Про сертифікати з кібербезпеки

В цьому дописі я ділюся висновками з власного досвіду застосування професійних сертифікатів з кібербезпеки в кар‘єрі та бізнесі.

Найчастіше від молодих колег я чую питання про те, чи варто готуватися, складати іспити та отримувати професійні сертифікати з кібербезпеки. Суперечки щодо якості та цінності програм сертифікації точаться в галузі кібербезпеки стільки, скільки існують професійні сертифікати. Тобто скільки існує галузь кібербезпеки.

Я не маю на меті поставити крапку в цих нескінченних дебатах. В цьому дописі я поділюся деякими неочікуваними та, сподіваюся, корисними висновками з власного досвіду. За останні 15 років я склав близько десяти сертифікаційних іспитів в галузі ІТ та кібербезпеки, пройшов близько 50 і провів близько 150 співбесід. Впевнений, мої думки будуть комусь корисні.

Сенс сертифікатів

Як і в будь-якій професії, яка має справу з чимось незвичайним та незрозумілим широкому загалу, в кібербезпеці повно шарлатанів. Буквально будь-хто може назватися експертом з кібербезпеки та досить довго утримувати цей титул, якщо аудиторія має віддалене уявлення про галузь знань. Особливо руйнівних масштабів це явище набуває тоді, коли псевдоексперту вдається привернути увагу недолугих журналістів, які підхоплюють його маячню та починають завзято її тиражувати.

Для того, щоб виявити шарлатана, можна скористатися простими способами перевірки його професійної кваліфікації. Перше, що спадає на думку, це підтвердження здобуття профільної освіти. Але, на жаль, насправді диплом спеціаліста з кібербезпеки поки що не є доказом достатньої кваліфікації, ані в Україні, ані у світі. Наша галузь ще настільки молода та розвивається настільки динамічно, що опанування програми навчання не свідчить майже ні про що.

Другий шлях, набагато простіший, полягає у використанні професійних сертифікатів. Принципи роботи програм сертифікації прості:

  1. Обиватель не знає, що таке кібербезпека, і як перевірити професійну придатність Шарлатана.
  2. Шарлатан не знає, що таке кібербезпека, і може скористатися незнанням Обивателя, щоб його ошукати.
  3. Експерт знає, що таке кібербезпека, може виявити Шарлатана, але не в змозі легко довести це Обивателю.
  4. Сертифікаційний інститут знає, що таке кібербезпека, засвідчує професійну придатність Експерта, та дозволяє Обивателю відрізнити Шарлатана від Експерта.

Це трохи схоже на мережу центрів засвідчення сертифікатів SSL/TLS. Десь в інтернеті є кілька серверів, яким ми всі довіряємо. Вони підтверджують нам, що вебсайти google.com, facebook.com та paypal.com є саме тими, за кого вони себе видають – шляхом накладання цифрового підпису на їхні сертифікати SSL. Щоправда, в кібербезпеці все трохи менш цивілізовано, і сертифікати все ще мають форму паперового документа та рядка у базі даних.

Отже, сертифікати потрібні для того, щоб перевірити професійну підготовку спеціалістів, спираючись на незалежну думку довіреної третьої особи – центру сертифікації. Звісно, це додає певних ризиків, пов’язаних із чесністю та адекватністю центра сертифікації. Але для спрощення моделі загроз припустимо, що всі вони цінують свою репутацію та пильнують за якістю виданих сертифікатів.

Якість сертифікатів

Неможливо говорити про сертифікаційні програми та не зачепити тему їхньої якості та цінності. Це нормально, адже щодо цього в галузі є багато оманливих стереотипів. Чому? Як на мене, то через те, що чим гірший сертифікат, тим сильніший в нього маркетинг.

Щоб одразу відкрити й закрити цю тему, я навожу як ілюстрацію до цього допису найповнішу та найактуальнішу порівняльну характеристику сертифікаційних програм з кібербезпеки. Ця таблиця формулює консенсус, який склався серед професіоналів в результаті запеклих дебатів на Reddit, і сперечатися з ним безглуздо.

Цю саму таблицю можна використовувати для навігації по кар‘єрі. Якщо ви стоїте перед питанням з чого почати, почніть з рівня Entry та рухайтесь угору по тому кар‘єрному напрямку, який ви для себе обрали. Навчання та іспити вимагають не аби яких інвестицій часу та грошей, і цей атлас допоможе вам правильно застосувати ресурси.

