Произойдет переломный момент, и все поймут, что живут в "доме со стеклянными стенами"От Hard Skills к Helicopter View

– Виталий, как давно вы в информационной безопасности?
– В какой-то мере я в ней старожил. Это карьера, которая длится уже больше двадцати с лишним лет. Свой путь в информационной безопасности я начал с четвертого курса университета. В то время меня как одного из отличников среди перспективных студентов пригласили работать в банк, а диплом я писал, уже будучи директором по безопасности крупнейшего регионального банка в Азии. То есть карьеру я начинал с самых основ, когда главная функция информационной безопасности сводилась к содействию айтишникам. Тогда у нас было 200 филиалов, внушительная инфраструктура. В рамках финансово-промышленной ассоциации в банке мне было подчинено все, начиная с инкассации и заканчивая секьюрити, информационной безопасностью, экономической, внутренней безопасностью, и еще многое другое. Так что я выходил из структуры, уже создав крупное управление информационной безопасности. Потом карьера, конечно, складывалась по-разному. Но во всех компаниях, даже там, где я занимался коммерческими вопросами, была цель – стать руководителем. Это моя мечта детства, и таким было желание моего отца, а именно он меня воспитал. Это было сугубо мужское воспитание. Я должен был перерасти отца, деда, и поэтому всю жизнь стремился стать руководителем. И поэтому прежде всего я – профессиональный управленец, а уже во вторую очередь – безопасник. Во всех компаниях, в которых дальше работал, так или иначе соприкасался с вопросами безопасности, просто потому что был носителем определенных знаний, подходов, видения. И даже будучи коммерческим директором или генеральным директором в каком-то бизнесе, я всегда замыкал на себе вопросы безопасности.

– Можно сказать, что вы достигли редкого сочетания, когда личные устремления совпадают с карьерными возможностями?
– Безусловно. Есть такое выражение: очень хорошо, когда тебе платят за хобби. Я могу похвастаться тем, что работаю только в компаниях, в которых очень хочется идти на работу. В частности, и здесь. Безопасность – это не единственная моя задача в HeadHunter. Я разносторонний человек. За мной закреплено четыре направления. Первые два – это Government Relations и безопасность. Еще я управляющий партнер представительств компании в Центральной Азии и на Кавказе, это созданные мной детища, которые я вывел на рынок. К тому же я веду специальные проекты – НИОКР. К ним относятся специфические исследовательские задачи, иной раз достаточно редкие и нетривиальные, которые другим департаментам отдавать невыгодно, потому что они сфокусированы на коммерческих проектах.

– Как вы формировали свой стиль управления и подход к информационной безопасности?
– Во-первых, по классике: у меня были хорошие учителя. Во-вторых, в рамках информационной безопасности, начиная с первого места работы, я прошел мощнейшую школу силовых структур. В то время в безопасности специалистами были выходцы из разведки, тогда еще советской школы КГБ. То есть в моем подчинении, например, когда была экономическая безопасность, находилось 40 человек в звании не ниже подполковника и выходцы из структур. Естественно, с максимально прокачанными навыками на тот момент. Они могли многое, начиная с навыков неинструментальной детекции лжи и заканчивая знанием ИТ-подходов. Это были так называемые Hard Skills – база, которая дала знания и обучила правилам управления. А потом, работая там же в банке, я познакомился с компанией "Информзащита" и прошел у них одно из своих первых обучений в рамках информационной безопасности, ну и многие другие, например сертификацию компании Cisco c разным классом продуктов. В дальнейшем на мое формирование в качестве безопасника, безусловно, очень сильно повлияли знания, связанные с управлением, потому что управленческая школа у меня тоже очень специфичная. Я даже не в состоянии перечислить количество людей, которые приняли участие в формировании меня как управленца. Однако отмечу, что очень многое во мне, именно как в управленце и безопаснике, сформировала Александра Игоревна Кочеткова, потому что она дает такой материал, как "Теория управления в условиях хаоса", в котором основным принципом является гибкий отклик на входящие изменения, а также бизнес-школа "Самолов" как школа регулярного менеджмента. Для себя я просто вывел парадигму и верицифировал ее через большое количество коллег из компаний – лидеров отрасли. Они выстраивают безопасность совершенно иначе, уже не классически в виде "забора". Разворачиваются лицом к бизнесу, помогая осуществлять бизнес-процессы с момента их старта. В конечном итоге безопасность превращается в бизнес-юнит, что-то вроде отдела управления рисками, и занимается хеджированием, управлением, митигацией, то есть снижением/увеличением разных вероятностей риска. Это такой достаточно интересный интеграционный подход, когда безопасность в какой-то мере каннибализирует процессы внутри компании или становится структурой, интегрированной в другие подразделения, и ее основной задачей уже являются не запрет, не ввод регламентов, правил, ограничений, а скорее поиск решений. А чтобы бизнес был более эффективным, более устойчивым к внештатным ситуациям, используется предиктивная аналитика. Самый простой пример: если мы какую-то информацию добыли раньше, так как мы обладаем каналами связи, а бизнес на эту информацию вовремя среагировал, то в процессе мы можем принять другое решение. Можно рассмотреть на примере системы антифрода, которую используем. Мы смотрим на поведенческую аналитику пользователя, если она каким-либо образом отклоняется, тогда информируем соответствующий департамент, и они начинают создавать уже другие продуктовые решения. То есть мы влияем непосредственно на их работу. Не запрещаем, не говорим, что, мол, ребят, у вас тут плохо. Это неконструктивно и бессмысленно. Мы все-таки не военная структура, а коммерческая и немного иначе должны себя вести. Хотя опыт, в том числе силовых структур, он, безусловно, ценен. Иногда нужно уметь сказать нет, но стараться не бравировать этим. На мой взгляд, запреты – это второстепенная функция современных безопасников.

