• 28.12.2024 08:03
    Гиль Адани: Взломать можно любую компанию

    В 2017 г. в России заработало отделение израильской Высшей школы информационных технологий и безопасности HackerU, претендующей на роль главного поставщика профессиональных кадров для мирового рынка кибербезопасности. Сегодня среди ее клиентов и партнеров – около 60 ведущих отечественных компаний (к примеру, школа реализует совместный с Альфа-Банком образовательный проект «Специалист по Backend/Frontend разработке»). Обучение в российском филиале прошли уже около 500 человек, а всего за более чем 20 лет работы HackerU выпустила свыше 250 тысяч специалистов. В ноябре 2018 г. проект получил $4 млн инвестиций от российского миллиардера, совладельца компании «Технониколь» Игоря Рыбакова, потратить которые планируется на развитие в России. «Инвест-Форсайт» расспросил основателя HackerU, в прошлом разведчика израильской армии, Гиля Адани о самых горячих трендах рынка киберугроз и узнал, на самом ли деле обучение в его школе поможет им противостоять.

    – Гиль, расскажите, почему вы решили создать школу HackerU?
    – У решения создать школу информационных технологий и безопасности было сразу несколько причин. Наверное, вы знаете, что Израиль был и остается одной из самых часто атакуемых стран, в том числе в киберпространстве. Задача развития эффективной системы киберзащиты всегда была крайне актуальной. В середине 90-х годов был чудовищный недостаток профессиональных кадров, страна отчаянно нуждалась в специалистах по ИТ и кибербезопасности, но эту потребность закрыть было очень сложно. Открытие школы стало ответом на запрос о подготовке новых ИТ-кадров. Но была и другая задача – переобучение и тренинг действующих работников компаний, апгрейд их знаний. Этот запрос был и остается огромным, растет с каждым годом. Поэтому отделения школы открываются по всему миру.
    – Не боялись конкуренции с университетами?
    – Университеты с этими задачами справиться не могли. Чтобы обучить специалиста с нуля, им требовалось слишком много времени, 4 года минимум, к тому же выпускникам не хватало практических знаний. Так появились наши тренинговые центры. Конечно, я рассчитывал и на личный опыт – я занимался программированием с 15 лет, служил в разведывательных войсках израильской армии, в том числе решая проблемы ИТ-безопасности. На сегодняшний день мы конкурируем исключительно с онлайн-решениями, поскольку все больше слушателей предпочитают дистанционный формат занятий. Но в большинстве случаев это не гарантирует, что студент получит работу и станет профессионалом. Мы же выпускаем специалистов, обладающих прикладными знаниями, минимальная зарплата которых, например, в России составляет в среднем 120 тыс. рублей.
    – Обучение сотрудников поможет защититься от хакеров?
    – Люди часто защищаются психологически, думая, что именно с ними плохое никогда не случится. Между тем киберугрозы все глубже проникают в наш мир. Вы наверняка помните притчу о двух путешественниках, встретившихся со львом в пустыне. Один бросился наутек, чем удивил спутника. «К чему тратить силы, ты не можешь бежать быстрее льва», – сказал первый. «Мне не нужно бежать быстрее льва, надо лишь бежать быстрее тебя», – ответил первый. То же самое с кибербезопасностью. Все компании уязвимы, каждая может быть взломана. Вопрос в том, кто уязвимее всего, кого проще атаковать. Надо просто помочь компании защититься лучше других.
    – Как этого добиться?
    – Выход один – постоянно повышать квалификацию ИТ- и ИБ-специалистов, а также общую киберграмотность сотрудников. Только такой подход позволит пресечь хакерские атаки.
    – Во всех ли странах данная проблема актуальна?
    – Да, конечно. На мой взгляд, сегодня ни одна компания не обладает достаточной защитой, гарантирующей 100%-ное отражение кибератак. В этом главная проблема. Мы работаем в США, Австралии, даже в Африке. В 2017 г. отделение школы открылось в России. И по всему миру я вижу одну и ту же проблему – очень большой запрос на квалифицированных специалистов в сфере ИТ и кибербезопасности. Чтобы ее решить, надо растить новых работников или переобучать текущих.
    – У российских компаний как обстоят дела с киберзащитой?
    – В России нашим корпоративным клиентам и партнерам (а их около 60) наиболее интересны как программы повышения уровня компетенций в кибербезопасности, так и персонала компании в целом. В 2018 году самыми популярными курсами стали «Компьютерная криминалистика в Windows (форензика)» и «Certified Ethical Hacker (СЕН)», а также общий курс по кибергигиене.
    Я много путешествую и часто слышу, что многие компании боятся именно русских хакеров. В России много экспертов по кибербезопасности, но будет ошибкой делать вывод, что все компании здесь готовы к отражению кибератак. Россия очень большая страна, помимо ИТ-суперпрофессионалов в ней очень много людей, не готовых противостоять хакерам. Особенно если говорить о частном секторе, где далеко не все компании могут нанять соответствующих специалистов. Такая ситуация не только в России: нехватка профессиональных кадров есть во всем мире.

