Интервью с ИБ-экспертами: Мона Архипова
Мона Архипова, сооснователь и COO МИРЦ, независимый консультант по ИБ
Когда технари мне говорят, невозможно что-то сделать, я отвечаю: «Ок, я сделаю это сама».
— Мона, спасибо, что согласилась дать интервью для блога InfoWatch, где мы стартовали серию интервью с российскими ИБ-экспертами. Ты известный в России независимый эксперт по информационной безопасности. Расскажи, пожалуйста, как ты оказалась в профессии?
Все началось с того, что в детстве мне принесли списанный компьютер. Посмотрите на мои серьги — они сделаны из памяти моего первого 286-го компа и всегда со мной. Папа дал книжку по DOS, и это положило начало детскому хобби. Мне нравилось разбираться во всем самостоятельно: я обучалась работе в консоли, играла в компьютерные игры, ходила на кружок по информатике, где мы учились писать на BASIC. С тех пор я не боюсь ни темы железа, ни темы софта.
—То есть выбор профессии случился давно и практически был предопределен?
Не совсем. До какого-то момента я не видела это своей профессией. Мой папа и другие члены семьи в свое время строили космический корабль «Буран», и меня тянуло в военное авиационное училище. Но врачебная комиссия отказала по состоянию здоровья. Я, конечно, расстроилась, но выбрала себе не менее задорную и «женскую» профессию — поступила в вуз на специальность «Комплексная защита объектов информатизации»
Дальше было несколько лет совмещения учебы и работы. И до сих пор я считаю такую формулу единственно возможным вариантом профессиональной подготовки специалистов по безопасности. Мне это позволило выйти в большой мир ИБ уже уверенным специалистом, а не юниором-теоретиком.
На втором курсе я пошла работать «эникеем» (то есть специалистом по всему) в социальный центр, а на третьем — перешла на работу в компанию-интегратор. На третьем курсе я устроилась на работу в компанию-интегратор. Долгое время работала сисадмином, разбиралась в сетевом железе, сетях, техническом обслуживании. Классной школой для меня стала работа в дежурных сменах, а также участие в работе профсообществ и конференциях, которые в то время консолидировались, главным образом, вокруг «Лаборатории Касперского» — это IT Security Conference for New Generation и KasperskyClub, куда я пришла задать Евгению Валентиновичу и Наталье Ивановне вопрос, берут ли женщин в программисты.
— И в этот период ты начала плавно переходить от системного администрирования к информационной безопасности?
Да, после получения диплома случилась моя первая работа в безопасности. Это был финтех. Появилась моя собственная маленькая компания, которой я руковожу в настоящее время, где мы писали под заказ процессинги для интернет-эквайринга.
У меня была мечта получить опыт работы в международной корпорации, где высокие требования к квалификации специалистов и к комплексной безопасности. Мне повезло год проработать с высококлассной командой в GE Money Bank, подразделение General Electric. Мы вместе проделали серьезную работу, выросли как специалисты (мой бывший руководитель сейчас отвечает за безопасность в крупнейшем технологическом банке), а чуть позже моя коллега запустила знаковый для России проект Women and Tech.
После GE были топовые компании и новые амбициозные задачи. В QIWI я выстраивала SOC и со временем возглавила объединенный отдел инфраструктурного мониторинга и ИБ. Это был карьерный рост, который произошел на фоне расследования нашей командой нашумевшего в 2014 году инцидента с кражей крупной суммы денег. Здесь я получила опыт даже в криминалистике. В Acronis также выстраивала техническую безопасность. После корпорации приняла приглашение перейти в стартап в области automotive. Пришла туда директором по безопасности, но быстро возглавила все IT-направление, а также оценку персонала и ЭБ.
За 14 лет в профессии получился и in-house опыт на стороне заказчика, и опыт управления собственной компанией. Я много чего увидела за эти годы, и назрело несколько выводов.
— Поделись выводами, интересно.
На мой взгляд, IT-безопасность — это приложение к IT. И с точки зрения необходимой квалификации, и с точки зрения костов для бизнеса заказчика. Если вы не большой enterprise бизнес или банк, у которого нет проблем с бюджетами, то проще инвестировать разумные средства и добавить новые обязанности уже имеющимся специалистам. Можно хорошего инженера QA или тестировщика обучить тестировать дополнительный тип багов — security баги.
Кадров с достойной квалификацией становится все меньше. Под ними я подразумеваю людей, которые глубоко понимают, как работает технология, и хорошо в ней разбираются. Хороших практиков на всю Россию человек 400.
Если говорить про инфраструктурную безопасность, которой я занимаюсь долгое время, то по сути ничего нового придумано не было: SIEM это log-менеджмент под определенный тип событий, а управление стандартами конфигурации отлично мониторится через IT-системы этого класса. Раньше всем занимались специалисты, которые обслуживали всё сразу, — так называемые «компьютерщики». Я вижу, что такой подход возвращается, несмотря на современную доктрину, что внедрять должны одни, а контролировать — другие. Это значит, что профессия безопасника становится, к сожалению, все более ремесленной.
И здесь появляется следующая проблема. Она касается и ИБ, и IT в целом. Кадров с достойной квалификацией становится все меньше. Под ними я подразумеваю людей, которые глубоко понимают, как работает технология, и хорошо в ней разбираются.
Рано или поздно любой безопасник сталкивается с задачами, решения которых бесполезно искать в интернете. Особенно, если речь идет об энтерпрайз-системах, вы же InfoWatch — вы хорошо меня понимаете. Только логика и самостоятельное мышление могут помочь такому специалисту.
— Но, получается, ты сама осваивала профессию в вузе. Да и сейчас Information Security является очень модным и востребованным выбором среди абитуриентов.
