-
Хакерите атакуват у нас най-често през потребителския вход, затова усилията на програмиста трябва да са там
-
Няма как да задържим млад преподавател по софтуер с 650 лв. брутна заплата, като фирмите му предлагат стартова над 4000 лева, казва проф. д-р Огнян Наков
Проф. д-р Огнян Наков е декан на факултет Компютърни системи и технологии в Техническия университет – София. Преподавател от 30 г. по университетски дисциплини със софтуерна насоченост: езици, програмни среди, информационна сигурност, Internet технологии и др. Има над 230 публикации, 17 учебника и монографии, множество внедрени проекти. Съветник е на министъра на образованието и науката по информационните технологии.
- Известни сме по света с най-добрите софтуерни специалисти
- Нямаме подготвени кадри за работа със суперкомпютъра
- Проникването в системите на НАП е успяло и заради недоглеждане от системните администратори
- На Запад уязвимостта на информационните системи се тества от екипи, в които има и актьори
- Проф. Наков, допреди няколко години се споменаваше, че в IT индустрията не достигат над 11 000 специалисти. Това актуално ли е към днешна дата?
- О, броят на недостигащите хора в тази сфера се увеличи. Това е тема, която лично за мен е много болна. България винаги се е славила с добрите компютърни специалисти. По времето на социализма това бе производството на компютърна техника. След това икономиката и пазарът се промениха, големите заводи за изчислителни машини и периферна техника изчезнаха. Но пък страната стана известна в световен мащаб с едни от най-добрите софтуерни специалисти. Профилът се промени, но славата остана и расте. Най-значимите световни компютърни компании имат развойни центрове у нас. В момента недостигът на компютърни специалисти у нас е между 15 и 20 000. За да добием представа за значимостта на сектора, ще спомена, че около 20 - 25 000 души, работещи в момента в IT- сектора, внасят над 6% от Брутния национален доход. Това е сектор с огромна принадена стойност, сравнима вероятно само с оръжейната промишленост. При това насочена не към отделни лица, а към всеки отделен специалист – например програмист. Приход, идващ главно от чуждестранни компании, които са стъпили тук, наели са български специалисти и внасят средства в страната.
За съжаление, въпреки че държавата прави всичко, за да се увеличи броят на тези специалисти, въпреки огромния интерес на младите хора, резултатът е слаб, а недостигът нараства. Мога да Ви кажа как стоят нещата във Факултета по компютърни системи и технологии при ТУ – звеното със завоювано вече 50 г. име и най-висок за страната рейтинг: и по време на текущия кандидатстудентски прием ние имаме 8 кандидата за едно място - младежи с най-високия възможен бал. Но всяка година приемаме все по-малко студенти. Преди две години приемахме 300 души, сега приемаме 160. Причината е, че нямаме кадри, които да преподават. Не може млад асистент, който преподава софтуер, да получава бруто 650 лева, след като за същия човек фирмите се състезават и му предлагат стартова заплата над 4000 лева. Няма вариант този преподавател да остане. Тези дни излезе статистика, че 3800 лева е средната заплата в сектора. Асистентите напускат, няма кой да преподава практическите знания и умения на младежите. Държавата дава достатъчно средства, но те се изразходват по погрешен начин. А може и преподавателите да бъдат по-добре възнаградени, и вузът да печели, младите хора да се обучават и задържат тук, а и индустрията да е захранвана с повече кадри. И като не приемем младежите тук, те заминават в чужбина. Тези младежи - амбициозни и с възможности, могат да останат тук, да работят и да внасят своите данъци в страната. И те го искат, но българските университети не могат да ги приемат и обучат.
- България се готви да закупи суперкомпютър. Имаме ли достатъчно специалисти, които могат да работят на него?
- Вече 30 г. се занимавам с обучение на IT кадрите на България – специалисти със софтуерна или апаратна насоченост в този високо специализиран сектор България не подготвя. Това е сериозен недостатък, ограничаващ пълноценното използване на тази скъпа техника. Така че ще се работи предимно с готови приложения. Начинът да подготвим достатъчен брой IT специалисти е през специализации или магистърски програми, каквито към момента липсват. Инсталацията на суперкомпютрите е съсредоточена в БАН, там е и тяхната поддръжка и ползване. Техническият Университет - София, имаше лаборатория с изнесени терминални станции за връзка с първия суперкомпютър, но това е минало. Така че в образователен аспект има доста какво да се прави. Сега няма кой, и това е приоритетно, да провежда практическите IT занятия в базовите бакалавърски програми. Едва след това ще стане възможно да подготвяме специалисти и за по-високо приложно или изследователско ниво.
- Как ще коментирате пробива с изтичане на данни от НАП тази седмица?
- От информацията, която имаме, може да се направи следния професионален анализ:
Първо – обемът на извлечените данни е значим. В зависимост от скоростта на трансфера, който конкретната мрежа позволява, това източване ще се изпълнява за няколко часа, може би дори ден. Това значимо нарастване на изходящ от сървърите трафик следва да се е прихванало от мониторинга на системата – ако такъв има. По него може да се установи и сега с точност датата и часа, когато се е случило.