    – Как решить эту задачу?
    – Я могу сказать, как мы ее решаем в HackerU. Берем крутых экспертов по ИТ и безопасности и с их помощью обучаем новые кадры по всему миру. Исходим из того, что хакеры атакуют самые слабые компании, то есть именно эти компании, в том числе, и нужно поддерживать. Таким образом мы обеспечиваем трансфер знаний, помогаем стать всем равными с точки зрения защищенности.
    – Как на ИТ-безопасности сказывается развитие социальных сетей, широкое использование гаджетов?
    – Социальные сети сделали мир более взаимосвязанным, а людей – более информационно открытыми. Нередко это бывает полезно и удобно. Но одновременно мы становимся и более уязвимыми для хакеров. Через аккаунты в социальных сетях можно многое узнать о сотрудниках компании и, используя фишинг, обойти защиту. Сегодня все активнее применяется направленный или spear-фишинг, когда атаке подвергается не обычный сотрудник, а специалист с расширенными правами доступа к ИТ-системе, например сетевой администратор. Раньше обнаружить информацию о них было непростой задачей, а сегодня у всех есть открытые профили на Facebook и LinkedIn, где много данных, которыми хакер может воспользоваться. Например, выдать себя в переписке с жертвой атаки за друга из соцсети. Увеличивают угрозу взлома и личные моменты. Например, члены семьи сетевого инженера могут иметь доступ к его телефону, что делает устройство более уязвимым. Многие топ-менеджеры не уделяют должного внимания этой проблеме.
    – Какие еще ошибки допускают компании с точки зрения кибербезопасности?
    – Недостаточно вкладывают в обучение и тренинг сотрудников. Да, безусловно, мы видим положительную динамику: по нашим данным, средние и крупные компании увеличивают бюджеты на корпоративное обучение на 15% в год. Но сопоставимо ли это с экспоненциальным ростом кибератак? Среди топ-менеджмента нередко бытует мнение, что именно с их компанией ничего не случится, так зачем и тратиться. Но если посмотреть на ущерб от кибератак, для крупных компаний финансового сектора это миллионы долларов (именно финансовый сектор занимает 1 место среди жертв киберпреступлений: в среднем ущерб для одной компании этой индустрии составляет около $20 млн в год). Размер инвестиций в обучение по сравнению с этим – менее процента. И даже если компании инвестируют в технологии, то забывают про адекватное обучение людей, которые будут их осваивать. В итоге они не используют технологии правильно. То есть покупают крутые спортивные машины, но не знают, как ими управлять. В чем смысл? Стоит понимать: большинство проблем с хакерскими атаками возникает не из-за отсутствия технологии, а из-за отсутствия нужных знаний и компетенций у сотрудников ИБ.
    – Какие компании привлекают хакеров?
    – Прежде всего те, где есть деньги. Конечно, это банки – именно они остаются самыми крупными мишенями кибератак. Но также интерес все чаще представляют компании с большими объемами данных: социально значимые игроки экономики, интернет-сообщества и интернет-магазины, накапливающие большие объемы пользовательских данных. По факту это любая компания, у которой есть компьютеры и клиентские данные. Только на рынке США ежемесячно фиксируется около 4000 случаев атак вирусов-вымогателей. На самом деле мы просто не знаем о значительном числе удачных взломов и атак: нередко компании умалчивают об этом, чтобы не навредить своей репутации. HackerU в Израиле регулярно проводит пентесты для разных компаний, крупных и небольших. И я могу сказать, что среди них не было ни одной, которую бы нам не удалось взломать. В мире не существует компании, которая была бы полностью подготовлена к любой атаке.
    – Как на безопасность в сети влияет развитие криптовалют?
    – Интерес хакеров ко всему, что связано с криптовалютой, достаточно высок. Например, они используют компьютеры обычных пользователей для майнинга, о чем владельцы обычно не подозревают. Есть много случаев атак и на владельцев криптовалют. И если последние не имеют нужной подготовки, активы могут украсть. Люди почему-то уверены, что их защитит сложный пароль. Они забывают, что после взлома компьютера хакер получит доступ к клавиатуре, а значит, считает пароли при наборе. Это пока не произошло с вами, потому что ни вы, ни ваш компьютер хакерам просто не интересны. Другое дело, когда у вас есть деньги – хакеры будут пытаться украсть их. Сейчас, с падением курса биткоина, интерес к ним несколько остыл. А вот блокчейн как технология останется, и сейчас самое подходящий момент, чтобы ее изучить. Пройдет совсем немного времени, и мы увидим на рынке большую нехватку блокчейн-специалистов. Прежде всего работающих с технологией программистов. Так что сейчас время инвестировать в знания, чтобы быть готовым к моменту масштабного спроса на технологию.
    Беседовала Ольга Блинова
    Источник
    Автор: rina

    Автор: beron