Так, давайте я одразу чесно розповім, навіщо я це пишу. Не знаю, як вам, але мені око муляє ота навала експертів, яких набігло в галузь кібербезпеки протягом останніх пів року. От не було експертів, не було, і тут невідомо звідки взялася аж ціла купа. Просто якийсь Великий вибух, їй-богу. Експертом називається буквально кожен, хто якимось дивом дорвався до годівниці. Адже тема зараз на хайпі й урвати ласий шматок хочеться багатьом. Як же ж так вийшло, що експертами в галузі вважаються люди, які мають про кібербезпеку дуже образне уявлення?

Насправді, все дуже просто. Як і будь-яка галузь, про нутрощі якої обивателі не мають жодного уявлення, кібербезпека хворіє на… шарлатанів. Шарлатани користуються тим, що широкий загал не має дієвих критеріїв виявлення самозванців серед тих, хто називає себе експертами. А зважаючи на те, що експертів з кібербезпеки зараз об’єктивно не вистачає, шарлатанство в цій галузі переживає свій золотий вік. За найоптимістичнішими прогнозами, в 2020 році глобальна нестача спеціалістів з кібербезпеки складатиме 1,800,000 людей. А отже, є багато охочих нажитися на цьому колосальному дефіциті.

Але спершу, давайте розберемось, хто ж такі експерти та навіщо вони потрібні.

Звісно ж, експертом має право називатися не кожен професіонал. Більше того, називати себе експертом в вихованому товаристві вважається дуже поганим тоном. Іншими словами, чи є ви експертом вирішувати не вам, а вашим колегам. Саме через визнання рівних ви можете отримати цей почесний титул. Який, щоправда, останнім часом перетворився на глузливу лайку. Адже повсякчасне його використання журналістами та блогерами призвело до жахливої інфляції цього терміну.

Хто ж є експертом? Ви не повірите, але тут все залежить в першу чергу від особливостей області знань. Але перш за все експерт є носієм експертизи. Цей термін теж багато хто не любить, але я не знаю кращого слова для вдалого поєднання понять навички та досвід. Самі навички не є експертизою — володіння навичками робить вас в кращому випадку освіченим фахівцем. Постійне використання навичок робить вас практиком, а згодом — професіоналом. І лише із набуттям певного досвіду ви маєте шанси стати експертом. А який саме об’єм досвіду для цього потрібен, визначає область знань, в якій ви практикуєте.

Зробимо невеличкий відступ та пригадаємо, навіщо нам потрібні експерти? Щоб отримати відповідь на складне запитання в певній незнайомій нам галузі, ми можемо обрати один з трьох шляхів. Перший — ознайомитися із галуззю, набути в ній певних знань, оволодіти навичками, отримати досвід, стати експертом, та знайти відповідь самотужки. Цей шлях складний, довгий, та нераціональний, адже всі люди повинні займатися своїми справами. Другий — дуже поширений наразі шлях — це спитати в Гугла, отримати стислу та оманливо зрозумілу відповідь, усвідомити себе експертом, та перебувати в полоні цієї омани решту життя. Такі “експерти” в інтернеті називаються диванними та є чудовим прикладом ефекту Данінга-Крюгера. (Якщо ви не знайомі із цим чудовим когнітивним викривленням, я дуже раджу вам про нього почитати.) І третій шлях — це спитати відповіді в експерта.

Звісно, ми завжди можемо спробувати “розібратися самостійно”. Адже існує так багато методик, мануалів, хороших практик та інших ”паперових тигрів”, які легко вводять обивателів в оману власної спроможності виконати роботу експертів “по методичці”. На жаль, все виглядає просто лише на перший погляд, а зловживання такою самодіяльністю часто-густо призводить до сумних наслідків.

Чому ж нам потрібні експерти і що відрізняє їх від професіоналів? На думку Деніела Канемана, експерта з поведінкової економіки, Нобелівського лауреата та автора книги “Мислення швидке та повільне”, із набуттям досвіду експерти виробляють так звану експертну інтуїцію. За допомогою якої вони можуть миттєво орієнтуватися в ситуаціях, на аналіз яких менш досвідчені практики та не-фахівці витрачають години, дні або тижні. Отже, на не термінову або не дуже важливу задачу ми можемо витратити багато власного часу або ж винайняти звичайних практиків. Але в критичній ситуації, яка вимагає швидкого, ефективного та, бажано, правильного розв’язання, ми хочемо мати змогу звернутися до експерта.

