, которую я представляю, — не просто идти в ногу с этими изменениями, но и по возможности опережать их. Мы должны готовить специалистов, которые будут на шаг впереди злоумышленников. Здесь уместна аналогия с «щитом и мечом». Злоумышленники — это «меч», который постоянно становится острее и прочнее. Наша задача — создавать такой «щит» (системы защиты, протоколы, специалистов), который сможет выдержать эти атаки и сделать их безуспешными.

Безусловно, у нападающих есть преимущество: они не связаны нормами закона и этики, движимы в основном жаждой наживы. Но на нашей стороне — стремление к порядку, безопасности и законности, и мы прилагаем все усилия, чтобы не отставать в этой технологической гонке.

Е.Р. — А что же все-таки должен уметь специалист по кибербезопасности? Какие навыки в первую очередь нужно развивать? Это человек, который разбирается прежде всего в программировании, или это специалист какого-то другого профиля? 

О.Е. — Вы затронули очень важный момент. Ошибочно представлять специалиста по кибербезопасности как человека с единым набором навыков. Эта область сильно дифференцирована, и внутри нее существует целый спектр профессий, каждая из которых требует своей экспертизы. Если кратко, то программирование — это важная, но не всегда обязательная база для многих направлений. Давайте разберем ключевые профили.

Например, так называемая «бумажная» безопасность, которая касается законодательной сферы, нормативного регулирования. Информационная безопасность — достаточно зарегламентированная сфера. Государство ее плотно контролирует, есть регуляторы, которые выпускают нормативные акты, предписывающие, как надо действовать в этой сфере. С одной стороны, в организации должен быть настроен процесс по защите информации, с другой — необходимы специалисты, которые глубоко владеют регуляторной базой и могут в соответствии с ней поддерживать организационно-технические процессы по защите информации. 

Теперь перейдем к другим профилям — в последние несколько лет в сфере кибербезопасности стало популярно такое направление, как Penetration Testing (тестирование на проникновение). Это специалисты, которые моделируют действия злоумышленников для поиска уязвимостей в инфраструктуре компании. Если такие уязвимости находятся, то компания должна «закрыть» выявленную угрозу. 

Угрозам противостоят «защитники» — специалисты по защите информации, которые строят и поддерживают системы безопасности и обладают глубоким пониманием сетевых протоколов и умением эксплуатировать комплексы средств защиты информации.  

Также одно из самых современных и востребованных направлений — безопасность искусственного интеллекта и машинного обучения. Мы сейчас все стали пользователями разного рода интеллектуальных информационных систем. Буквально в каждом смартфоне есть сервисы, которые построены на таких технологиях. Соответственно, большое значение приобретают специалисты, которые могут создавать безопасные системы искусственного интеллекта, чтобы злоумышленники не могли пользоваться уязвимостями данных систем.  

Е.Р. — Правильно ли я понимаю, что если существует возможность устроить такую «игру», в которой есть команда людей, пытающихся пробить дыру в информационной безопасности компании, то, соответственно, в обучение специалиста по информационной безопасности должно входить овладение навыками подобного взлома? То есть он должны  уметь мыслить как хакер и киберпреступник, чтобы научиться предотвращать подобные проникновения? 

О.Е. — Да, Евгений, вы абсолютно правы. Квалифицированный специалист по защите информации должен знать, как пробить брешь в системе, чтобы понимать и предупреждать действия киберпреступников. Но другой разговор, что есть такое понятие, как этичный хакинг — так называемые «белые шляпы». Это хакеры, действующие в целях безопасности компании — как раз для устранения уязвимостей. «Черные шляпы», соответственно, — киберпреступники. То есть методы в данном случае одни и те же, а цели — разные. 

И, конечно же, мы учим студентов использовать эти методы только в законных целях, в целях обеспечения информационной безопасности, в интересах потребителей и владельцев информации.

Е.Р. — Такой процесс обучения кажется очень интересным. Наверняка многие ребята хотели бы не просто получить образование программиста-айтишники, а научиться делать интересные вещи, которые легко объяснимы и применимы на практике. Речь идет о том, что ты не просто занимаешься программированием и каким-то кодом, а пытаешься защитить предприятие от возможного взлома. То есть обучение имеет прикладную направленность? 

О.Е. —  Вы точно уловили суть, и само по себе программирование — вещь безусловно прикладная.  Информационная безопасность и кибербезопасность — несколько романтизированные профессии, конечно. Но на самом деле в них тоже присутствует рутина, хотя и не без романтики. Но я бы сказал, что и в профессии программиста можно найти немало романтики. Например, когда ты пишешь код, а он не работает и не работает, а потом вдруг все заработало. На мой взгляд, вполне себе романтика. 

