Р. В. Мещеряков «Управление безопасностью в киберфизических системах. Образовательная траектория». Часть 2

Лаборатория №80 «Киберфизических систем» занимается изучением взаимодействия физических и цифровых систем, систем человек-робот и различными аспектами управления такими системами.
В видео «Управление безопасностью в киберфизических системах. Образовательная траектория» заведующий лабораторией, доктор технических наук, профессор РАН Р. В. Мещеряков детально рассматривает вопросы образования и подготовки специалистов по кибербезопасности – одном из важнейших аспектов управления такими системами.

       «Определяя базовое понятие, мы всегда уходим в этимологию слова. Искусство управления – это кибернетика. Если мы говорим о кибербезопасности, то это – система безопасности управляющих систем. В нее входит очень много составляющих. Мы с вами можем определить некоторые из них, которые требуют обеспечения безопасности, как сохранение требуемого уровня защиты, так и по отдельным направлениям.
Конечно же, это направление активно взаимосвязано с направлением информационной безопасности и защиты информации. Во всех существующих системах управления мы с вами работаем с потоками данных, то есть обеспечиваем безопасность передачи, хранения, переработки и выдачи информации. Понятно, что человек по своей сути является естественным биологическим механизмом, который обрабатывает информацию. Он может послушать, посмотреть, может потрогать, может прочувствовать, может определить, может просчитать и так далее. То есть, он её преобразует. И вот эти же самые подходы периодически, начиная с середины прошлого тысячелетия, развиваются и формируют особую культуру. Одна из культур, которая в настоящее время активно используется в системах управления, это система кибербезопасности.
Как таковых чистых специалистов по кибербезопасности в чистом виде нет. Есть направление «Информационная безопасность». Внутри есть несколько укрупненных групп. Например, техническая защита информации, программно-аппаратные средства, организационные направления, автоматизированные системы, телекоммуникации, по отраслям. В правоохранительных органах - это информационно-аналитические системы безопасности, противодействие техническим разведкам, криптография и так далее.
Это такое большое направление, которое складывается из различных уровней не только вертикального построения, но и горизонтальных связей. Если у нас есть специалист, например, по администрированию сетей, то к нему в дополнение должен быть специалист по администрированию операционных систем. Иногда бывают совпадения – это очень хорошо.
Есть специализация по технической защите информации – обеспечение защиты от утечек по техническим каналам. А если мы функционируем в живой среде, в которой используются не только компьютер и вычислительные системы, но и живой разговор, то иногда нужно обеспечивать и речевую защиту информации в автоматизированных системах. Это такая совокупность, где должны быть и архитекторы, и тестировщики.
Например, сейчас очень актуально и развивается направление «Pen-тестов» и тестировщиков программного обеспечения. Рen-тестеры пытаются проникнуть в какую-нибудь систему и получить доступ, например, к банковским карточкам, к персональным данным, определяясь ст. 272 «Неправомерный доступ к компьютерной информации». Тестирование используется на предмет анализа программного обеспечения.
Регулярно у нас с вами на телефон и на компьютер приходят обновления, что появилась, например, ошибка нулевого дня или ошибка переполнения буфера. Если более широко рассматривать, то есть не только программистские ошибки, но и архитектурные заложенные ошибки на уровне чипов, на уровне ядер, где за счет переполнения буфера или стека мы можем получать доступ к информации.
То, о чем мы с вами говорим, это укрупненная задача. Внутри очень много направлений.
Есть несколько, как сейчас модно говорить, траекторий обучения или образовательных траекторий, которые существуют в различных ВУЗах и, начиная с определенного класса, в школах.
Первое, с чем мы сталкиваемся, что я поднимал и был один из первых в Российской Федерации – это соревнования Capture the Flag. Сейчас есть уже школьные соревнования, где нужно защищать свою вычислительную систему или свой компьютер и атаковать чужой, то есть находить какие-то ошибки в другом.
