Спрос на компьютерных криминалистов непрерывно растет

Если в э-бизнесе есть современный Шерлок Холмс, то его зовут Дэвидом Диттрихом. Этот менеджер по безопасности вычислительных систем в Университете штата Вашингтон в Сиэтле - представитель одной из довольно редких в области безопасности профессий: он компьютерный криминалист. С подъемом волны компьютерной преступности знания и умения, которыми он обладает, все больше входят в цену. Этот вид правонарушений породил специальность сыщика по электронным данным, отыскивающего цифровые следы, остающиеся в компьютерах после налета хакеров-вандалов, или “черных шляп”. Сыскари вроде Диттриха анализируют электронную корреспонденцию, регистрируемые на Web-узлах данные и содержимое жесткого диска в поиске признаков, которые бы позволили идентифицировать преступников и хулиганов-“кракеров”. Во многом это напоминает работу обычных криминалистов, выискивающих на месте преступления отпечатки пальцев, различные шерстинки и волоконца.

Впрочем, простое увеличение числа преступлений - не единственная причина роста спроса на таких специалистов; дело еще и в том, что преступники действуют все более изощренно. “Сообщество “черных шляп” совершенствует свое “искусство” такими темпами, за которыми, - по глубокому убеждению Диттриха,- не угнаться среднему системному администратору или учреждению по охране правопорядка”.

Это означает, что как компании, занимающиеся э-бизнесом, так и органы охраны порядка готовы хорошо платить специалистам вроде Диттриха за обнаружение улик, оставленных на месте компьютерного преступления (см. данные о средних должностных окладах во врезке). “Потребность в компьютерных криминалистах растет экспоненциально”, - констатирует Джон Ганн, директор первой в Соединенных Штатах межведомственной региональной компьютерной криминалистической лаборатории Regional Computer Forensics Laboratory (RCFL) в Сан-Диего.

Особенно остро спрос на таких специалистов ощущается в гражданских и военных органах охраны правопорядка различных уровней (от местного до федерального), в которых образованы специальные подразделения компьютерной криминалистики. Им необходимо укомплектовать штаты работниками, разбирающимися в практике хакерской деятельности и в вопросах интеллектуальной собственности. А коммерческие организации все шире используют компьютерную криминалистику для решения своих собственных задач, таких, как выявление случаев мошенничества, нарушения режима секретности в отношении коммерческих и производственных тайн, а также несанкционированного использования принадлежащих компании компьютеров. Информацию, как говорится, из первых рук о найме компьютерных криминалистов для этих целей нам предоставил Ли Кушнер, главный исполнительный директор фирмы L.J.Kushner and Associates (Фрихолд, шт. Нью-Джерси), специализирующейся на подборе кадров для служб информационной безопасности.

Ганн уверяет, что работа его подчиненных отличается большой интенсивностью труда и утомительностью, а кроме того, требует стальных нервов. Большинство специалистов RCFL в Сан-Диего имеют за плечами многолетний опыт программирования или другой связанной с компьютерами работы, обладают мощными аналитическими способностями и терпением, достаточным, чтобы целыми днями разбирать содержимое компьютера по кусочкам в поиске улик. А если дела и дальше пойдут так же, как теперь, очень не лишней окажется и готовность этих специалистов потрудиться сверхурочно. В прошлом году RCFL приняла участие в расследовании 400 инцидентов с компьютерами. В нынешнем Ганн ожидает удвоения этого показателя.

Работа защитника

Консультанты по безопасности и аудиторы компьютерных систем продают свои знания и умения за хорошую цену. Как выяснилось в ходе опроса, проведенного SANS Institute среди более чем 7 тыс. специалистов ИТ, консультанты по вопросам безопасности получают приблизительно на 20 тыс. долл. в год больше сетевых администраторов. В целом оклады по всей совокупности рассматриваемых должностей выросли на 11,5% и в 2000 г. составили в среднем 65 тыс. 424 долл. в год.

В числе других профессиональных качеств, необходимых для поимки электронных воров, специалисты называют глубокие познания в области вычислительной техники, а также широкий кругозор в вопросах уязвимости систем защиты и хорошие навыки системного администрирования. Диттрих, занимающийся анализом случаев преодоления защиты и восстановлением последовательности событий в них с начала 1990-х, использует свои навыки и умения для поиска информации, которая позволила бы понять, каким образом осуществлялся взлом системы. “Частота и степень изощренности вторжений прогрессируют темпами, вызывающими серьезные опасения. Мне, - говорит Диттрих, - приходится прилагать особые усилия, чтобы следить за развитием инструментария вторжения, который постоянно совершенствуется”.

Компьютерные криминалисты собирают оставленные преступником следы и формируют доказательную базу для уголовного преследования. Информация, которую они ищут, может быть зашифрована или запрятана где-нибудь в той части пространства жесткого диска, что считается свободной. Самый хитроумный из применяемых ими трюков - постановка капканов на хакеров в виде слабо защищенных компьютеров, атакуя которые, те выдают себя и свои приемы.

Диттрих подчеркнул, что компьютерному криминалисту необходимы не только мощные аналитические способности, но и блестящие навыки устного и письменного общения. Последние требуются для детального и доходчивого изложения результатов работы в отчетных документах, а также для выступления со свидетельствами против компьютерных взломщиков в суде.

На возросший спрос уже отреагировал ряд образовательных учреждений, в том числе Университет Центральной Флориды в Орландо, выпускающий дипломированных компьютерных криминалистов. Кроме того, организация International Association of Computer Investigative Specialists (Донахью, шт. Айова) сертифицирует экспертов по этой специальности. Спрос настолько высок, что на осенние курсы Ассоциации уже сейчас почти не осталось свободных мест.

Такие курсы очень полезны как менеджерам ИТ, так и индивидуальным пользователям, которым недостает опыта программирования и которые намерены сделать решительный прорыв в своем образовании по части компьютерной криминалистики. Ганн, проведший, прежде чем перейти в RCFL, ряд широких расследований для ФБР, заложил основы своей квалификации на специальных курсах в этом федеральном учреждении. Он и другие опытные компьютерные криминалисты предупреждают начинающих специалистов ИТ, выбравших для себя ту же стезю: для того чтобы тягаться с весьма изощренными современными хакерами, недостаточно прослушать несколько курсов по предмету. Это очень сложная специальность в нашей быстро развивающейся отрасли, требующая не только хорошего базового образования, но и постоянной интенсивной работы по его продолжению.

Главное, по словам экспертов вроде Диттриха, состоит в том, что действовать на опережение в настоящее время нет никакой возможности. “Белые шляпы” могут пока лишь бороться за сокращение своего отставания от “плохих парней” и надеяться, что “черные шляпы” не научатся работать, совсем уже не оставляя никаких электронных следов.