• нет готового чек-листа;
• нет гарантии, что подход, который сработал вчера, сработает завтра;
• нет «правильного ответа» в конце учебника.

И вот здесь классическое образование упирается в потолок.
Вуз может и должен дать основу, ОС, сети, криптографию, питон, C, веб.
Но между этим фундаментом и боевым специалистом — пропасть, которую лекциями не закрыть.

Эту пропасть закрывает только практика, живая, стрессовая, с реальными системами и реальными последствиями ошибок.

30/70: почему настоящий хакинг не помещается в учебный план
В CyberEd мы довольно быстро пришли к правилу, которое сейчас соблюдаем жёстко:

• 30% обучения — это структурированные программы, курсы, преподаватели.
• 70% — самостоятельная работа, турниры, полигоны, CTF, общение с комьюнити.

Многие платформы пытаются сделать наоборот, годовые программы, три занятия в неделю, красивый учебный план.

Мы тоже так пробовали.
Результат — взрослые IT‑специалисты просто не выдерживают темп дневного отделения, выгорают, бросают, теряют интерес.

Мы сократили программы до 4 месяцев:

• дать основу,
• дать понятный план развития,
• дать сообщество.

А дальше человек либо растёт, либо нет. Это честно.
Потому что в нашей профессии успех зависит не только от качества программы, но и от задатков самого человека:

• настойчивость;
• гибкость мышления;
• широкий техкругозор;
• способность строить гипотезы и не бросать их после трёх неудач.

ИБ‑образование исторически родилось не в аудиториях, а в комьюнити:

• сначала — форумы и IRC;
• потом — конфы, митапы, закрытые чаты;
• потом — курсы, сделанные самими практиками, а не методистами.

Важно понять, обучение белых хакеров работает не там, где есть «программа с сертификатом», оно работает там, где есть живая среда:

• где эксперт и студент сидят рядом и разбирают реальный кейс;
• где провал на CTF обсуждают за кофе с человеком, который пять лет назад проваливался так же;
• где вместо «правильного ответа» есть «давай посмотрим, как это можно было сделать по‑другому».

Сегодня в России по‑настоящему "боевых пентестеров" считаные тысячи человек. При этом страна объективно в топ‑3 по наступательной кибербезопасности.

Парадокс в том, что система, которая рождает таких специалистов, почти не институционализирована. Полноценной национальной системы сертификации offensive‑специалистов нет: рынок по‑прежнему ориентируется на OSCP, CEH, Burp/OffSec‑сертификации и репутацию в комьюнити.

Заслужить доверие нельзя:

• ни за год,
• ни одним указом,
• ни одной линейкой курсов.

Западные центры шли к этому тридцать лет.

Мне часто задают прямой вопрос: — "Сколько времени нужно, чтобы «вырастить с нуля» хорошего специалиста по наступательной безопасности?Честный ответ с нуля — никак.

По опыту CyberEd:

• 75–80% наших студентов старше 25 лет;
• у всех уже есть IT‑бэкграунд — разработка, тестирование, администрирование
• Они приходят не за азбукой.
• Они приходят за сменой угла зрения.

Дальше математика такая:

• до уверенного мидла — 1,5–2 года, при условии, что человек «горит» и делает больше, чем от него требуют;
• до сильного сеньора — 4–5 лет практики, ошибок, CTF, проектов и ревью от коллег.

Но главное не срок, а способность работать в условиях неопределённости:

• не паниковать, когда «алгоритм закончился»;
• уметь построить гипотезу там, где учебник молчит;
• гарантировать заказчику не «я взломаю всё», а конкретный набор проверок, конкретный процент покрытия и прозрачный результат.

Это и есть зрелость.И она не появляется из курса — она появляется из среды.