Нещодавно група студентів спеціальності «Кібербезпека» брала участь у курсі підвищення кваліфікації з етичного хакінгу в Університеті Нортумбрії. Під час навчання вони здобули новий досвід і показали високий рівень знань та вмінь, після чого повернулися до України (докладніше про це можна прочитати на сайті).
Серед учасників програми з удосконалення фахових навичок був Олексій Грушковський — студент 4-го курсу спеціальності «Кібербезпека». Що надихає цього талановитого студента, чим він цікавиться і чому обрав цей шлях — читайте далі.
Олексій народився в містечку Балта на півночі Одещини, а до Львова переїхав чотири роки тому, щоб тут навчатися. Хлопець розповідає, що обрав Львівську політехніку, бо на момент його вступу спеціальність «Кібербезпека» в нашому університеті була однією з найкращих у плані опрацьованості освітньої програми:
— Це була одна з найкращих програм на момент мого вступу, а зараз вона стала ще кращою завдяки впровадженню спеціалізацій. Вони були й тоді, коли я вступав, але загалом така специфіка спеціалізацій, коли є не тільки кібербезпека, а більш профільні напрями, справді підвищує якість освіти людини, яка зацікавлена конкретним напрямом, і дає їй змогу краще розвиватися у професійній сфері. Протягом мого навчання програми дисциплін поліпшувалися, змінювалися викладачі, впроваджували нові методи навчання, тож я не шкодую, що вступив сюди, — це був вдалий вибір.
Бажання вивчати кібербезпеку Олексія можна пов’язати з його дитячими захопленнями:
— Це те, що вабило мене з дитинства. Мені дуже подобалася сама сфера і те, що я нині роблю. Подобалося щось створити, потім поламати — мені було весело, і це класно. На той момент це був якийсь дитячий драйв. І цей драйв «тягнув» мене протягом усього навчання, тому що було цікаво.
Ще малим я захоплювався комп’ютерами, операційними системами й тим, як їх можна поламати. З найцікавішого, прикладного — це, скажімо, як можна залізти до чужого роутера. Я перевіряв це на своєму Wi-Fi і до того взагалі не розумів, як воно працює, а потім — вау, вводиш адмін-адмін, і ти вже в роутері й можеш керувати. Потім я просто для тесту ламав свій Wi-Fi, вже використовував інші інструменти, підбирав паролі й таке інше.
Це дуже цікаво, адже відкриває практичну галузь. Так, конкретно це не є етичним, і насправді цього не можна й не варто робити поза межами контрольованого середовища. Але сама можливість, перебуваючи у віртуальному просторі, маніпулювати чимось більш реальним завжди захоплює.
Якщо говорити глобально, то програмування є завданням, і ти його виконуєш — це просто робота з машинами. Це абсолютно інженерна спеціальність, і в цьому немає нічого поганого, але мені це не до душі. Я більше люблю людський аспект, коли працюєш не просто з машинами, а з продуктом людини. Будь-яка програма, система — це продукт людини, а отже, ти працюєш уже з нею. У цьому є якась гра, конкуренція з людиною, яка щось створила. Це цікаво.
Серед своїх академічних досягнень Олексій виокремлює здобуття командою, капітаном якої він був, другого місця на всеукраїнському конкурсі з кібербезпеки у вересні минулого року, а також участь у всеєвропейському відборі на всесвітній конкурс у жовтні. Тоді команда не пройшла, але хлопець наголошує, що це був цінний досвід — перший рік, коли збірна України була дотична до міжнародних змагань. Він також проходив ще на другому курсі стажування в одній з IT-компаній і працював над статтею на тему генерації псевдовипадкових чисел.
Олексій стверджує, що особливість технічного аспекту цієї професії полягає в тому, що надзвичайно цікаво розуміти, як працюють машини, з якими ми взаємодіємо щодня:
— Зараз є речі, які можна побачити абсолютно всюди, і розуміти, як вони працюють на базовому рівні, дуже цікаво. Адже з цими знаннями ти можеш уявно імплементувати їх у будь-яку сферу свого життя, бо скрізь є комп’ютери та інформаційні системи. Знання технічних аспектів поглиблює твоє розуміння того, яким важливим насправді є те, що ти робиш.