Это так, но высшее образование не гарантирует ничего. Вы вышли после 5 лет обучения, а всё уже изменилось. ИБ сильно отстает от IT, потому что продукты для защиты каких-либо новых фреймворков появляются позже, чем внедряется этот стек технологий. Кроме того, просто учебная программа без опыта параллельной работы, никуда не продвинет. Только стажировки и самообучение.
Просто неотъемлемая часть работы, которая способна вырастить из ИБ-офицера специалиста более высокого порядка — например, риск-менеджера.
Хороших практиков на всю Россию человек 400. И это люди, которые обладают прочными знаниями в программировании и железе (то есть могут руками самостоятельно что-то настроить, разобраться в коробочных продуктах, сформулировать спецификацию для ТЗ), законодательстве и регламентах, а заодно и с бизнесом могут пообщаться на его языке. В вопросе оценки квалификации я придерживаюсь довольно жесткой позиции, за что, признаюсь, меня иногда не любят мои программисты: регулярно слышу, что невозможно что-то сделать. Обычно отвечаю: ок, я сделаю это сама.
— Расскажи про заметные кейсы, которые тебе доводилось решать в своей практике. Как ты справляешься с кризисными ситуациями?
Я руководила дежурной сменой, а это 24/7 и вечный аврал. Однажды у нас сгорел ввод электричества в data-центр (фотографии опаленного рубильника хранятся у меня до сих пор). Быстро организовать альтернативный источник энергии не удалось. А что такое data-центр, в котором температура 50 ℃? Бегаешь по нему и разными хитроумными способами спасаешь серверы от перегрева, и так на протяжении 1,5 месяцев без выходных. После этого случая у меня появилось «тефлоновое покрытие». Да, безопасность — это нервно. Это ужас, но не ужас-ужас. Просто неотъемлемая часть работы, которая способна вырастить из ИБ-офицера специалиста более высокого порядка — например, риск-менеджера.
У меня есть один любимый кейс с DLP-системой, когда она окупилась в первые три недели пилотного внедрения! Одного из руководителей мы поймали на откатах. Я знала, куда смотреть, чувствовала. Женщины же вообще хорошо всё чувствуют, в этом разница подходов к работе у мужчин и женщин.
— Как проявляется эта разница?
Женщины быстрее все замечают. Мы мультизадачны. В моей компании практически все project-менеджеры — девушки. Потому что они могут одновременно держать в голове несколько проектов и четко помнить, что на какой стадии находится, будь то мониторинг, реагирование на инциденты или работа с siem-системой. Руководителю нужно понимать мотивационый профиль человека и правильно прикладывать его к роли.
— Можешь рассказать, приходилось ли тебе сталкиваться с предрассудками в профсообществе?
Не менее раза в месяц я выслушиваю, что женщин в IT и в безопасности нет, что мы ничего не знаем и не умеем. Я состою в профессиональных чатах по DevOps, безопасности, IT, в чате техдиректоров, и даже в этих популярных в профсообществе каналах регулярно практикуются шовинистические шутки. Иногда они адекватны, часто — нет. Однажды в чат пришла студентка с вопросом, с чего начинать карьеру. Разумеется, она не получила ответ по существу вопроса, а встретила бурные и не самые приятные шутки. Это дикость. Мне самой пришлось написать замечание админу, которое, к сожалению, не возымело эффекта. С того момента я покидаю такие дискуссии, если вдруг оказываюсь в них, и стараюсь исключать токсичность из своей личной и профессиональной жизни.
Решила, что пора выходить за пределы ИБ-сообщества. В этом году я поработала в программном комитете конференции Analog Bytes и участвую в подготовке грядущей DevOpsConf 2020. В прошлом году я была единственной девушкой среди спикеров, рассказывала как внедрять безопасность в IT. Кроме того, у меня есть несколько своих конференций.
Женщин в разных типично мужских областях становится все больше. Это IT и ИБ, это безопасность которая не относится к информационным технологиям, — физическая, экономическая и пр. Много женщин идут в программисты, тестировщики и точные технические специальности. Я сама прошла большой путь в профессии, это позволяет мне общаться с коллегами-мужчинами на равных. Мне приятно, что меня ценят как профессионала и как человека. В сисадминской тусовке меня в свое время хорошо подкалывали, но это никогда не было унижением. Должна быть грань между подтолкнуть к росту и поглумиться.
— С чего начинать карьеру в ИБ?
Такой вопрос мне задают регулярно, и я всегда охотно отвечаю. Если больше интереса к системному администрированию, то это про инфраструктурную безопасность. Если у человека заточен мозг на юридические аспекты, то это безопасность компании и compliance. Специалисты, которые знают что-то за пределами нашей законодательной базы, особенно ценны. Если у вас хороший алгоритмический склад ума и есть навыки программирования, то это безопасность приложений.
В любом случае, я приветствую заход в ИБ через IT. Потому что, на хорошую базу навыков в программировании, тестировании, системном администрировании легко наложить знание законодательства и совершить такой переход. Я за фундаментальный подход. ИБ, как я и говорила в начале, это прикладная часть, которая хорошо ложится на базу и повышает зарплату.
Я очень радуюсь, что девушек с каждым годом становится все больше. Для лучшей мотивации приведу свою любимую цитату времен, когда я была сисадмином, с популярного гиковского ресурса bash.org: «Видел я один раз девочку-сисадмина. И что, она была зеленая с тремя глазами? Нет, понимаешь, она работала». Этим, пожалуй, можно подвести итог всей дискуссии.
Полное или частичное копирование материалов возможно только при указании ссылки на источник — сайт www.infowatch.ru или на страницу с исходной информацией.