Как приручить хакера?

Как приручить хакера?
Илья Медведовский | 20.12.2013
— Мы не любим хакеров!
— Вы просто не умеете их готовить.

В последнее время все чаще представители разных компаний говорят о тотальной нехватке квалифицированных технических кадров, да и вообще — просто кадров. Причем в различных отраслях. Давайте посмотрим, а что у нас с этим происходит в ИТ и ИБ.

Итак, типовой «плач Ярославны» о кадровом голоде в любой сфере экономики, исполненный представителями какой-либо компании, звучит следующим образом:
— Нам нужен специалист по закручиванию гайки именно на 12. И, о ужас, — их не готовят наши вузы.
— Нужного нам профильного специалиста по закручиванию гаек на 12 вообще негде взять на рынке, поэтому мы ищем, откуда бы нам его переманить. 
Знакомые фразы? Я думаю, все мы их слышали и слышим постоянно. Почему? Потому что эти компании в принципе не умеют или не хотят работать с персоналом, да и просто плохо понимают, как именно устроена система образования в РФ. Поэтому прежде чем говорить о хакерах, давайте вначале побеседуем о проблемах образования, о молодых специалистах и о поиске квалифицированного персонала.

Часть 1. О технарях 

Для того чтобы не быть голословным, расшифруем этот несколько заведомо громкий тезис и выделим основные причины, приводящие к серьезным проблемам с поиском технических специалистов для компаний, а также попробуем понять типы компаний, у которых такие проблемы встречаются наиболее часто. 

Краткосрочная HR-стратегия
Да, действительно, поиск квалифицированного персонала очень серьезная проблема, требующая от компании разработки и реализации долговременной HR-стратегии в этой области и продуманных последовательных тактических действий. Ключевые слова здесь — «долговременная HR-стратегия». 
Первый тип компаний, у которых существуют такие проблемы, — стартапы или стартапы-одновневки (название условно). Их цель — сделать «что-то» и потом как можно быстрее продаться. Иногда это ошибочно именуется «инновационная экономика», и возникает путаница с настоящими инновациями. Стартапы-однодневки, очевидно, не могут себе позволить никакие долговременные стратегии: они нацелены на скорейший результат здесь и сейчас, причем качество результата часто не имеет особого значения — надо просто быстро пустить пыль в глаза инвесторам и надуть пузырь того или иного размера. Им некогда растить кадры. Им надо быстро сделать «что-то» и поскорее продаться. Поэтому первый признак стартапа-однодневки, находящегося на нулевом уровне зрелости, и есть те самые жалобы на тяжелую долю эйчара, занятого поиском персонала. Обычным стартапам и правда трудно, и проблема у них не в отсутствии кадров, а в отсутствии денег для найма столь нужных им квалифицированных сотрудников. Но они и не жалуются, а постепенно так или иначе решают свои проблемы. 

Непонимание предметной области
Вторая причина является скорее следствием первой — это непонимание сферы деятельности, в которой работает компания. Такое тоже иногда встречается и, опять же, характерно именно для стартапов. Причина в том, что инициатор бизнеса иногда изначально плохо понимает и не чувствует саму предметную область (то есть не является в ней специалистом), где намерен развиваться. 
Он пытается реализовать определенную идею, используя фрилансеров или нанимая по контракту штатных сотрудников, способных ее осуществить, и постепенно лично изучает сам предмет. Но на первоначальном этапе у него чрезвычайно мало знаний, и без существенных вложений невозможно выработать должную стратегию в области персонала. В результате — жалобы на отсутствие квалифицированных кадров, даже когда их достаточно на рынке.

Мы не интересны соискателям
Типовая проблема с поиском персонала часто возникает и в том случае, когда компания мало известна на рынке и просто неинтересна для соискателей. Действительно, причина объективная, но и она устранима. Главное это понимать, а уж пути решения всегда найдутся — способов и вариантов множество. 

Вуз на выходе должен дать нам готового специалиста
Да конечно... прям так и «должен». Это третья причина, которая встречается повсеместно, и она характерна уже для компаний любого размера. Вуз никому ничего не должен и никогда не был должен. Задача любого, в данном случае хорошего технического вуза — дать базовые технические знания, привить студенту системный подход и приучить его самостоятельно мыслить и исследовать интересную ему тему. Не более того.

Остальное уже зависит от студента и его будущей профессии — от той предметной области, в которой он станет специализироваться, начиная примерно с третьего-четвертого курса. И, как показывает опыт, наилучшим образом подобная специализация студента проходит именно в компании, на практике. Она в принципе невозможна в вузе — там решаются иные задачи. И здесь мы повсеместно видим типовую проблему —компании не намерены заниматься студентами. Они хотят сразу же получить с рынка готового специалиста, а не учить годами практиканта, поэтому вкладываются в «короткую», а не в «долгую» позицию. 