Студент навчається на бюджеті та отримує підвищену стипендію. Він планує вступати до магістратури, а згодом, можливо, і до аспірантури. Також він проходив стажування в компанії SoftServe:
— Більш прикладне стажування я проходив у SoftServe. Була така можливість для студентів кібербезпеки пройти місячне стажування. Це курс у навчальному середовищі, але ми мали справу зі всіма практичними інструментами, які реально застосовують у роботі. Дуже цікава штука насправді: якби не вона, я б не був на такому рівні, на якому є тепер. Це був дуже цінний досвід.
Щодо роботи, то Олексій каже, що не знає, що нині може бути цікавішим за державний сектор:
— Звучить цинічно та трохи неприємно, але якщо подивитися на ті атаки, які здійснює росія, то це один із найкращих досвідів, який ми можемо здобути зараз. Тому що будь-яка інша країна нині не може мати стільки прикладного, живого досвіду в кібербезпеці, як Україна. Таких складних кібератак, мені здається, навіть на США не здійснюють. Так, більш точкові, звісно, проводять, але в такому масштабі й такій комплексності я поки ще не бачив.
Тому зараз робота в будь-якій державній службі чи організації — неначе клондайк знань. Звісно, це й величезна відповідальність, ніхто цього не заперечує. Ти не можеш прийти непідготовленим, але досвід, який ти здобудеш, потім посилить і Україну, і тебе як фахівця. З цього, зрештою, й починається особистий інтерес будь-якої людини, якщо бути відвертим. Водночас це просто поліпшить наш захист, що справді важливо.
У вільний від навчання час студент захоплюється читанням, музикою, а також любить співати. До того, як переїхав у гуртожиток, грав удома на музичних інструментах, але зараз не має такої можливості. Як зазначає сам хлопець, захоплень у нього багато, а часу бракує.
Говорячи про зміни в університеті, які, на думку хлопця, поліпшили б досвід студентів під час навчання, він відзначає потребу в потужних комп’ютерах, щоб забезпечувати роботу віртуальних машин. На одному з таких він мав нагоду працювати, коли брав участь у курсі підвищення кваліфікації у Великій Британії:
— На ньому було 64 гігабайти оперативної пам’яті і якийсь класний процесор — я на них не дуже розуміюся, але він був справді добрий. І цього вистачало, щоб виконати будь-яку лабораторну роботу, яку ми хотіли. Це дуже добрі комп’ютери: вони були абсолютно в кожного, а отже, усі мали однакові можливості для навчання, і працювало все чудово.
Якщо говорити про щось більш технічне, такий спеціалізований аспект, то обов’язково потрібне мережеве обладнання. Якщо можна Cisco, то було б чудово, бо це золотий стандарт. Якщо це буде хоча б Switch — уже добре, і ми зможемо працювати. Якщо буде L3 Switch — ще краще.
Тобто з базового мінімуму — це комп’ютери, а потім мережеве обладнання. Було б, звісно, класно, якби в нас були й інструменти, які використовують для атаки, наприклад Rubber Ducky, WiFi Pineapple, RFID-клонер.
Олексій ділиться, що найцікавішими предметами під час навчання були ті, що стосувалися практичного застосування знань:
— Ти реально відчував, що щось робиш, і те, що робиш, дає результат. І це відчуття допомагало зрозуміти: «Окей, я насправді чогось навчився, бо можу ці знання застосувати вже десь поза лабораторіями й контрольованими середовищами або ще якось перевірити». І це дуже цікаво.