Е.Р. — Мы постоянно даём согласие на обработку персональных данных: при заселении в отель, при оставлении номера телефона на сайте. Закон призван защищать эту информацию, но новостные ленты говорят об обратном: регулярно появляются базы данных с паспортами, историей заказов и т.п. Возникает два вопроса. Какова реальная ситуация с защитой персональных данных в России?  Считается ли это направление отдельной, специализированной областью в обучении информационной безопасности, или оно остаётся всего лишь одним из её многочисленных разделов?

О.Е. — Спасибо за вопрос. На самом деле, это скорее один из подразделов информационной безопасности. Персональные данные — вещь, безусловно, важная, и защищать их, конечно же, тоже важно. Государство уже много лет об этом говорит. Закон о персональных данных, если не ошибаюсь, вышел в 2006 году, то есть ему уже порядка 20 лет. Но в то же время компании защищают персональные данные не всегда хорошо.

Одна из причин этого — довольно смешные штрафы. Когда происходит какая-нибудь серьезная утечка, штраф составляет всего несколько десятков тысяч рублей. Для любой крупной компании это ничто.

В обсуждениях шла речь о том, что определенным решением может быть введение штрафов в виде процента от оборота. Это уже совершенно другой разговор, и компании, конечно, по-другому взглянули бы на защиту. Но это вопрос для государства. 

Е.Р. — По поводу внешних угроз — мы постоянно слышим о ведущихся информационных войнах: о попытках других государств проникнуть в наши системы, чтобы выведать секреты, будь то данные о новых разработках или что-то иное. Как именно следует бороться с такими угрозами? Есть ли здесь какая-то своя специфика?

О.Е. —  Если говорить про внешние воздействия, то одним из наиболее известных проявлений являются разнообразные DDoS-атаки. Они направлены не на то, чтобы что-то выведать, а на то, чтобы банально  «положить» всю инфраструктуру. Да, недружественная сторона наши секреты не узнала, но если у нас всё «лежит» —  тоже малоприятно.

Естественно, эта сфера входит в компетенцию специалистов по защите информации, но тут получается работа на стыке областей. Больше относится к сетевым технологиям: как построить сеть, чтобы минимизировать воздействия, ведущие к отказу в обслуживании. И, соответственно, как предпринять защитные меры — построить систему, которая могла бы обнаруживать такие атаки, отклонять их и пресекать. В общем, это комплексная проблема, и, конечно, актуальная.

Е.Р. —  Мы обсудили масштабные вопросы информационной безопасности, но ведь она начинаются с основ. Самый простой пример — нельзя использовать пароль «123456» для почты или соцсетей. В школах есть предмет ОБЖ, на котором объясняют, что делать, если ты поранился. А учат ли сейчас детей тому, что такое цифровая гигиена, и почему она важна? И если да, то чему именно?

О.Е. — Мне сложно говорить про ситуацию в школах — не очень осведомлен, но тема актуальная. Однажды участвовал в круглом столе, на котором как раз обсуждали, нужно ли вводить такие вопросы в школьную программу. Точно могу сказать, что уже в третий раз проходит Российская олимпиада школьников по информационной безопасности — при определяющем организационном участии Высшей школы экономики в лице МИЭМа. Это одно из направлений, через которое мы несём знания об информационной безопасности в школьные массы.

Еще 20-30 лет назад не было таких сервисов, как сейчас. Теперь у нас у всех смартфоны, где вся жизнь: финансы, данные, онлайн-банкинг, госуслуги. Поэтому просто жизненно важно с раннего возраста приучать к мысли о том, что есть такое понятие, как «цифровая гигиена», и что это — вопрос личной безопасности.

Е.Р. —  Если обратиться к высшему образованию: программы по информационной безопасности и ИТ в целом развиваются столь стремительно, что знания могут устаревать еще до окончания вуза. Как удается держать руку на пульсе и актуализировать учебные программы? 

О.Е. — Путь стандартный — не терять связи с индустрией. Если жить в отрыве от реального мира, вряд ли получится подготовить хороших специалистов. 

Если говорить о наших программах в МИЭМ —  профессиональные дисциплины здесь ведут практики — коллеги, которые непосредственно работают с задачами информационной безопасности в индустрии и находят время доносить актуальные знания до студентов. Например, у нас есть базовая кафедра группы компаний InfoWatch, одного из ведущих вендоров средств защиты информации. Также на кафедре работают представители СБЕРа и других компаний. Это и помогает оставаться в русле современных технологий и вызовов в области информационной безопасности.

Е.Р. — Олег, вы упомянули, что информационная безопасность включает знание законодательных актов. Получается, это не только технические навыки, но и понимание юридических норм: что разрешено, что запрещено, какие данные требуют максимальной защиты, а какие — нет. Правильно ли я понимаю, что специалист по информационной безопасности — это не только программист, но в некоторой степени и юрист?

О.Е. — Строго говоря, назвать его юристом нельзя. В образовательных программах по информационной безопасности действительно есть стандартная дисциплина — правовое и организационное обеспечение информационной безопасности, в рамках которой изучаются базовые курсы по праву. Но если человек прошел два-три таких курса, юристом он еще не становится.

