Как приручить хакера?

Логотип компании
Как приручить хакера?
Выбор, на какой стороне закона ты будешь в мире ИБ, никоим образом не отличается от всего остального мира
— Мы не любим хакеров!
— Вы просто не умеете их готовить.

В последнее время все чаще представители разных компаний говорят о тотальной нехватке квалифицированных технических кадров, да и вообще — просто кадров. Причем в различных отраслях. Давайте посмотрим, а что у нас с этим происходит в ИТ и ИБ.

Итак, типовой «плач Ярославны» о кадровом голоде в любой сфере экономики, исполненный представителями какой-либо компании, звучит следующим образом:
— Нам нужен специалист по закручиванию гайки именно на 12. И, о ужас, — их не готовят наши вузы.
— Нужного нам профильного специалиста по закручиванию гаек на 12 вообще негде взять на рынке, поэтому мы ищем, откуда бы нам его переманить. 
Знакомые фразы? Я думаю, все мы их слышали и слышим постоянно. Почему? Потому что эти компании в принципе не умеют или не хотят работать с персоналом, да и просто плохо понимают, как именно устроена система образования в РФ. Поэтому прежде чем говорить о хакерах, давайте вначале побеседуем о проблемах образования, о молодых специалистах и о поиске квалифицированного персонала.

Часть 1. О технарях 

Для того чтобы не быть голословным, расшифруем этот несколько заведомо громкий тезис и выделим основные причины, приводящие к серьезным проблемам с поиском технических специалистов для компаний, а также попробуем понять типы компаний, у которых такие проблемы встречаются наиболее часто. 

Краткосрочная HR-стратегия
Да, действительно, поиск квалифицированного персонала очень серьезная проблема, требующая от компании разработки и реализации долговременной HR-стратегии в этой области и продуманных последовательных тактических действий. Ключевые слова здесь — «долговременная HR-стратегия». 
Первый тип компаний, у которых существуют такие проблемы, — стартапы или стартапы-одновневки (название условно). Их цель — сделать «что-то» и потом как можно быстрее продаться. Иногда это ошибочно именуется «инновационная экономика», и возникает путаница с настоящими инновациями. Стартапы-однодневки, очевидно, не могут себе позволить никакие долговременные стратегии: они нацелены на скорейший результат здесь и сейчас, причем качество результата часто не имеет особого значения — надо просто быстро пустить пыль в глаза инвесторам и надуть пузырь того или иного размера. Им некогда растить кадры. Им надо быстро сделать «что-то» и поскорее продаться. Поэтому первый признак стартапа-однодневки, находящегося на нулевом уровне зрелости, и есть те самые жалобы на тяжелую долю эйчара, занятого поиском персонала. Обычным стартапам и правда трудно, и проблема у них не в отсутствии кадров, а в отсутствии денег для найма столь нужных им квалифицированных сотрудников. Но они и не жалуются, а постепенно так или иначе решают свои проблемы. 

Непонимание предметной области
Вторая причина является скорее следствием первой — это непонимание сферы деятельности, в которой работает компания. Такое тоже иногда встречается и, опять же, характерно именно для стартапов. Причина в том, что инициатор бизнеса иногда изначально плохо понимает и не чувствует саму предметную область (то есть не является в ней специалистом), где намерен развиваться. 
Он пытается реализовать определенную идею, используя фрилансеров или нанимая по контракту штатных сотрудников, способных ее осуществить, и постепенно лично изучает сам предмет. Но на первоначальном этапе у него чрезвычайно мало знаний, и без существенных вложений невозможно выработать должную стратегию в области персонала. В результате — жалобы на отсутствие квалифицированных кадров, даже когда их достаточно на рынке.

Мы не интересны соискателям
Типовая проблема с поиском персонала часто возникает и в том случае, когда компания мало известна на рынке и просто неинтересна для соискателей. Действительно, причина объективная, но и она устранима. Главное это понимать, а уж пути решения всегда найдутся — способов и вариантов множество. 

Вуз на выходе должен дать нам готового специалиста
Да конечно... прям так и «должен». Это третья причина, которая встречается повсеместно, и она характерна уже для компаний любого размера. Вуз никому ничего не должен и никогда не был должен. Задача любого, в данном случае хорошего технического вуза — дать базовые технические знания, привить студенту системный подход и приучить его самостоятельно мыслить и исследовать интересную ему тему. Не более того.