З негативних аспектів він зазначає, що його навчальна програма потребувала оновлення, а також виокремлює дисципліни, які були або є застарілими й неактуальними, водночас наголошуючи, що самі предмети все одно залишаються потрібними для вивчення:
— Теорія інформації та кодування була цікавим предметом у тому сенсі, що він справді був потрібним, але програма була застарілою. Якби її трішки «пожвавити», він став би набагато кращим. Зазвичай такі проблеми трапляються в більш теоретичних предметах, бо вони самі по собі «старші», адже перейшли до нас ще з інформаційної безпеки. Тобто це радше «old school», і їх бажано просто модернізувати. Можливо, це вже зробили, але поки я вчився, їх треба було оновити.
Після завершення навчання Олексій хотів би створити підприємство, яке здійснюватиме перевірку безпеки та всебічний комплексний аудит:
— Якщо коротко, то я, можливо, хотів би створити організацію, яка проводить перевірку безпеки з кількох сторін — коли паралельно є кілька команд, які намагаються опрацювати різні сценарії атак на ту чи іншу систему. В кібербезпеці зазвичай здійснюють перевірку в якійсь конкретній галузі, але насправді атаки набагато складніші. Зараз вони цікавіші, і мені здається — можливо, це моя ідеалізована думка, а може, я просто ще чогось не розумію чи не зіткнувся з реальністю — якщо атаки складні й не такі однозначні, то ми теж маємо перевіряти різні сценарії, коли, припустімо, чиїсь дані були опубліковані або чиїсь паролі зламані.
Так, опрацьовувати сценарії зазвичай мають спеціальні компанії, але мені здається, що було б цікаво довірити цей процес компанії, яка могла б за тебе подумати, як оптимізувати той чи інший процес, і дати різнобічні рекомендації. Звісно, застосовувати їх чи ні — уже справа кожного. І в цьому, щиро кажучи, є певна проблема: люди не завжди розуміють важливість кібербезпеки, і це абсолютно нормально.
Хлопець ділиться, що якби мав можливість ще раз поїхати на навчання за кордон, то обов’язково скористався б нею, бо це справді цінний досвід:
— Було б чудово, просто для здобуття досвіду викладання. Будьмо відверті: матеріальне забезпечення будь-якої європейської країни нині краще, ніж у нас, і це абсолютно нормально. Відповідно, повчитися на інструментах та обладнанні, яке дорожче, новіше і, можливо, цікавіше, — це класно, бо, повернувшись в Україну, можна використовувати знання, здобуті там. Тому, якби була така можливість, я б, звісно, поїхав, щоб здобути досвід і познайомитися з людьми, які справді є профі в цій галузі.
Крім того, Олексій має велике бажання повчитися в людей, які працюють у держслужбах і нині дбають про захист України:
— Я впевнений, що це люди, яким є що розповісти, бо, читаючи звіти CERT-UA, я дивуюся, наскільки цікаві зараз атаки. З одного боку, вони можуть здаватися примітивними для людини, яка є експертом, але з іншого — дуже цікаві й незвичні. І насправді в нас є чого повчитися, просто зараз немає часу на викладання.
В ідеалі Олексій хоче здобути досвід і більш спеціалізовані знання про актуальні атаки — як їх проводять, використовують і що для цього потрібно. Хлопець зазначає, що найціннішими для нього є знання, тому має на меті далі вивчати кібербезпеку атакуючого боку, але водночас хоче знайти роботу:
— Я переконаний, що якщо в тебе є знання і ти справді тямиш у спеціальності, то з роботою не має бути проблем, тому для мене це не є першочерговим. Для мене першочерговим є розуміння актуального стану речей у кібербезпеці й загалом. Ми маємо змінити погляд на кібербезпеку — розглядати її не як щось, що дає прибуток або має окупитися. Вона не має окупатися. Це те саме, що звести будівлю без стін і сказати, що це просто марна трата грошей. Але без стін нічого не буде — це те, що має бути і що треба підтримувати. Те саме стосується ремонту: сказати «я не хочу робити в будинку ремонт, бо це марна трата грошей» неправильно. Адже насправді це важливо, бо без цього будинок буде в поганому стані, і це вплине на все.