Если они хотят выжить, чтобы их не заменил какой-нибудь искусственный интеллект, то поддержу мнение, которое гласит, что те, кто сейчас становится операторами систем, то есть получают эти специализации, а именно операторы SIEM, операторы DLP и прочие, скоро станут не нужны. Разработки в области Artificial Intelligence и Machine Learning подводят нас к выводу, что весь алгоритмизированный труд будет заменен программами. Человек будет не нужен, либо необходимость в людях снизится радикально.

– Достаточно часто обсуждаются в кулуарах вопросы нехватки специалистов в области информационной безопасности. Как вы оцениваете ситуацию?
– Нехватка кадров актуальна не только на рынке информационной безопасности. Страна, если в качестве примера рассматривать Россию, очень быстро шагнула в следующее поколение технологических решений. Цифровизация уже наступила. На одной из конференций я приводил простой пример. Однажды, возвращаясь из аэропорта, я сел в такси и водитель меня удивил вопросом: "Виталий Анатольевич, вы же только что оттуда-то прилетели?" В свою очередь я решил поинтересоваться, откуда у него такая информация. Оказывается, в рабочих целях ему установили программу, которая нашла мое имя, подтянула мои соцсети, а они открыты и там есть мои фотографии, он все это просмотрел, изучил, проанализировал и говорит: "Вы устали, наверное, поэтому вот вам водичка". Сервис! Это и есть цифровизация. Или где-то в Москве покупаете яблоки у бабушки, а она просит по номеру телефона на Сбербанк перевести ей оплату. Это тоже цифровизация. То есть мы не заметили, как это произошло, но всем этим нужно управлять, все это нужно защищать. Многие не привыкли к тому, что мы живем в парадигме "дома со стеклянными стенами". Профессионалу про вас известно все, что попало в Сеть, и мало кто с этим может смириться, осознать. Многие рядовые пользователи пытаются защититься, закрывая аккаунты, например. Но полностью скрыть информацию о себе таким образом невозможно. Нужно совершенно по-другому выстраивать свое поведение, свои знания, внутреннюю ответственность и отношение к миру, принимая во внимание тот факт, что анонимность отсутствует. Это, в какой-то мере, философия безопасности. И, учитывая все это, бизнесы продолжают свое развитие в области информационных технологий, иной раз не очень удачно, но при этом бурно. В наше время происходит много событий. Если 20 лет назад все внедряли Microsoft Office, то сейчас все фирмы, даже производственные, внедряют искусственный интеллект. Системы становятся сложными, бизнес становится более высокоинтеллектуальным и цифровым, а талантов, которые могут с этими задачами не только справиться, но и двигать вперед, больше не становится. Как заявляют наши статистические ведомства, мы сейчас испытываем последствия двух демографических ям: послевоенную и девяностых. Людей меньше – компенсации не происходит. "Мозги" какое-то время вымывались из страны. Это действительно был большой отток, сейчас он, конечно, гораздо меньше. Но это все вызывает все более ощутимый голод на кадровом рынке. Да и само знание технологии не обеспечит компании эффективность и прибыль. Во-первых, нужен профессионализм в этих технологиях. Во-вторых, кроме Hard Skills, то есть практических навыков и знаний, начали придавать гораздо большее значение навыкам, которые называются Soft Skills, потому что многие знают технологии, но не знают, что с этими технологиями можно придумать, и ценятся люди, у которых есть это комплексное креативное видение. Скоро мы дойдем до ситуации, когда будет все больше сегментации в плане отбора сотрудников. Например, скоро на собеседованиях вас не будут спрашивать, знаете ли вы английский, вас спросят, какой у вас уровень английского. И так во всем. Возможно, я скажу совсем нелицеприятную фразу, но... Очень мало профессионалов в информационной безопасности! Настоящих профессионалов, которые бы переживали и болели за дело. Их единицы, и они часто не находятся у руля. Есть большой разрыв между знаниями про то, что такое безопасность, и реальным исполнением.