Остальное уже зависит от студента и его будущей профессии — от той предметной области, в которой он станет специализироваться, начиная примерно с третьего-четвертого курса. И, как показывает опыт, наилучшим образом подобная специализация студента проходит именно в компании, на практике. Она в принципе невозможна в вузе — там решаются иные задачи. И здесь мы повсеместно видим типовую проблему —компании не намерены заниматься студентами. Они хотят сразу же получить с рынка готового специалиста, а не учить годами практиканта, поэтому вкладываются в «короткую», а не в «долгую» позицию. 

Вывод: Все эти «объективные трудности» не более чем неудачная попытка объяснить полное неумение работать и оправдать провал своей HR-службы. 

Часть 2. О хакерах

А теперь перейдем к родной теме: можно ли компаниям брать на работу хакеров? Я недаром уделил так много времени первой части. Почему? Да все просто: на самом деле нет особой разницы, какой технарь вам нужен «айтишник» или «ибэшник». Всему виной мифы пугливых работодателей о хакерах, обладающих неведомой силой и тянущихся к «темной стороне». Все это чушь. Безусловно, поиск технарей, обладающих знаниями и опытом в поиске уязвимостей, имеет свои нюансы, но в целом ничего принципиально нового здесь нет.

Хакер: исследователь или криминал?
Не без помощи СМИ термин «хакер» с годами, к сожалению, приобрел негативную криминальную окраску. Изначально в конце 80-х под этим термином понимался исследователь, занимающийся изучением безопасности различных системы и поиском в них уязвимостей, а не представитель криминального мира, который противозаконно взламывает системы в корыстных целях, воруя деньги или получая доступ к тайнам различного рода и продавая их конкурентам или спецслужбам. Первый миф, распространенный среди работодателей непрофильных компаний (которые не оказывают профессиональные услуги по анализу защищенности): хакер равно криминал. Забудьте эту средневековую чушь — выбросьте из головы раз и навсегда. Выбор, на какой стороне закона ты будешь в мире ИБ, никоим образом не отличается от всего остального мира. Тем более сегодня, когда молодым людям хватает возможностей использовать свои хакерские навыки в благих целях для своего работодателя. Процент криминально настроенных личностей в ИТ и ИБ не выше, чем среди других специалистов. Вы же не боитесь нанимать на работу биатлонистов или борцов с их специфичными навыками и при этом не планируете использовать их по прямому профилю. Так какой же смысл бояться нанимать хакеров (везде в данной статье — исследователей, а не криминалов!), у кого есть другие специфичные навыки, ради которых вы их и нанимаете. Просто проверьте, как и любого другого соискателя, на наличие криминального прошлого, а еще лучше — настоящего, поскольку прошлое далеко не всегда показательно. Один мой близкий друг в свое, достаточно уже давнее время, по молодости, два года отсидел на Западе в тюрьме по обвинению в кардерстве. Правда, был в итоге признан невиновным из-за нехватки улик. Вернувшись в РФ, он честно признался на собеседовании первому работодателю (именно в области ИБ) о своем прошлом и был взят на работу. Сейчас, по прошествии более 10 лет он известный на рынке топ-менеджер, который успешно работает директором одной из крупнейших в России компаний в области информационной безопасности и с улыбкой вспоминает свою «боевую» молодость. 

Поэтому надо всегда четко понимать и помнить, что процент преступников среди специалистов, обладающих хакерскими навыками, не выше, нежели процент наемных убийц среди, например, биатлонистов или боксеров. 

Скорее тут надо думать совершенно о другом, планируя непрофильной компании нанять такого специалиста в штат. Так нужен ли вам в штат хакер; что он будет делать каждый день; кто его будет контролировать — вот основные вопросы, которые действительно должны волновать компанию, а не мифическая склонность хакеров к криминалу. 

Достаточно ли у нас хакеров?
Сегодня более чем. Дело в том, что за последние годы хакером (исследователем!) стало модно быть среди молодежи. Точнее, мы сделали это модным благодаря планомерной работе в течение последних пяти лет. Почувствуйте разницу между «стало» и «сделали». Ничего не происходит само собой и просто так (это в том числе и к вопросу о долговременных HR-стратегиях из первой части). Говоря «мы», я в данном случае подразумеваю, прежде всего, очень ограниченный круг буквально из нескольких компаний, существующих на этом рынке, пристально интересующихся хакерской темой и вынужденных развивать ее как основной бизнес. Побочным, но четко прогнозируемым эффектом от развития темы стало появление большого числа молодых специалистов, интересующихся данным направлением и желающих развивать свои хакерские навыки в рамках работы на компании. Дело за малым — дать им работу по профилю!

