Kodėl apie tai verta kalbėti dabar
Kibernetinis saugumas tapo viena iš karščiausių temų ne tik IT sektoriuje, bet ir visuomenėje apskritai. Kai duomenų nutekėjimai, kibernetinės atakos ir skaitmeninės grėsmės tampa kasdienybe, specialistų, gebančių apsaugoti sistemas ir informaciją, paklausa auga eksponentiškai. VGTU (Vilniaus Gedimino technikos universitetas) jau kelerius metus siūlo kibernetinio saugumo studijų programas, tačiau daugelis potencialių studentų vis dar dvejoja – ar tikrai verta rinktis šią kryptį? Ar programa teikia realias žinias, ar tik teorinį pagrindą?
Pažvelkime į šį klausimą be rožinių akinių. Kibernetinio saugumo sritis tikrai perspektyvi, bet ne viskas taip paprasta, kaip gali atrodyti iš pirmo žvilgsnio. Studijos – tai investicija į ateitį, ir prieš ją darydami, verta suprasti, ką tiksliai gausite mainais už savo laiką ir pinigus.
Ką realiai mokys VGTU kibernetinio saugumo programoje
VGTU kibernetinio saugumo studijos yra orientuotos į praktinę pusę, bent jau taip skelbiama oficialiai. Programoje rasite tiek fundamentinių IT žinių – programavimo, tinklų architektūros, operacinių sistemų – tiek ir specializuotų kibernetinio saugumo disciplinų. Tai apima kriptografiją, saugumo auditą, įsilaužimų testavimą (penetration testing), incidentų valdymą ir forenzikos pagrindus.
Vienas iš programos privalumų – laboratoriniai darbai. VGTU turi specialiai įrengtą kibernetinio saugumo laboratoriją, kur studentai gali praktiškai išbandyti įvairius scenarijus kontroliuojamoje aplinkoje. Tai nėra tik teorinis mokymasis iš knygų – galite realiai „užpulti” virtualias sistemas, ieškoti pažeidžiamumų, analizuoti kenkėjišką kodą.
Tačiau būkime sąžiningi – universiteto aplinka niekada nebus identiška realiam darbui. Laboratorijose viskas kontroliuojama, dokumentuota, su aiškiais tikslais. Tikrame gyvenime susidursite su chaosiškomis situacijomis, neaiškiais reikalavimais ir spaudimu laiko atžvilgiu. VGTU duoda pagrindą, bet tikrą patirtį įgysite tik dirbdami.
Dėstytojų lygis ir pramonės ryšiai
Viena svarbiausių dalykų renkantis studijų programą – kas jus mokys. VGTU kibernetinio saugumo programoje dirba tiek akademinį pagrindą turintys dėstytojai, tiek praktikai iš pramonės. Tai geras derinys, nes akademikai suteikia teorinį pamatą ir mokslinį požiūrį, o praktikai dalijasi realiais atvejais ir industrijos realijomis.
Vis dėlto, kaip ir daugelyje Lietuvos universitetų, ne visi dėstytojai yra vienodai įsitraukę ar kompetentingi. Kai kurie puikiai išmano savo sritį ir sugeba perteikti žinias įdomiai, kiti – tiesiog atkalba savo paskaitas ir neturi laiko ar noro gilintis į individualius studentų poreikius. Tai normalu bet kuriam universitetui, bet verta turėti omenyje.
Pramonės ryšiai – čia VGTU turi ką pasiūlyti. Universitetas bendradarbiauja su įvairiomis IT įmonėmis, organizuoja svečių paskaitas, karjeros dienas. Telia, Atea, NRD Cyber Security ir kitos kompanijos reguliariai ieško talentų tarp VGTU studentų. Tai suteikia galimybę užmegzti kontaktus dar studijų metu, o kartais – ir gauti praktiką ar net darbą.