Вывод: Все эти «объективные трудности» не более чем неудачная попытка объяснить полное неумение работать и оправдать провал своей HR-службы. 

Часть 2. О хакерах

А теперь перейдем к родной теме: можно ли компаниям брать на работу хакеров? Я недаром уделил так много времени первой части. Почему? Да все просто: на самом деле нет особой разницы, какой технарь вам нужен «айтишник» или «ибэшник». Всему виной мифы пугливых работодателей о хакерах, обладающих неведомой силой и тянущихся к «темной стороне». Все это чушь. Безусловно, поиск технарей, обладающих знаниями и опытом в поиске уязвимостей, имеет свои нюансы, но в целом ничего принципиально нового здесь нет.

Хакер: исследователь или криминал?
Не без помощи СМИ термин «хакер» с годами, к сожалению, приобрел негативную криминальную окраску. Изначально в конце 80-х под этим термином понимался исследователь, занимающийся изучением безопасности различных системы и поиском в них уязвимостей, а не представитель криминального мира, который противозаконно взламывает системы в корыстных целях, воруя деньги или получая доступ к тайнам различного рода и продавая их конкурентам или спецслужбам. Первый миф, распространенный среди работодателей непрофильных компаний (которые не оказывают профессиональные услуги по анализу защищенности): хакер равно криминал. Забудьте эту средневековую чушь — выбросьте из головы раз и навсегда. Выбор, на какой стороне закона ты будешь в мире ИБ, никоим образом не отличается от всего остального мира. Тем более сегодня, когда молодым людям хватает возможностей использовать свои хакерские навыки в благих целях для своего работодателя. Процент криминально настроенных личностей в ИТ и ИБ не выше, чем среди других специалистов. Вы же не боитесь нанимать на работу биатлонистов или борцов с их специфичными навыками и при этом не планируете использовать их по прямому профилю. Так какой же смысл бояться нанимать хакеров (везде в данной статье — исследователей, а не криминалов!), у кого есть другие специфичные навыки, ради которых вы их и нанимаете. Просто проверьте, как и любого другого соискателя, на наличие криминального прошлого, а еще лучше — настоящего, поскольку прошлое далеко не всегда показательно. Один мой близкий друг в свое, достаточно уже давнее время, по молодости, два года отсидел на Западе в тюрьме по обвинению в кардерстве. Правда, был в итоге признан невиновным из-за нехватки улик. Вернувшись в РФ, он честно признался на собеседовании первому работодателю (именно в области ИБ) о своем прошлом и был взят на работу. Сейчас, по прошествии более 10 лет он известный на рынке топ-менеджер, который успешно работает директором одной из крупнейших в России компаний в области информационной безопасности и с улыбкой вспоминает свою «боевую» молодость. 

Поэтому надо всегда четко понимать и помнить, что процент преступников среди специалистов, обладающих хакерскими навыками, не выше, нежели процент наемных убийц среди, например, биатлонистов или боксеров. 

Скорее тут надо думать совершенно о другом, планируя непрофильной компании нанять такого специалиста в штат. Так нужен ли вам в штат хакер; что он будет делать каждый день; кто его будет контролировать — вот основные вопросы, которые действительно должны волновать компанию, а не мифическая склонность хакеров к криминалу. 

Достаточно ли у нас хакеров?
Сегодня более чем. Дело в том, что за последние годы хакером (исследователем!) стало модно быть среди молодежи. Точнее, мы сделали это модным благодаря планомерной работе в течение последних пяти лет. Почувствуйте разницу между «стало» и «сделали». Ничего не происходит само собой и просто так (это в том числе и к вопросу о долговременных HR-стратегиях из первой части). Говоря «мы», я в данном случае подразумеваю, прежде всего, очень ограниченный круг буквально из нескольких компаний, существующих на этом рынке, пристально интересующихся хакерской темой и вынужденных развивать ее как основной бизнес. Побочным, но четко прогнозируемым эффектом от развития темы стало появление большого числа молодых специалистов, интересующихся данным направлением и желающих развивать свои хакерские навыки в рамках работы на компании. Дело за малым — дать им работу по профилю!

Нетрудно догадаться, что одним из основных способов популяризации и формирования хакерского комьюнити среди молодежи и направления его в правильную, некриминальную сторону является проведение некоммерческих технических конференций, посвященных исследованиям защищенности всевозможных информационных технологий. Все, что обсуждается открыто и не имеет шлейфа подпольного андеграунда, — все это идет на благо общества. Подобные конференции широко проходят на Западе, и три года назад мы решили сделать свой аналог — российский Black Hat. Именно такой мы попытались сделать ежегодную хакерскую конференцию ZeroNights, которая в текущем году прошла в России уже в третий раз и собрала более 1000 человек (в прошлом — чуть меньше 600). Одна из целей конференции — познакомить хакеров и бизнес, дав бизнесу нейтральную, и что крайне важно, не привязанную к какому-либо одному корпоративному бренду единую площадку для общения с хакерами (технарями) и... правильно, хайринга способных технарей. 