Мощнейших легендарных безопасников можно найти в крупных ИТ-компаниях. На них нужно равняться, у них нужно учиться, но в любом случае некоторым из них не хватает Soft Skills, поэтому они не могут вырасти во что-то, кроме суперкрутого специалиста.

– Раз уж мы коснулись в нашей беседе этого вопроса... На прошедшей конференции BIS Summit 2019 вы затронули тему, о которой все предпочитают молчать, цитирую: "Нанимаем мы специалистов по их Hard Skills, а увольняем мы их по личным качествам". В вашей практике были подобные случаи?
– Одна из моих компетенций – профессиональный рекрутер. То есть я учился нанимать людей, делать Research и грамотно проводить интервью. У меня великолепные учителя! Я все-таки работаю в HeadHunter. Ситуация до банальности проста. В 90% случаев основной проблемой рекрутинга является отсутствие понимания: а кого нужно найти? И почему-то всегда умалчивается, что личные качества иной раз важнее всего остального. А они важнее, потому что научить человека техническим компетенциям, особенно с развитием современного онлайн-обучения и доступа к информации, гораздо проще, чем научить человека быть человеком. Есть всего три самых важных качества в человеке, на мой взгляд, и они не меняются в течение жизни. Первое – ответственность. Если человек ответственный, то, даже не обладая какими-то знаниями, он найдет возможность их приобрести. Второе – целеустремленность. Человек без цели как корабль без курса. Такой человек может быть только исполнителем, он не сможет руководить. И третье важное качество – удовольствие от выполняемой работы. Если ходить на нелюбимую работу, то невозможно достичь суперэффективности. Вот по таким критериям я подбираю сотрудников. Во все свои команды, в том числе в безопасность, я людей подбираю лично, как говорится, поштучно. Именно они делают уникальную работу в компании, именно они никогда не говорят мне: "Я не смогу вот это сделать". Потому что это гиперответственные люди, которые стараются найти решение несмотря ни на что. Даже если способ решения проблемы будет ошибочным, важно, что у них всегда есть посыл – решить задачу. При найме я всегда фокусируюсь именно на Soft Skills. Опять же, потому что организовать обучение любому из своих сотрудников для меня не проблема. Если вы профессиональный рекрутер, то всегда будете подбирать людей с учетом их личных качеств.

– А какой совет по подбору персонала вы бы дали своим коллегам?
– Совет самый простой: сходите на курсы по рекрутменту. Потому что большинство безопасников на интервью выступает в роли цербера. Они не пытаются понять человека, не пытаются включить эмоциональный интеллект и смотрят только со стороны недостатков. У меня есть очень интересный вопрос, всегда задаю его на интервью и в беседах: а бывают ли идеальные сотрудники? Как правило, люди начинают перечислять различные качества: честный, исполнительный и прочее... А на самом деле идеальный сотрудник – это эффективный сотрудник. И у каждого руководителя свое представление об идеальном эффективном сотруднике. Именно поэтому стоит задача подобрать какие-то ценности, то есть Soft Skills. Если ценности совпали – вы одинаково понимаете ответственность, целеустремленность, удовольствие от работы, то никакого отрицательного результата быть не может. Коллеги часто зовут меня на собеседования, а когда я спрашиваю, что именно они ищут в кандидате, как правило, мне называют целый список Hard Skills, но позже выясняется, что самое главное – все-таки личные качества. Чтобы у человека было чувство юмора, в конце концов! Я, конечно, упрощаю, но суть примерно такая.