Проте, є певна цінність сертифікацій, яка не визначається порівнянням програм між собою. Докладніше про це в наступному параграфі.

Цінність сертифікатів

Як і більшість колег, я іронічно сприймаю публічне хизування сертифікатами низької якості. В людині, яка пишається здобуттям CEH, Security+ або сертифіката виробника антивірусу, є щось невловимо комічне. Найкумедніші (а деколи й найтрагічніші) персонажі в літературі це ті, хто раз у раз роблять безглузді речі. А коли вони цьому ще й радіють – твір з комедії перетворюється на сатиру.

Але є певна думка, яку я засвоїв порівняно нещодавно. Будь-який, навіть найгірший сертифікат краще, ніж ніякого. Дивіться, чому.

Незалежно від рівня складності сертифікаційного іспиту, готовність пройти випробування дуже багато говорить про людину. Знати предмет, володіти знаннями та вміти їх застосовувати – це звісно дуже важливо і цінно. Але готовність поставити свій рівень під сумнів, пройти випробування й отримати незалежну оцінку та підтвердження (або спростування) власного професіоналізму – оце круто.

Тому коли я порівнюю двох експертів зі схожим досвідом та знаннями, звісно що я надаю перевагу тому з них, хто виборов їм документальне підтвердження. Щобільше, якщо йому це вдалося не з першого (другого? третього?) разу, цінність здобутку від цього лише зростає. Бо наполегливість та готовність до випробування стратегічно більш важливі для кар‘єри, ніж технічний скіл та багатий досвід.

Застосування сертифікатів

Перейдімо до менш абстрактних тем: хто і як може отримати користь від програм сертифікації?

Звісно, що першим на думку спадає власник професійного сертифіката. Його вигода очевидна: маючи в руках доказ своєї підготовки, кандидат впевненіше поводиться на співбесіді та має кращі шанси справити враження досвідченого професіонала. Там, де йому досить показати папірець, іншому доведеться вирішувати тестове завдання або надавати рекомендації.

Також, користь від сертифікатів однозначно отримують рекрутери, менеджери, спеціалісти з закупівель та інші далекі від кібербезпеки особи, яким через обов’язки потрібно відрізнити хорошого професіонала від не дуже. Порівняння абревіатур у вимогах до постачальника послуг чи кандидата на посаду та у комерційній пропозиції чи резюме – набагато простіше, ніж вивчення наданих документів, предметні перемовини та інша домашня робота.

Elevator Inspection
XKCD про перевірку сертифікатів.

Звісно, що в цієї простоти є побічні ефекти. Непоодинокі випадки, коли кандидати приписують собі фейкові сертифікати, сподіваючись, що рекрутери не стануть їх перевіряти. (Вони й справді дуже рідко це перевіряють). А серед постачальників послуг взагалі є така кумедна традиція, як «оренда» сертифікатів для складання комерційних пропозицій. Це коли власник сертифікату, який не має стосунку до фірми-претендента на тендері, за невелику платню дозволяє вказати себе з усіма регаліями як члена команди проєкту. Це дуже підсилює позицію фірми-претендента.

Смішно, коли, порівнюючи пропозиції різних фірм, організатори тендера виявляють ті самі імена та прізвища в декількох пропозиціях компаній-конкурентів. Але найсмішніше, звичайно, це коли ці люди навіть не здогадуються, що їхні імена та сертифікати були використані для тендеру.

Рекомендації

Все це дуже цікаво, але що конкретно? Які поради щодо програм сертифікації я можу дати початківцям в галузі кібербезпеки?

По-перше, сертифікуйтеся. Це спростить вам пошук роботи, надасть стимул для саморозвитку, та допоможе мати адекватну оцінку власних можливостей.

По-друге, не зважайте на крутість сертифікатів на початку. Почати кар‘єру пентестера з CEH не соромно. Соромно вихвалятися ним в 30 років.

По-третє, прогресуйте. Почніть з простого, перейдіть до складнішого, рухайтесь до вершини. Шукайте роботу, яка спонукає до навчання та створює для нього сприятливі умови.

І нарешті, спробуйте навчати інших того, чому навчилися самі. Найкращий спосіб закріпити знання та дізнатися щось нове про давно відомі факти – це спробувати передати їх іншим. Зробити це можна на численних конференціях та мітапах, яких в Україні зараз вже досить.