Як вже було сказано, експертна інтуїція виробляється з досвідом. І як я вже натякнув, об’єм досвіду для цього може знадобитися дуже різний. І не лише тому, що одні люди кмітливіші за інших. Якщо вірити Канеману, багато залежатиме від області знань, в якій досвід набувається. Дивіться, роботу професіонала можна уявити собі у вигляді послідовних вправ типу “задача –> рішення –> результат”. Стикаючись із новою загадкою — нетиповою ситуацією в практиці — професіонал здійснює її аналіз, приймає та втілює рішення, та спостерігає результат. Результати прийнятих рішень свідчать про те, чи були вони правильними та ефективними. І після повторення цієї послідовності дій сотні, тисячі разів, професіонал отримує здатність узагальнювати причини та наслідки своїх дій, вчиться абстрагуватись від конкретики окремих ситуацій, та вибудовує асоціації на підсвідомому рівні свого мислення. Так народжується експертна інтуїція. І швидкість виникнення такої інтуїції, а також її якість, залежать від так званої стабільності галузі знань.

Стабільність професійної галузі в першу чергу визначається стабільністю наслідків прийнятих професіоналом рішень, а також швидкістю отримання цих наслідків. Тобто, чим більш пряма залежність між вашими діями та їхніми наслідками — тим галузь більш стабільна. І навпаки, чим сильніше на наслідки ваших дій впливають зовнішні фактори, — такі як дії противників та конкурентів, випадкові величини типу везіння тощо, — тим галузь менш стабільна. Все це очевидно впливає на швидкість здобуття експертизи та її якість. І звісно ж, якщо наслідки ваших рішень стають очевидні дуже швидко, то й експертом ви станете скоріше, ніж якщо цих наслідків треба чекати місяці чи роки. (Остання обставина, зокрема, пояснює, чому в наступальній кібербезпеці набагато простіше почати працювати та досягти успіху, ніж на боці захисту. Просто “червона” команда оперує в набагато стабільнішій області знань, ніж “синя”.)

Отже, тепер, коли ви знаєте про те, хто ж такі експерти, що таке експертиза, як вона сприяє виникненню експертної інтуїції, та до чого тут специфіка галузі, я сподіваюся, вам буде легше відрізнити самопроголошеного експерта від справжнього, а шарлатана від гуру. Особисто мені дуже смішно чути заяви окремих колег про те, які вони досвідчені експерти з кіберзахисту після 5–6 років в галузі. Адже в синій команді цього часу замало, щоб стати експертом: наслідки ваших рішень настають занадто пізно та залежать від занадто довгого списку чинників, на які ви аж ніяк не впливаєте. З іншого боку, експерт в червоній команді після 5 років безперервного хакінгу — це досить правдоподібне явище, адже якщо ти щось зламав — то це одразу видно. Звичайно, я тут дуже спрощую, але ідею ви вловили.

Що ж тоді казати про “експертів” без релевантного досвіду, які вже декілька років займаються керуванням компаніями, що мають якийсь стосунок до кібербезпеки? Або про “експертів”, які вважають, що успішні (або не дуже) інвестиції в суміжний із кібербезпекою бізнес дає їм право носити це звання? Таких персонажів я раджу уникати, а їхню “експертну думку” старанно перевіряти. І з особливою недовірою раджу ставитися до “експертів” з кіберзахисту держави, адже це дуже й дуже нестабільна область знань. До того ж, практиків цього діла, які можуть похвалитися участю в важливих кібербезпекових проектах державного рівня, особисто я знаю аж… двох. Тепер ви знаєте, чому мені так важко приховати іронію щодо кожного кадрового рішення про кібербезпеку держави.

Всім миру, бережіться та не забудьте купити квиток на NoName Anticon (anticon.2event.com). Повірте, ви не хочете прогавити таку концентрацію експертів з кібербезпеки на одній сцені. Це я вам стверджую як експерт з конференцій 😉