– Как вы относитесь к привлечению временных сотрудников в компании?
– Если грамотно организовать процесс, то удаленный сотрудник – это скорее выгодно, как некая новая реалия или современный формат работы. Сейчас выгодно следовать такому хайповому лозунгу: мол, давайте все работать из дома! А исследования показали, что рядовые сотрудники дома менее эффективны, чем на рабочем месте. Есть "звезды", которые могут работать из дома, не снижая работоспособность, но это исключение. Если смотреть со стороны безопасности, то накладывается дополнительная ответственность на работу с такими людьми и на работу информационных систем, которые этих людей контролируют. Хотя решения есть, это немножко сложнее, но любой компетентный человек находит для себя приемлемый вариант для минимизации рисков.

– По вашему мнению, что ожидает рынок информационной безопасности в ближайшие несколько лет?
– Однозначно будет усиливаться кадровый голод. Особенно он будет заметен в информационной безопасности. Новых людей, которые бы исповедовали новые подходы, обладали бы новыми знаниями, видением, пока еще мало. То есть прорыва в этой области еще не произошло. Но, мне кажется, он случится в ближайшее время. Многие компании делают курсы разработчиков, а вы где-нибудь слышали про школу безопасников?

– Нет.
– Вот это следующий шаг в борьбе с кадровым голодом. Должен быть инструментарий, который бы помогал коллегам решать эту задачу, потому что я считаю, что информационная безопасность проникнет во все сферы и станет неотъемлемой частью всех информационных процессов. Сейчас при слове "безопасность" у многих из нас возникают не самые приятные ощущения. Я думаю, что в дальнейшем информационная безопасность будет естественной частью жизни. Многим людям, особенно обывателям, нужно научиться соблюдать минимальную цифровую гигиену. Научиться понимать и разбираться в том, с чем постоянно взаимодействуют. Так или иначе, эти знания к людям все равно придут. Но роль информационной безопасности будет многократно увеличена. Появятся сервисные компании, которые будут решать обывательские проблемы и сокращать разрыв между технологиями и знаниями человека. Например, придет человек и попросит проверить его цифрового двойника. У всех он уже есть: это банковские карточки, профили в соцсетях и т.д. Некий цифровой портрет. Вот представьте, что этот портрет кто-то скопировал и действует от вашего лица по своему усмотрению... Поэтому роль информационной безопасности и в бизнесе, и в личной жизни приобретает все большее значение.

А еще я жду, когда произойдет переломный момент и обыватели поймут, что живут в "доме со стеклянными стенами", и начнут привыкать к этому. В соцсети создается закрытый профиль, якобы только для друзей. Серьезно? Подскажу самый простой способ попасть в закрытый профиль: завести профиль друга владельца этого закрытого аккаунта и спокойно к нему зайти. Рядовым пользователям стоит понимать и осознавать, какой цифровой контент они размещают в Сети, и понимать, что он может стать доступен третьим лицам для использования в своих целях. Все это породит создание множества новых бизнесов в информационной безопасности, работающих не только на корпорации, но и на защиту персональных цифровых двойников.

Важно понимать, что во всем мире цифровизация стала одной из самых обсуждаемых тенденций, при этом появится огромное количество цифровых сервисов, в том числе и государственных, а также появится большое количество новых информационных систем. Следовательно, количество инцидентов увеличится. В свою очередь, из-за этого изменится количество специалистов внутри систем, которые это обслуживают, в том числе со стороны безопасности. Все это нужно защищать, не создавая барьеров, делать удобным, понятным и безрисковым. Потому что лучше работать не с последствиями, когда уже сломано или утекло, а пытаться не допускать определенные рискованные ситуации.