Kiek tai kainuoja ir ar atsipirks
Studijų kaina VGTU priklauso nuo to, ar studijuojate valstybės finansuojamoje vietoje, ar mokate patys. Valstybės finansuojamos vietos yra konkurencingos, bet įmanomos su gerais brandos egzaminų rezultatais. Jei mokate patys, bakalauro studijos kainuos apie 2000-3000 eurų per metus, magistrantūra – panašiai.
Ar tai atsipirks? Trumpai – taip, bet ne iš karto. Kibernetinio saugumo specialistai Lietuvoje uždirba gerai. Junior pozicijose galite tikėtis 1500-2000 eurų į rankas, o su kelerių metų patirtimi – lengvai 3000-4000 eurų ir daugiau. Senior specialistai ar tie, kurie dirba tarptautinėse kompanijose, gali uždirbti 5000-7000 eurų ir daugiau.
Tačiau čia svarbu suprasti – ne diplomas lemia atlyginimą, o jūsų realios kompetencijos. Turėti VGTU diplomą padės atidaryti duris, bet jei neturite praktinių įgūdžių, sertifikatų (OSCP, CEH, CISSP ir pan.) ar portfelio, konkuruoti rinkoje bus sunku. Kibernetinio saugumo srityje labiau vertinamas „ką moki”, o ne „kur studjavai”.
Praktika ir galimybės įsidarbinti
VGTU programoje yra numatyta privaloma praktika, kuri paprastai trunka kelis mėnesius. Tai puiki galimybė pamatyti, kaip atrodo darbas kibernetinio saugumo srityje iš vidaus. Dauguma studentų praktiką atlieka Lietuvos IT įmonėse – nuo mažų startuolių iki didelių korporacijų.
Gera žinia – daugelis praktikantų po praktikos gauna darbo pasiūlymą. Lietuvos rinka nėra persotinta kibernetinio saugumo specialistais, todėl įmonės aktyviai ieško talentų ir nori juos išsiauginti. Jei praktikos metu parodote iniciatyvą, norite mokytis ir esate patikimi, šansai likti dirbti yra gana dideli.
Tačiau neturėtumėte pasikliauti tik universiteto organizuojama praktika. Aktyvūs studentai ieško papildomų galimybių – dalyvauja CTF (Capture The Flag) varžybose, prisideda prie open source projektų, kuria savo laboratoriją namuose, mokosi savarankiškai. Būtent tokie žmonės išsiskiria iš minios ir gauna geriausius pasiūlymus.
Ko universitetas nemokys (bet turėtumėte išmokti patys)
Universitetas duoda fundamentą, bet yra dalykų, kurių tiesiog nebus pakankamai arba jų visai nebus programoje. Pavyzdžiui, cloud saugumo specifika (AWS, Azure, GCP) – tai sparčiai auganti sritis, bet universitetų programos dažnai vėluoja atnaujinti savo turinį. Konteinerizacija, Kubernetes saugumas, DevSecOps praktikos – visa tai turėsite mokytis savarankiškai.
Taip pat universitetas neišmokys jūsų „soft skills” – kaip bendrauti su klientais, kaip paaiškinti techninius dalykus ne-IT žmonėms, kaip valdyti stresą krizių metu, kaip dirbti komandoje. O būtent šie įgūdžiai dažnai lemia, ar būsite sėkmingas specialistas, ar ne.
Dar vienas aspektas – specifiniai įrankiai ir technologijos. Universitete galbūt išmoksite Wireshark, Metasploit, Nmap pagrindų, bet realybėje naudojami įrankiai nuolat keičiasi. Turėsite būti pasirengę nuolat mokytis naujų dalykų, sekti industrijos naujienas, eksperimentuoti su naujomis technologijomis.
Mano patarimas – dar studijuodami sukurkite savo mokymosi planą, kuris papildytų universiteto programą. Sekite kibernetinio saugumo blogus, žiūrėkite YouTube kanalus (John Hammond, LiveOverflow, IppSec), dalyvaukite bendruomenės renginiuose, spręskite užduotis platformose kaip HackTheBox ar TryHackMe.
