Журнал "Information Security/ Информационная безопасность" #5, 2025

– Какие направления развития компании находятся под вашим контролем? – По сути, я выполняю функции техни- ческого директора: отвечаю за ИТ, про- дукты, услуги. Сейчас к этому добавился и HR-блок – кадры ведь тоже нужно взращивать. Мы не всегда берем готовых специалистов. На первую линию SOC к нам приходят студенты – это осознанная стратегия. Сам я сейчас уже не провожу собеседования с ними, обычно общаюсь с кандидатами уровня руководителей, но принцип подбора остается тем же: важно не только знание, но и мышление. У нас выстроен целый фреймворк отбора и онбординга студентов. Мы его внутри называем "вход в профессию", даже подумывали упаковать его как продукт, чтобы другие SOC могли использовать нашу модель. Система включает тестовые задания, сценарии интервью, последующую адаптацию и трекинг роста сотрудников. В Telegram- канале мы иногда публикуем истории о том, как ребята с первой линии вырас- тают в инженеров или пентестеров. Несколько человек уже прошли этот путь, и я считаю это одним из лучших показателей эффективности команды. – А где вы находите будущих специалистов? Сотрудничаете с вузами? – Сначала мы набирали по сарафанному радио, сейчас активно ищем сами. Кон- кретных "поставляющих" вузов у нас нет, хотя с некоторыми взаимодействуем. Соз- дать полноценный поток выпускников непросто: партнерство с ведущими уни- верситетами стоит дорого. Топ-вуз, имею- щий сильную кафедру кибербезопасности, оценивает свое участие высоко – их можно понять. Лучших студентов у них разбирают с третьего курса, они ценят свое время и бренд. Можно, конечно, сотрудничать с вузами поменьше – там обходится без затрат. Хорошие кадры нередко встре- чаются среди студентов. Но в целом рынок образования стал более коммерческим. И впереди новая волна регулирования: ком- пании, которые хотят получить официаль- ную аккредитацию, теперь будут обязаны выстраивать взаимодействие с вузами, поэтому к этой теме придется вернуться уже в следующем году. – Как вы планируете обучать специалистов по информацион- ной безопасности организаций Государственной корпорации "Ростех"? – Это одно из ключевых направлений. В основе этой системы лежит понятная логика: важно не только набирать спе- циалистов, но и постоянно повышать их уровень. В Государственной корпорации "Ростех" планируется разработка внут- реннего рейтинга – своего рода системы оценки практических навыков. Главная метрика – не формальные сертификаты, а умение действовать в реальной ситуа- ции. Ведь, как я всегда говорю, взломать могут любого, вопрос в том, как ты реаги- руешь. Безопасник должен действовать как врач: быстро поставить диагноз, понять, что происходит в сети, принять решение и устранить проблему. Скорость и качество реакции – вот ключевые кри- терии. Планируется также проводить еже- годные учения на виртуальных киберпо- лигонах: моделировать атаки, где спе- циалисты предприятий будут в реальном времени отрабатывать защиту и реагиро- вание. По результатам таких упражнений можно будет оценить уровень готовности. Это не "рейтинговая гонка", а инструмент развития и одновременно аргумент для бюджетирования обучения. Ведь не все предприятия охотно выделяют средства на повышение квалификации, а здесь можно показать конкретные результаты и обоснованную необходимость. Кроме того, рейтинг поможет форми- ровать кадровый резерв. Когда на пред- приятии освобождается руководящая должность, мы сможем быстро увидеть, кто уже имеет нужный опыт, сколько лет работает, какие курсы проходил, – и предложить ему продвижение. Это поз- волит избежать стагнации и даст людям ощущение роста. И, наконец, эта система поможет решать задачи, поступающие от регуля- торов: ведь Минцифры регулярно запра- шивает статистику – сколько специали- стов работает, какой у них стаж, возраст, уровень переобучения. Вместо ручного сбора данных мы сможем предоставить актуальную картину по всем предприя- тиям. А заодно – продемонстрировать, что обучение у нас действительно выстроено системно и качественно. – В чем специфика работы служ- бы ИБ в структурах Госкорпора- ции Ростех? – Закрытость. Даже внутри Госкорпо- рации Ростех к нам порой относятся настороженно, не спешат пускать спе- циалистов со стороны, даже если мы, по сути, свои. Логика понятна: пред- приятия оборонного профиля, уровень секретности высокий, поэтому любая внешняя активность воспринимается с осторожностью. Предприятия Госкор- порации Ростех строят самолеты, танки, сложнейшие системы – естественно, у них не может быть слабой цифровой инфраструктуры. Просто здесь процесс изменений идет чуть дольше и требует больше усилий, чем в коммерческом секторе. Но импульс уже задан, и раз- витие ИБ в Госкорпорации Ростех идет динамично. – Какие главные вызовы в защите внутренней инфра- структуры вы видите сегодня? – Я бы, наверное, не стал ограничивать это только внутренней инфраструктурой – проблема шире. Главное, что мы наблюдаем сейчас, – это колоссальный рост числа инцидентов. Их так много, что у специалистов буквально замыли- вается глаз. Когда ты работаешь внутри компании, ежедневно анализируешь потоки событий, то неизбежно теряется чувствительность: все кажется рутиной. Главный вызов – научиться среди мас- сива срабатываний различать действи- тельно критические инциденты, а не ложные сигналы. Ошибиться в каждую сторону одинаково опасно: можно про- пустить атаку или, наоборот, потратить ресурсы на проверку шума. Именно поэтому особое значение имеет авто- матизация анализа, корреляция событий и постоянное развитие аналитического мышления у специалистов. – В структуре Госкорпорации Ростех сотни предприятий. Как вы выстраиваете координацию и обмен опытом по вопросам ИБ? – Это действительно одна из самых сложных задач. Специфика Госкорпора- ции Ростех – в закрытости предприятий. Большинство из них выполняют гособо- ронзаказ, поэтому обмен информацией традиционно строился через бюллетени, письма, служебную переписку. Наш пер- вый шаг – создание корпоративного мес- сенджера RT-Link, который позволил нала- дить живое общение между специалиста- ми, обмениваться новостями и оператив- ными рекомендациями. Сейчас хотим раз- вивать публичный канал внутри RT-Link, где соберутся сотрудники по направле- ниям ИБ. Планируем делиться аналитикой, обновлениями, кейсами, и главное – сфор- мируется профессиональное сообщество. Следующий этап – запуск внутреннего портала по кибербезопасности Госу- дарственной корпорации "Ростех", на котором каждое предприятие сможет зарегистрироваться, указать ответствен- ных, а мы, в свою очередь, будем видеть, кто именно работает на местах, какое обучение прошел специалист, какие ком- петенции ему нужно развить. Идея в том, чтобы создать систему персонализиро- ванного обучения. Не социальный рей- тинг, как иногда шутят, а инструмент развития, чтобы понимать, кто на каком уровне находится и чем можно помочь. Мы уже ведем эту работу совместно с корпоративной Академией Ростеха: цель – выстроить настоящую экосистему зна- ний и роста специалистов по ИБ внутри госкорпорации. – Какие сервисные модели SOC вы считаете наиболее жизнеспо- собными? – Безусловно, гибридную. Я работал по обе стороны – и как заказчик, потре- битель услуг SOC, и как их поставщик. И с обеих позиций вижу: самая живая и устойчивая модель – именно гибридная. Главное преимущество в том, что на стороне заказчика остаются свои специа- листы, которые знают внутреннюю инфра- • 9 ПЕРСОНЫ www.itsec.ru