Головна Блог Про українську вищу кібер-освіту
Про українську вищу кібер-освіту

Про українську вищу кібер-освіту

Ща розкажу про українську вищу кібер-освіту.

Якщо дуже коротко – її нема.

І нескоро ще буде, розходимося. А те, що є, – скоріше шкодить, ніж допомагає.
Тут кінець короткої версії допису, далі пішов лонгрід.

Після розглядання скрішотів з курсу “Вступ до кібербезпеки” одного з найвідоміших технічних вишів країни, підсвідоме розуміння грандіозності проблеми набуло чітких, зате жахливих контурів.

Якщо раніше я лише теоретично уявляв, що ну не може препод на копійчану зарплатню навчати високоліквідній професії, то тепер розуміння того, якій лютій &&&ні навчають дітей на першому курсі позбавило мене спокою та примусило знов хапатися руками за обличчя та за клавіатуру.

Це шалений, концентрований ідіотизм. Термінології нахапано з усіх можливих та неможливих джерел, перетасовано та у довільному порядку трактовано як одкровення. Той, хто читав різні вумні слова і складав їх у складні речення, а потім речення скирдував у абзаци, а абзаци – у навчальний курс, був і залишається повним профаном у кібербезпеці. Небезпечним профаном. Якого підтримує керівництво кафедри, вишу та Міносвіти, яке досі ннічого не зробило щоб припинити цю ідеологічну диверсію та ментальну вакханалію.

Цим псевдо-курсом нашій молоді просто свідомо гадять у мізки ядерною сумішшю невігластва та психічних комплексів. А молодь вважає, що їх навчають серйозним та корисним речам. І ще й платять гроші за те, що їм лише зашкодить.

З кожного скріна можна зробити окреме дослідження на тему «життя на планеті дебілоїдів», тому я коротко зупинюся лише на двох з них.
Більшість питань я перечитував по кілька разів, щоб просто зрозуміти їх суть.

Ось, наприклад, таке питання:
«Для захисту від кібератак з використанням вразливостей у програмному забезпеченні необхідно:»
Не одразу зрозумів – йдеться про атаки, які експлуатують вразливості і як від них захиститися, чи можливо мається на увазі захист, який використовує вразливості? Криво побудоване речення свідчить про примітивний спосіб мислення того, хто це накалякав лівою ногою. І чому лише від вразливостей ПЗ? Але ладно.

Навіть якщо вибачити некоректність постановки питання, варіанти відповідей (серед яких одна начебто має бути вірною), також досить спірні.
Судячи з усього, складач питання вважає, що вірною є перша відповідь «Застосовувати засоби централізованого управління оновленнями і патчами; застосовувати автоматизовані засоби аналізу захищеності та виявлення вразливостей в програмному забезпеченні; використовувати WAF; використовувати засоби антивірусного захисту».

Але ця відповідь щонайменше не повна і тому не коректна. Централізоване оновлення – це добре, але воно не завжди працює, його складно правильно налаштувати і такі засоби недешеві та тяжко-довго імплементуються.
Автоматизовані засоби аналізу захищеності та виявлення вразливостей – теж наче ок, але працює це погано, відсоток виявлення низький, багато хибних спрацювань. І це також дорого.

До Web Application Firewall також існує багато питань, хоча з ним краще, ніж без нього.
Антивіруси ж взагалі майже нічого не виявляють (і ще сильно залежить який антивірус, яка ліцензія, які додаткові сервіси), оскільки оперує вже детектованими сігнатурами загроз і про вразливості деякого пропрієтарного софта можуть взагалі нічого не знати. А блекхети його руцями знайдуть та проломлять, антивірус і не пискне.

Тобто «правильна відповідь» такою не є, і скоріш за все, прив’язана до якогось конкретного параграфу самопального кібер-курсу.

То того ж, я не розумію чому відповіді 2. «здійснювати постійний моніторинг та оновлення програмного забезпечення» та 3. «застосовувати ключовий та парольний захист кіберсистем» – є (на думку складача) неправильними. Вони також правильні. Як і ще багато інших.

Та і взагалі, що означає поняття «кіберсистема»? Є системи інформаційні, комунікаційні, інформаційно-телекомунікаційні, комп’ютерні кінець-кінцем. Але поняття «кіберсистема» зустрічаю вперше.

Ще одне «контрольне питання» препарую: «Система кібредій це:»
Знов якийсь навчальний інноватор виколупав з носа термін «кібердія», який ніде не зустрічається та не використовується, крім як у хворобливій фантазії псевдо-наукових нездар.

Але навіть якщо напружити інтуїцію та здогадатися, що це, можливо, щось типу «діяльність з кіберзахисту систем», з відповідей на питання я знов не зрозумів про що йдеться.

Відповідь перша: «1. Дії по реалізації потенційних небезпек та загроз кіберсистемам». Тю, так тоді це називається «кіберзлочинність», хлопці.

Відповідь друга: «2.Сукупність взаємопов’язаних державних та недержавних підсистем кіберрозвідки, кіберзахисту, кібервпливу, кіберконтррозвідки, які утворюють цілісну єдність, на яку покладаються функції із забезпечення кібербезпеки».
Боже-боже, Ліда-Ліда. Ох у вас і насрано у мізках, ой лишенько. Вуж та їжак, жаба та гадюка, божий дар та яєчня – все подрібнено, посолено, перемішано та залито рідкими екскрементами. Чи може вони свідомо хочуть розсмішити студента поєднанням неіснуючих понять з неіснуючими процесами?

Відповідь третя: «Сукупність заходів, спрямованих на забезпечення кібербезпеки». Нарешті щось адекватне. Мабуть, ця відповідь вважається правильною.