Второ – извлечени са файлове. Това означава проникване от хакера с високо ниво на достъп, включително и право на достъп до файловата система на сървърите. Файловата среда очевидно не е била защитена, може би дори е била на същия сървър. А това е недоглеждане, най-меко казано, от страна на системните администратори.
Трето – проникването, става ясно, е през предоставена от НАП външна услуга. И стигаме до стандартен за хакерството у нас подход. А той се реализира или на база известна на хакера парола и профил на правоимащ служител, или по- вероятно: на слабо защитен програмен код. Затова и в съответния курс, който преподавам на бъдещите програмисти, непрестанно повтарям: опасностите идват през потребителския вход. Вниманието и усилията на програмиста трябва да са там! Това очевидно не е било изпълнено. През потребителския вход най-често става заразяването на системите.
- Какво се прави по света за защита в такива ситуации?
- Ще ви отговоря с пример. Миналата седмица се върна за отпуск мой бивш студент – отличник на випуска отпреди 2 г. Сега работи в Германия за водеща световна одиторска компания, имаща представителство и у нас. Работи в дирекцията, занимаваща се с откриване на уязвимости в информационни системи и предоставяща препоръки на клиентите за справяне с подобни проблеми. Как се работи: със специализиран софтуер се тества в продължение на месеци за милиони известни хакерски атаки, след това програмният код на продукта се преглежда ред по ред.
В екипа има дори и актьори – те имат задачата да създадат предпоставки за физически достъп до тестваната фирмена мрежа. Например, като създадат ситуация, в която, бидейки като посетители в офис на компанията, да се включат в мрежата й за разпечатка на някакъв образец или друго, или да успеят, разсейвайки чиновник, да вмъкнат флаш-памет за минута във фирмен компютър. Ако успеят – фирмената мрежа е тяхна. Очевидно този комплексен подход е изключително скъп – измерителят е в милиони. Изисква се ресурс и квалифицирани кадри. Но за критични системи несъмнено е оправдан.
Факт е, че у нас има много какво да се прави в областта.
А аз се опитвам да върна този млад специалист в страната – и може би ще успея.
- Вие сте и съветник по информационните технологии на министъра на образованието Красимир Вълчев. Проблемът с хакерските атаки в системите на МОН – каква е защитеността на системите по време на матури, как се пазят изпитите и дипломите от хакери?
- Информационните системи на МОН са вероятно най-достъпваните и съхраняващи вероятно най-големия обем информация в страната. Това са образователни данни и документи за всички лица от 4 до 24 години, а с натрупване в годините броят силно нараства. И опитите за атаки също. Въвеждаме най-модерните за момента в света апаратни и софтуерни средства за защитеност спрямо несанкциониран достъп или опити за блокиране на изчислителни ресурси. А проблемът не е за пренебрегване, защото доста изпити се провеждат онлайн - например тестът по дигитална компетентност в 10 клас, при който десетки хиляди ученици влизат едновременно в определена мрежа и платформа. И винаги между тях ще има някой, който ще опита да хакне системата. Е, в света не са измислени генерални противодействия – и Пентагонът, и сайтът на Путин се хакват, макар че се смятат за най-защитени. МОН работи комплексно и, стараем се, своевременно по темата: изгражда се най-съвременна, единна дигитална инфраструктура, защитена съобразно всички съвременни правила: включително срещу масиран отказ на техника, комуникационни проблеми, софтуерни атаки от типовете, характерни за нашия регион, от отпадане на захранване, голям пожар и т.н. Що се отнася до отделните, работещи непрекъснато информационни системи – а те са над 200 - до момента не сме допуснали изтичане на данни или срив. Случва се временно да падне сайт или платформа, причинявани са забавяния и временни проблеми в производителността в резултат на масирани атаки или някакво недоглеждане. Но системите работят, разширяват се и, разбира се, вървят в противоборство със също така усъвършенстващите се опити за проникване. Такъв е животът.
- И друг подобен проблем от седмицата, и то с политически привкус: машинното гласуване и сигурността на техниката. Какво е вашето мнение от професионална гледна точка?
- Когато стана дума за сертифициране на машините за гласуване, си казах: аз не бих си поставил подписа под подобно обследване за едноседмичен срок.
Къде се крие проблемът със сигурността на тези специализирани компютри за гласуване? На първо място, в софтуера им – дали с определена клавиатурна комбинация или време за натискане не се стартират някакви нерегламентирани действия на програмата? За да се изключи това, следва да се прегледа програмния код ред по ред.
На второ място – дали е прегледана от български специалисти апаратната схема на машината за гласуване? Дали в нея няма приемник на wi-fi или дори на мобилни данни? А това просто е някакъв чип на платката на машината. И тогава машината за гласуване, инсталирана в незащитена вътрешна мрежа на училищна стая, където е гласуването или през разрешена свързаност от някой мобилен оператор – се свързва с мрежата. Оттам крачката до промяна на крайни изборни резултати е много къса.
Е, можем и сляпо да се доверим на фирмата производител.
В заключение искам да кажа: със съвременните технологии трябва да се работи внимателно, без емоции, но с много професионализъм.
Вижте всички актуални новини от Standartnews.com