А как у вас в Digital Security?
Я не хотел останавливаться на данной теме, но по просьбе редактора кратко отвечу на вопрос: «А как у вас со всем этим и не без сапог ли сам сапожник?» 

А у нас все хорошо. У нас нет описанных выше проблем. Точнее есть, но они совсем другие, связанные со сложным, но приятным выбором лучших из лучших. Да, мы нанимаем хакеров. Да, мы выбираем лучших из лучших — мы можем себе позволить искать как уже готовых звезд, так и будущих. Мы берем их, как берут алмаз без огранки, и делаем из них бриллиант. Да, мы приглашаем студентов, в том числе и младших курсов, и годами готовим их, выращивая из них эксклюзивных специалистов. В частности, большинство из нынешнего нашего технического руководства пришли в компанию много лет назад студентами 4-го курса. Да, все без исключения наши технари самым буквальным образом погружаются в специально созданную и годами культивируемую исследовательскую атмосферу компании с целью выявления, развития и совершенствования их наиболее сильных и перспективных творческих качеств. Наш исследовательский центр ведет большое количество как коммерческих, так и некоммерческих исследований, и каждый найдет возможность, где именно себя проявить (от поиска уязвимостей в ERP до взломов АСУ ТП-шных контроллеров). Причем исследованиями занимаются все наши хакеры вне зависимости от того, к какому отделу они принадлежат – это специально стимулируется и культивируется в компании. 

В результате принятой нами в 2007 году программы развития собственных исследований и постоянного культивирования специфичных знаний, мы, с одной стороны, обеспечиваем постоянный процесс передачи знаний между поколениями исследователей внутри компании, развивая тем самым как будущих, так и уже сложившихся специалистов — звезд в своем деле. А с другой стороны, имеем возможность быть на острие современных хакерских технологий со всеми вытекающими отсюда последствиями для наших продуктов и услуг. Потому что все, что нами делается, не просто хобби — все нацелено в итоге именно на клиентов и их потребности. Хотя, и это для нас самое главное, все, что мы делаем, прежде всего, наше хобби и любимое дело, за которое нам еще и платят деньги. Нам в этом плане повезло, ведь с точки зрения технаря хакерство — абсолютно фанатская деятельность, совершенно иное мышление и часто стиль жизни. 

И в завершение

Хакер всегда ищет уязвимости и не столь важно в чем именно – это, прежде всего, совершенно иной склад ума, замешанный на критичности и творчестве. Хакер – это прежде всего в крови. Говоря об этом, я часто вспоминаю слова Айртона Сенны: «Racing, competing is in my blood», — у хакеров все тоже самое.  

Не надо бояться хакеров. Учитесь понимать их и работать с ними. Ставьте им интересные задачи, и они ответят вам взаимностью. Главное, повторюсь, четко понимать, зачем вам хакеры и что хакер — это прежде всего состояние души и образ мысли. Да, хакер при желании может работать в любой области, от админа до программиста. Другой вопрос, хочет ли. Пока он молод — есть шанс слепить из него кого угодно. Потом, когда он станет настоящим хакером — будет поздно. Настоящий хакер всегда хочет быть именно хакером. Это надо понимать и помнить. 

Теги: кадры

Журнал IT-Manager    [ PDF ]    [ Подписка на журнал ]

Об авторе


Илья Медведовский

Илья Медведовский

Более 20 лет занимается информационной безопасностью. Это давно уже перестало быть просто бизнесом, увлекательной работой. ИБ - хобби, любимое дело, миссия и мечта. В течение 12 лет руководит консалтинговой компанией Digital Security, которая на сегодняшний день является одним из лидеров российского рынка аудита ИБ. В 2010 году создал также дочернюю международную компанию ERPSсan, осуществляющую разработку средств мониторинга защищенности SAP. Автор около 200 статей по информационной безопасности, а также легендарной хакерской серии книг «Атака через Интернет», в которую также вошли «Атака на Интернет» и «Атака из Интернета». Спикер на ведущих российских конференциях по ИБ.


ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru


Другие материалы рубрики

Безусловно, обеспечение деятельности оператора электронного правительства целесообразно оставить на инсорсинге.

Мероприятия


22.06.2016 — 23.06.2016
Компания DISTREE объявила о том, что в 2016 году традиционные мероприятия для корпоративного и потребительского сегментов пройдут в новом раздельном формате. Растущая с каждым годом популярность мероприятий DISTREE и постоянно увеличивающееся число участников каналов B2B и B2C привели к логической реогранизации события.