Alternatyvos VGTU programai
Ar VGTU – vienintelė opcija Lietuvoje? Ne. Vilniaus universitetas taip pat turi kibernetinio saugumo programą, kuri yra labiau akademiškai orientuota ir galbūt tinkamesnė tiems, kas svajoja apie mokslinę karjerą ar gilesnius tyrimus. KTU (Kauno technologijos universitetas) siūlo panašias programas su savo specifika.
Be to, nebūtinai reikia studijuoti būtent kibernetinio saugumo. Daugelis sėkmingų specialistų šioje srityje turi informatikos, programų sistemų ar net matematikos diplomus. Svarbiausia – turėti tvirtą techninį pagrindą ir specialistis kibernetiniame saugume galite tapti per praktiką ir papildomą mokymąsi.
Dar viena alternatyva – intensyvūs kursai ir bootcamp’ai. Jie trunka trumpiau (3-6 mėnesius), yra labai praktiškai orientuoti, bet nesuteikia universiteto diplomo. Tokios programos kaip SANS, Offensive Security kursai yra labai vertinamos pramonėje, bet ir kainuoja nemažai – nuo kelių tūkstančių iki dešimčių tūkstančių eurų.
Savarankiškas mokymasis taip pat įmanomas. Internete yra daugybė nemokamų ar pigių išteklių – nuo Coursera ir Udemy kursų iki specializuotų platformų kaip Cybrary. Tačiau šis kelias reikalauja daug disciplinos ir motyvacijos. Be struktūros ir išorinio spaudimo lengva prarasti kryptį ar atidėlioti mokymąsi.
Kas turėtų rinktis šią kryptį (ir kas ne)
Kibernetinis saugumas nėra visiems. Jei tikitės, kad tai bus lengvas kelias į gerai apmokamą darbą be didelio įdirbio – nusivilsite. Ši sritis reikalauja nuolatinio mokymosi, smalsaus proto, gebėjimo mąstyti kaip užpuolikas ir gynėjas vienu metu.
Jums turėtų patikti spręsti problemas, galvosūkius, ieškoti sprendimų nestandartinėse situacijose. Jei programavimas jums visiškai svetimas ir neįdomus – bus sunku, nes nors ir nebūsite programuotojas, tačiau suprasti kodą ir skriptus yra būtina. Jei technologijos jums įdomios tik paviršutiniškai – greičiausiai greitai perdegsite.
Geros savybės kibernetinio saugumo specialistui: smalsumas, atkaklumas, dėmesys detalėms, analitinis mąstymas, gebėjimas dirbti po spaudimu, nuolatinis noras mokytis. Jei atpažįstate save šiame aprašyme – kibernetinis saugumas gali būti jums.
Kas tikrai neturėtų rinktis šios krypties: žmonės, ieškantys stabilumo ir rutinos (kibernetinis saugumas nuolat keičiasi), tie, kurie nemėgsta technologijų (akivaizdu), tie, kurie nori dirbti griežtai 9-17 be jokio streso (incidentai nepaiso darbo laiko), ir tie, kurie tikisi, kad diplomas automatiškai garantuos karjerą.
Kaip maksimaliai išnaudoti studijas VGTU
Jei nusprendėte rinktis VGTU kibernetinio saugumo studijas, štai keletas patarimų, kaip išspausti maksimumą iš šios patirties.
Pirma, neapsiribokite tik tuo, kas dėstoma. Universitetas duoda struktūrą, bet jūs turite būti aktyvūs. Kiekviena tema, kurią išmokstate paskaitose, gali būti gilinimosi taškas. Išmokote apie SQL injection? Puiku, dabar pabandykite surasti realių pažeidžiamumų bug bounty platformose kaip HackerOne ar Bugcrowd.
