Журнал "Information Security/ Информационная безопасность" #3, 2023

высоки риски для участников рынка. Поэтому критерии отбора – квалифи- кация, обучаемость, природный талант и мотивированность. Сергей Груздев, Аладдин Р.Д.: Наличие высшего образования под- тверждает высокие способности к обуче- нию и увеличивает вероятность успеш- ного вхождения в профессию. Скажу банальную фразу: здесь, как и везде, нужно постоянно учиться. Мы ищем среди студентов на рынке, организуем стажировки. Мы очень ценим инициа- тивность и проактивность, стремление к самообучению. При подборе обращаем внимание на уровень знания языков и владение инструментами, на то, как актуальный набор знаний и навыков можно использовать при решении акту- альных задач команды. Александр Дубинин, YADRO: Уровень образования очень разный, от студентов до специалистов и экс- пертов. Мы работаем со многими вуза- ми, у нас есть свои базовые кафедры. Стратегически лучший способ найти подходящие кадры – вырастить их, используя образовательную базу вуза, стажировки и внутренние обучающие программы. Карина Нападовская, Лаборатория Касперского: Есть разные пути. 1. И имеющиеся кадры зачастую хотят что-то поменять в жизни, пере- квалифицироваться и учиться чему- то новому, модному, молодежному. Можно смело их запускать в новый процесс. В нашей отрасли сейчас есть большое количество курсов, вебинаров, конференций, и програм- мы обучения появляются, так что все шансы. 2. Конечно, студенты. Свежая кровь, неиспорченные мозги: очень много достойной молодежи, с которой доста- точно поработать какое-то время и можно добиться отличного резуль- тата. 3. Ну и никто не отменял хантинг гото- вых специалистов. Многие факторы, включая бюджет, цели и сроки постав- ленных задач, влияют на подход к под- бору персонала. Оксана Новослугина, СПб ИАЦ: В настоящее время мы больше смот- рим не на профиль образования, а на инициативность, желание учиться ново- му и трудоспособность. В большом потоке информации важно, чтобы сотрудник мог быть многозадачным, стрессоустойчивым, и главное, чтобы ему было интересно. На нашем пред- приятии развита система наставниче- ства и профессиональной переподго- товки, это очень важное направление в наше время. Екатерина Вайц, МГТУ им. Н.Э. Баумана: С учетом того факта, что мы являемся кузницей кадров, готовим будущих SDLщиков, то проблема поиска пер- спективных и горящих энтузиазмом джу- нов для нас не стоит. Однако в связи с постоянным ростом числа студентов все более актуальной задачей становится необходимость постоянного расширения сильного костя- ка преподавателей по широкому спектру направлений и стеку технологий, кото- рые могли бы выполнять роль научных руководителей и наставников для сту- дентов. Лука Сафонов, Синклит: Как и во всех остальных областях нашей жизни, внедрение и активное использование ИИ в AppSec неизбежно и уже активно идет. Разработчики используют системы генерации кода, ИИ применяется для генерации полезных вредоносных нагрузок, анализа защи- щенности ПО. ИИ будет использоваться все активнее, но на горизонте пяти лет он навряд ли полностью заменит спе- циалиста. Дмитрий Евдокимов, Luntry: ИИ точно не заменит человека, но должен стать хорошим ассистентом. И для этого фундаментально важно, чтобы искусственный интеллект понимал тему, область и контекст. Для этого нужны узкоспециализированные ИИ. По сути, в данной теме, как и во многих других, ИИ должен будет понизить план- ку вхождения в тему. Алексей Смирнов, CodeScoring: Современные подходы машинного обучения уже сейчас помогают нам в решении задач нечеткого поиска, например в задачах поиска кода или идентификации и классификации ком- понентов Open Source. Безусловно, применение машинного обучения целе- сообразно во всех задачах, где нужно отсеивать ложноположительные сра- батывания, которые съедают много времени ценных специалистов. Нельзя не отметить особенную важность этой функциональности, тем более в усло- виях ограниченной доступности спе- циалистов. Нельзя не вспомнить и про современные открытые и закрытые большие языковые модели (LLM), кото- рые уже сейчас показывают неплохое качество автоматического формиро- вания эксплойтов по заданию. Это существенно экономит время на зада- чах подготовки нападения/защиты. Но вопрос всегда в том, кто и насколько качественно пишет это задание. Без- опасный код эти модели научатся писать очень нескоро, даже с хороши- ми учителями. Марк Коренберг, Айдеко: Перспективы огромные! Это прежде всего анализ исходных кодов. ИИ-систе- мы обладают колоссальными знаниями, недоступными для одного человека. Возможно, в будущем ИИ-системы будут анализировать неструктурированные входные данные: документацию, исход- ные коды, понимать архитектуру. Такие решения сейчас есть, но с применением чистой алгоритмики и математики, а не искусственного интеллекта. Роман Борзов, Андрей Кузнецов, Фобос-НТ: Искусственный интеллект в AppSec – звучит интересно. Для его полноценного появления необходим опыт и стартовый набор знаний в формализованном виде. Думаю, этих ингредиентов через пару- тройку лет совместной, в том числе пуб- личной, работы в стране на поприще безопасной разработки будет достаточ- но, чтобы создать ИИ. Сергей Деев, МТС RED: Во-первых, возможно применение ИИ для уточнения получаемых данных об уязвимостях с целью ускорить про- цесс принятия решения по подтвер- ждению наличия либо отсутствия уязвимости в ПО. Во-вторых, когда уровень автоматизации процессов ИИ станет достаточно высоким, можно будет доверить ему подготовку реко- мендаций для принятия решений по устранению уязвимостей в ПО. Все будет зависеть от темпов развития технологий ИИ. Валерий Черепенников, Nizhny Novgorod Research Center: С одной стороны, нейросети уже сей- час решают многие задачи лучше, чем человек, а будут еще лучше. С другой – любая нейросеть – это черный ящик, и мы до конца не понимаем, как он работает. Так что использование ИИ – в первую очередь вопрос доверия. Поэто- му мне представляется, что прогресс ИИ в области Application Security будет идти несколько медленнее, чем в других, менее критических, областях. Владимир Высоцкий, Solar appScreener: В AppSec существует ряд задач, кото- рые теоретически можно переложить на ИИ уже сейчас, но вопрос в рисках. На мой взгляд, по крайней мере сейчас ИИ не может заменить квалифициро- ванного сотрудника. А вот использова- каким вы видите перспективы использования элементов искусственного интеллекта в AppSec на горизонте пяти лет? • 53 Безопасная разраБотка www.itsec.ru