Нетрудно догадаться, что одним из основных способов популяризации и формирования хакерского комьюнити среди молодежи и направления его в правильную, некриминальную сторону является проведение некоммерческих технических конференций, посвященных исследованиям защищенности всевозможных информационных технологий. Все, что обсуждается открыто и не имеет шлейфа подпольного андеграунда, — все это идет на благо общества. Подобные конференции широко проходят на Западе, и три года назад мы решили сделать свой аналог — российский Black Hat. Именно такой мы попытались сделать ежегодную хакерскую конференцию ZeroNights, которая в текущем году прошла в России уже в третий раз и собрала более 1000 человек (в прошлом — чуть меньше 600). Одна из целей конференции — познакомить хакеров и бизнес, дав бизнесу нейтральную, и что крайне важно, не привязанную к какому-либо одному корпоративному бренду единую площадку для общения с хакерами (технарями) и... правильно, хайринга способных технарей. 

А как у вас в Digital Security?
Я не хотел останавливаться на данной теме, но по просьбе редактора кратко отвечу на вопрос: «А как у вас со всем этим и не без сапог ли сам сапожник?» 

А у нас все хорошо. У нас нет описанных выше проблем. Точнее есть, но они совсем другие, связанные со сложным, но приятным выбором лучших из лучших. Да, мы нанимаем хакеров. Да, мы выбираем лучших из лучших — мы можем себе позволить искать как уже готовых звезд, так и будущих. Мы берем их, как берут алмаз без огранки, и делаем из них бриллиант. Да, мы приглашаем студентов, в том числе и младших курсов, и годами готовим их, выращивая из них эксклюзивных специалистов. В частности, большинство из нынешнего нашего технического руководства пришли в компанию много лет назад студентами 4-го курса. Да, все без исключения наши технари самым буквальным образом погружаются в специально созданную и годами культивируемую исследовательскую атмосферу компании с целью выявления, развития и совершенствования их наиболее сильных и перспективных творческих качеств. Наш исследовательский центр ведет большое количество как коммерческих, так и некоммерческих исследований, и каждый найдет возможность, где именно себя проявить (от поиска уязвимостей в ERP до взломов АСУ ТП-шных контроллеров). Причем исследованиями занимаются все наши хакеры вне зависимости от того, к какому отделу они принадлежат – это специально стимулируется и культивируется в компании. 

В результате принятой нами в 2007 году программы развития собственных исследований и постоянного культивирования специфичных знаний, мы, с одной стороны, обеспечиваем постоянный процесс передачи знаний между поколениями исследователей внутри компании, развивая тем самым как будущих, так и уже сложившихся специалистов — звезд в своем деле. А с другой стороны, имеем возможность быть на острие современных хакерских технологий со всеми вытекающими отсюда последствиями для наших продуктов и услуг. Потому что все, что нами делается, не просто хобби — все нацелено в итоге именно на клиентов и их потребности. Хотя, и это для нас самое главное, все, что мы делаем, прежде всего, наше хобби и любимое дело, за которое нам еще и платят деньги. Нам в этом плане повезло, ведь с точки зрения технаря хакерство — абсолютно фанатская деятельность, совершенно иное мышление и часто стиль жизни. 

И в завершение

Хакер всегда ищет уязвимости и не столь важно в чем именно – это, прежде всего, совершенно иной склад ума, замешанный на критичности и творчестве. Хакер – это прежде всего в крови. Говоря об этом, я часто вспоминаю слова Айртона Сенны: «Racing, competing is in my blood», — у хакеров все тоже самое.  

Не надо бояться хакеров. Учитесь понимать их и работать с ними. Ставьте им интересные задачи, и они ответят вам взаимностью. Главное, повторюсь, четко понимать, зачем вам хакеры и что хакер — это прежде всего состояние души и образ мысли. Да, хакер при желании может работать в любой области, от админа до программиста. Другой вопрос, хочет ли. Пока он молод — есть шанс слепить из него кого угодно. Потом, когда он станет настоящим хакером — будет поздно. Настоящий хакер всегда хочет быть именно хакером. Это надо понимать и помнить. 

Опубликовано 20.12.2013