Але тоді виникає питання: а нахіба, власне, простий та зрозумілий термін «система заходів з кібербезпеки» заміняти на якийсь дурнуватий «система кібердій»? Шо вони там курять? І навіщо свої непристойні галюцинації напарюють студентам як навчальний курс «введення у кібербезпеку»?

Подібним чином я можу стібатися над іншими шістьома «навчальними питаннями», але на це не у мене вистачить фейспалмів.
І до того ж, там усе те ж саме: тупість, невігластво, відсутність кваліфікації, безграмотність, нерозуміння проблематики, невиправдані амбіції, претензія на істину і багато інших яскравих образів з вітчизняної вищої освіти.

Повторюся, оце лайно викладають у одному з найкращих технічних вишів країни. Що ж тоді викладають у менш іменитих закладах? Хоча, насправді, навчальні установи з меншим рівнем понтів, можуть розробити більш адекватний початковий курс, не виключено.

Але загалом проблема залишається системною та досі невирішеною: навчальна дисципліна «Кібербезпека» у Міносвіти зареєстрована, але притомних адекватних вимог до її складу не існує. Прошу зазначити, я не кажу «професійних», грець із ним, або хоча б «адекватних».

І тому кожен виш розробляє навчальний курс виключно на власний розсуд, «кожен д&&че як він хоче», перепрошую за народний епос.
А після років абсолютно безглуздих знущань над студентами, видає дипломи державного зразка, де гордо написано «Фахівець з кібербезпеки».
І молода людина з цим дипломом не тільки таким фахівцем не є, а й навпаки: в її юному мозку чисте зоряне небо помінялося місцями із його віддзеркаленням у мутному ставку постсовкової системи вищої освіти, тупої та корумпованої, неефективної та жадібної, бюрократичної та застиглої у 90-х роках. І це пригнічує. Тобто пригнічує перекручення світогляду молодої людини.

Розказувати «як треба» не маю ані часу, ані бажання, лише хочу дати кілька порад студентам, яким доводиться навчатися у цій системі, або які думають поступати «на кібербезпеку».
Дорогі мої хлопці та дівчата.

Українські виші не мають кваліфікації навчити хоча б базовому рівню молодшого спеціаліста з кібербезпеки. Тому немає сенсу йти туди навчатися. Щонайменше на «кібербезпеку».

Навчайтеся тому, що вам ближче до душі, що морально легше пережити або ж взагалі «де легше/дешевше вчитися». Це якщо потрібна лише «корочка» про вищу освіту.

Але якщо ви дійсно «хворієте» на кібербез та має твердий намір здобути реальні знання, завдяки яким потім можна знайти класну роботу мрії, то найкраще цьому навчатися самостійно.

Зараз, на щастя, існує купа різноманітних онлайн-курсів (більшість – англійською, але без мови вапше ніяк), в Україні наша кібер-спільнота проводить кілька класних кібер-конференцій, написано багато корисних навчальних книжок про кібер, деякі українські кібербезпекові компанії організовують освітні та навчальні тренінги.

Так, усе це коштує грошей. Але не більше, ніж ви платите вашим ректорам-деканам за фантасмагоричну маячню, яку вони вкладають у ваші голови.

Про те, чому і як ефективно навчатися онлайн у нормальних західних навчальних центрах, які можна отримати професійні сертифікати, які вони взагалі бувають і чому після закінчення курсу неодмінно потрібно складати іспит – пораджу запитати відомих мені кваліфікованих викладачів та науковців, які добре знають що таке справжня кібербезпека: Олексій Барановський, Alexander Adamov, Alex Starov (Stony Brook University, New York), Vadym Chakrian.

Ті з них, хто викладає в українських вишах, часто вимушені слідувати затвердженій програмі, але роблять вони це з мінімальною шкодою для студентів. Ба більше, часто вони дають справжні знання, які знадобляться у подальшій кар’єрі.
Усі ці джентльмени також мають тісні зв’язки у «реальному секторі» кібербезпеки, спілкуються з професіоналами, відслідковують актуальні тренди та розуміють чому саме слід навчати своїх студентів. І, звісно, регулярно відвідують та виступають на кібербезпекових конференціях. Справжніх конференціях, не імітаційних.

Вістря ж мого меседжу я спрямовую сьогодні на українське студентство: дорогенькі мої, ви тримайтеся там, у токсичному оточенні крезанутих довбнів.

Робіть усе, що можете, щоб виплисти на чисту воду корисних знань. Індустрія гостро потребує молодих кадрів, але щоб вони хоча б щось знали та вміли, хоча б розуміли основи та головні принципи.
Якщо люто здобувати знання самостійно та на момент закінчення вишу мати професійний сертифікат класу OSCP – стартову зарплату матимите від $1,000, з перспективами за пару-трійку років її подвоїти, а то і потроїти. Я серйозно. І це якщо жити в Україні та працювати в українській компанії. Якщо працювати у західній компанії або вдало стартувати у баг-хантерстві, або аутсорсити для великих міжнародних компаній, або потрапити у цікавий міжнародний проект – цифри будуть ще приємніші. І країну, де хочеш жити, – можна обирати будь-яку, де є стабільний якісний Інтернет.

Тому інвестуйте у себе, воно все окупиться багаторазово. Але важливо інвестувати правильно.
Початковий вектор, сподіваюся, я тут задав і навіть показав напрямок руху.
I wish you all the best for your future endeavours.

P.S.: ще пораджу триматися поближче до Євгена Балютова, який докладає немало зусиль у роботі з молодим поколінням кібербезпечників.

Костянтин Корсун

Голова Ради Громадської організації Українська група інформаційної безпеки, директор компанії з кібербезпеки Berezha Security.