Дальше может пойти типовая история как у математиков, у программистов, у инженеров. Пошел в профильный университет, учишься, занимаешься либо научными разработками, либо, если больше прельщает практика, то начинаешь с третьего курса участвовать в работах в разных организациях по тому направлению, где тебе нравится; выполняешь курсовые и дипломные работы. Далее, либо ты пошел в практику – работаешь специалистом по безопасности и становишься – модное слово, неправильно переведенное, офицером безопасности, аудитором по этому направлению; либо ты идешь в науку. Благо сейчас появилось в новом перечне научных специальностей специальность «Кибербезопасность». Это принятая ВАКовская специальность, где можно защитить диссертацию по этому направлению физико-математической науки.
Другое направление – когда специализированное пошло. Пока таких специалистов очень немного потому что это относительно молодое направление. Например, есть какое-то базовое образование – математик, айтишник, автоматизатор, электронщик. Занимаясь, например, разработкой микропроцессоров, человек начинает больше внимания уделять, например, тестированию или рассмотрению новых архитектур.
Небольшое философское отвлечение. К сожалению, мы сейчас с вами функционируем на архитектуре фон Неймана. Говорить, что нейрочипы с искусственным интеллектом – это новая архитектура, нельзя. Это все старая проверенная архитектура.
И вот специалист по микропроцессорам начинает углубляться в тему.  Он становится узкоспециализированным, но более тонко понимающим архитектуру самой системы. Аналогично происходит в экономике. Человек может выучиться на экономиста, стать экономистом и применять свои знания  в какой-то отрасли. Есть люди, которые поработали инженерами, поняли объект – предмет, с которым работают. Затем, получив знания по экономике, они начинают работать с этим предметом, зная глубоко, как происходит бизнес-процесс в этом деле. Такое направление очень важное. Оно междисциплинарное, которое требует понимания и архитектуры, и системных, и человеческих, и безопасных вещей.
Очень приятно общаться с теми, у кого есть глубокая фундаментальная математическая подготовка. Когда есть понимание, что такое необходимость и достаточность, каким образом и в какой системе два плюс два может быть равно трём, и так далее. Когда тебе нет необходимости преподносить базис, а человек понимает и сопоставляет те результаты, которые нужно достичь, с той математической подготовкой, которая у него есть.
Теперь давайте мы представим, в какой области человек работает. Если нужно разрабатывать новые математические алгоритмы, например, для криптографии или постквантовой криптографии, которая сейчас активно развивается. Уровень погружения должен быть максимальным, чтобы человек жил в этом объекте, чтобы он понимал математику до бита, до байта и, конечно же, понимал дискретную математику, понимал графы, понимал, что такое автоматы, как они изоморфны грамматикам и каким образом оценивается полнота.
Мое личное и очень глубокое убеждение, что открытой криптографии не существует. Там настолько много проработано, что даже даже наш старый ГОСТ по шифрованию является одним из самых надежных.
Другое направление – инженерное шифрование. Тогда человек должен понимать физику процесса –  третий закон Ньютона, перемешивание различных процессов, что такое суспензия, что такое вещество и так далее.
Следующее направление, например, - электронщик. Он должен понимать двоичную переработку информации, каким образом выставляются ТТЛ-уровни, каким образом работают фронты сигнала, как определяются времена задержки, как определяется длительность обратной связи по системе управления. Это своя математика. Для этого нужно знать различные преобразования, например, преобразование Лапласа. То есть тут тоже нужна  достаточно глубокая математическая подготовка, но уже в области высшей математики.
Если человек работает с топологиями, с микросхемами, то ему нужна аналитическая геометрия. Он должен быть специалистом в математике в этой области.
Сказать, что у нас с вами есть специалист по кибербезопасности вообще – так не бывает. Таких уникумов очень мало. И ещё очень важно, чтобы человек, который в этом функционирует, жил этим, ставил задачи и понимал, о чем идет речь.»