Antra, kurkite tinklą. Bendraukite su kurso draugais, dalyvaukite studentų organizacijose, eikite į IT renginius. Lietuvos IT bendruomenė nėra didelė, ir žmonės vienas kitą pažįsta. Geras vardas ir kontaktai gali būti svarbesni už pažymius diplome.
Trečia, ieškokite mentorių. Galbūt tai bus dėstytojas, galbūt – praktikos vadovas, galbūt – kažkas, ką sutiksite renginyje. Žmogus, kuris jau yra ten, kur jūs norite būti, gali suteikti neįkainojamų patarimų ir padėti išvengti klaidų.
Ketvirta, dokumentuokite savo mokymąsi. Kurkite blogą, rašykite apie tai, ką išmokstate, dalinkitės sprendimais. Tai ne tik padės įtvirtinti žinias, bet ir sukurs jūsų asmeninį prekės ženklą. Darbdaviai vertina kandidatus, kurie gali parodyti savo darbą ir mąstymą.
Penkta, gaukite sertifikatus. Nors diplomas svarbus, pramonės sertifikatai (CompTIA Security+, CEH, OSCP) gali būti lemiami veiksniai ieškant darbo. Kai kurie iš jų brangūs, bet investicija atsipirks. Pradėkite nuo pigesnių ar nemokamų, paskui judėkite link prestižiškesnių.
Realybė po diplomų įteikimo
Baigę VGTU kibernetinio saugumo studijas turėsite diplomą ir pagrindines žinias, bet tai tik pradžia. Pirmieji darbo metai bus iššūkis – pajusite, kad yra daug dalykų, kurių nežinote, ir tai normalu. Impostor syndrome (apgaviko sindromas) yra labai paplitęs šioje srityje, nes ji tokia plati, kad niekas negali žinoti visko.
Jūsų pirmoji pozicija greičiausiai bus Junior Security Analyst, SOC (Security Operations Center) analitikas ar panašiai. Darbas gali būti kartais monotoniškas – stebėti įspėjimus, analizuoti logus, rašyti ataskaitas. Tai ne tas glamūrinis „hacking” iš filmų, bet būtina patirtis, kuri padės suprasti, kaip veikia saugumas realiame pasaulyje.
Su patirtimi galėsite rinktis specializaciją – penetration testing, threat intelligence, incident response, security architecture, compliance ir t.t. Kiekviena kryptis turi savo specifiką ir reikalauja papildomų žinių. Kai kurie žmonės randa savo nišą greitai, kitiems reikia kelerių metų eksperimentavimo.
Atlyginimas augs kartu su patirtimi ir kompetencijomis. Lietuvoje galite pasiekti labai solidų atlyginimą niekur neišvykdami, bet jei norite maksimalių pajamų, tarptautinė rinka (nuotolinis darbas užsienio įmonėms) siūlo dar daugiau. Čia jūsų anglų kalbos lygis ir gebėjimas parduoti save tampa kritiniai.
Dar vienas aspektas – darbo ir asmeninio gyvenimo balansas. Kibernetinio saugumo specialistai kartais turi būti pasiekiami ne darbo metu, ypač jei dirba incident response komandose. Tai gali būti įtempta, bet dauguma įmonių tai kompensuoja papildomomis atostogomis ar lankstumu kitais aspektais.
Galiausiai, būkite pasirengę nuolatiniam mokymuisi. Tai nėra karjera, kur galite „išmokti vieną kartą ir dirbti 30 metų”. Technologijos keičiasi, grėsmės evoliucionuoja, nauji įrankiai atsiranda. Jei nemėgstate mokytis, šioje srityje greitai atsiliksite. Bet jei jums tai įdomu – tai gali būti viena įdomiausių ir atlyginančių karjerų IT sektoriuje.
VGTU kibernetinio saugumo studijos gali būti puikus startas, bet jūsų karjera priklausys nuo to, ką su tuo startu darysite. Diplomas atidaro duris, bet pro jas pereiti ir sėkmingai judėti toliau – jūsų atsakomybė.