При этом любой специалист по защите информации должен иметь базовые представления о законодательстве — понимать, что такое хорошо и что такое плохо, знать основные положения Уголовного кодекса, ключевые законы и регуляторов в области информационной безопасности.

С другой стороны, существуют профессии на стыке информационной безопасности и юриспруденции. Специалист может идеально разбираться в законодательстве и выстраивать организационные меры с учетом всех нюансов, но при этом глубокими техническими навыками он скорее всего владеть не будет. Профессия очень широкая, и в какой-то момент приходится выбирать конкретную специализацию.

Е.Р. — Ещё один актуальный вопрос: мы сегодня уже говорили в подкасте об искусственном интеллекте и машинном обучении. Есть ли вероятность, что угрозы будущего будут исходить не от людей, а от искусственного интеллекта — что программы будут настраивать так, чтобы они самостоятельно планировали попытки взлома? И может ли ИИ, в свою очередь, заменить специалиста по кибербезопасности — можно ли настроить нейросеть так, чтобы она самостоятельно защищала нас от угроз?

О.Е. — Интересный вопрос. Честно говоря, в Скайнет (ИИ, наделенный свободой воли: ред) я не очень верю, но вот в то, что искусственный интеллект станет инструментом в руках как специалистов по защите информации, так и злоумышленников — вполне.

Если говорить о тех же DDoS-атаках, которые мы упоминали, то для планирования таких массовых атак уже сейчас могут задействоваться технологии ИИ. Понятное дело, конечные нити управления остаются в руках человека или группы людей, которые всё это планируют. Но именно как инструмент, как технология, искусственный интеллект, безусловно, будет использоваться и для атак, и для защиты.

Е.Р. — Олег, ещё один вопрос. Мы говорили про студенческие программы, куда в основном идут молодые люди с целью получения профессии после школы. Но если говорить о профессиях будущего... Возможно ли человеку в более зрелом, осознанном возрасте, который уже имеет другую профессию и образование, кардинально сменить карьеру и стать специалистом по информационной безопасности? Существует ли в этой профессии возрастной предел или его нет?

О.Е. —  Хороший вопрос, и ответ на него скорее положительный. Более того, могу привести конкретный пример. У нас есть магистерская программа «Кибербезопасность»  — это онлайн-программа, первая, которую запустил МИЭМ. Сейчас у нас обучается уже третий поток, первый выпуск состоялся, второй будет в этом году.

И знаете, к нам приходит довольно много возрастных слушателей. У меня есть студенты старше меня, и некоторые из них не имеют базового образования ни в информационной безопасности, ни в IT в целом. Но они очень хотят войти в эту область, хотят заниматься этими задачами.

Конечно, не у всех получается — кто-то переоценивает свои силы, ведь нужно приложить серьезные усилия, начиная практически с нуля. Но у многих выходит вполне успешно. Вот, например, в текущем потоке есть студент примерно моего возраста с базовым юридическим образованием — он вполне успешно учится, уже прошел стажировку в одной из наших партнерских компаний из сферы информационной безопасности и собирается туда на работу.

Это первый пример, который пришел в голову, но есть и другие положительные случаи. Так что да, сменить профессию и прийти в информационную безопасность в зрелом возрасте вполне возможно.

Е.Р. —  И финальный вопрос — могли бы для наших слушателей обозначить три главных правила информационной безопасности, когда речь идет об обычном пользовательском опыте — смартфоны, компьютеры, ноутбуки? 

О.Е. — Я так не готовился, чтобы сразу красиво и лаконично обозначить три главных правила.

Е.Р. — Переформулируем вопрос — на что в первую очередь стоит обращать внимание в целях собственной информационной безопасности? 

О.Е. —  В первую очередь — критическое мышление. Сначала подумай, потом еще раз подумай, потом уже делай. Если говорить про цифровую гигиену — не надо тыкать на первую попавшуюся ссылку, которая прилетела. Подумай: оно тебе надо? Кто тебе это прислал? Зачем? Это одно из самых базовых правил. Не доверяй всему, что тебе скажет незнакомый собеседник. Мы с вами телефонное мошенничество особо не затронули, а это одно из основных проявлений киберпреступлений. Не нужно быть злобным гением-хакером, чтобы совершить массовый обзвон, найти слабое место и заставить человека добровольно перевести деньги на неизвестный счет. 

В итоге вот три главных базовых правила: не совершай необдуманных действий, не доверяй безоглядно, не кликай на незнакомые ссылки.

Е.Р. — Спасибо, это было полезно и, конечно, интересно! Я напомню, это подкаст «Кем стать, когда вывезу?». И сегодня мы говорили о киберпреступлениях будущего и кто их предотвратит. Ну а рассказал нам об этом заведующий кафедрой информационной безопасности киберфизических систем Московского института электроники и математики имени Тихонова Олег Олегович Евсютин. Олег, спасибо большое, до новых встреч. 

О.Е. —  Спасибо, до свидания.