Если рассматривать корпоративную безопасность, то в ней трендом будет то, что уже год обсуждается на конференциях, а именно: руководители безопасности должны быть интегрированы в структуры правления компаний, советы директоров компаний. Не для того, чтобы рассказывать о безопасности, а чтобы показывать, как те или иные решения по цифровизации и цифровой безопасности могут влиять на бизнес. Например, любой уважающий себя безопасник должен уметь работать со СМИ. Часто в СМИ выходит сомнительная информация, причем иногда из непроверенных источников. Вот если уметь работать с представителями СМИ, то можно не допустить появления такой информации. А это подразумевает совершенно другой подход к своей работе.

– Какой совет можно дать молодым специалистам, которые только выбирают себе направление дальнейшего развития?
– Я считаю, что особенно безопаснику, кроме знаний технологий, нужно максимально расширять кругозор. Поскольку важны Soft Skills, то любой безопасник может обучиться на курсах по продажам, курсах переговорного мастерства, курсах ораторского мастерства... Любой безопасник, который хочет лидировать в своей области, должен уметь коммуницировать с бизнесом. А как он сможет коммуницировать с бизнесом, если не может выступить хотя бы перед 10–15 людьми и продать им свою идею? Это не значит, что Hard Skills неважны. Грубо говоря, на первом этапе нужно хорошо изучить Hard Skills, а следующим этапом будет так называемое Helicopter View, то есть широкое изучение всего остального. Переговоры и продажи – это тот инструментарий, который должен быть у людей, занимающихся безопасностью. Безусловно, более высокие требования безопасность будет также предъявлять к фундаментальным знаниям профессионала, таким как математика, физика и т.д., потому что многое сейчас завязано на искусственном интеллекте и математике этих процессов. Рано или поздно произойдет изменение подходов. Мы живем в переломный момент. Если вы к этому не готовы, то вам придется искать новую профессию. Эксперт по безопасности должен очень быстро реагировать на все изменения, понимать их и даже пытаться предвидеть, он должен постоянно обучаться. На своем примере могу показать, что успел получить четыре высших образования. Учусь до сих пор, регулярно, у меня этот процесс поставлен на поток. Более того, я обучаю весь свой персонал. У нас проходят ежедневные тренинги по Soft Skills, по Hard Skills, мы вникаем в системы, разбираем кейсы. В связи с этим наши компетенции постоянно растут. Причем я стараюсь максимально быстро передать своим сотрудникам все, что изучаю сам. Мы тесно интегрированы в бизнес, поэтому поддерживаем любой департамент, который к нам обращается: находим решения, помогаем коллегам не совершать ошибок. То есть становимся неким консультативным органом, который влияет на бизнес-решения.

– Каковы ваши личные планы на ближайшее будущее?
– О, это очень личный вопрос. Если говорить именно о безопасности, то я хочу достроить то, что строю здесь.

В компании мне удалось с минимальным бюджетом выстроить уникальную эффективную систему защиты. Поэтому мне важно прежде всего исполнить свои обязательства перед компанией. Это чувства долга и ответственности, важные для меня самого. Я не могу построить кривую систему, я хочу построить идеальную в данных условиях. В ближайшем будущем, естественно, хочу получить новые компетенции: в области информационной безопасности мой взгляд обращен на все, что связанно с анализом больших данных, появлением искусственного интеллекта, с изменением поведенческих характеристик пользователей в рамках новой эпохи цифровизации.

– А что вы связываете с понятием "искусственный интеллект"? Насколько жизнеспособна сама идея его создания?
– Я не могу дать здесь прогноз, но я знаю, что есть такие понятия, как слабый и сильный искусственный интеллект. Чтобы оперировать этими понятиями, я был вынужден пойти и обучиться. Продолжая обучение в этом направлении, я ожидаю появления систем, которые могут имитировать слабый искусственный интеллект. Они пока еще не будут обладать самосознанием, но все-таки будут очень похожи по поведению на человека. Тест Тьюринга они пройдут. Для бизнеса важным фактором применения систем с искусственным интеллектом, как мне кажется, является умение системы автоматизировать принятие решений, в том числе и тех, которые человек не может принять вследствие отсутствия технического видения. Вы представляете, как изменится ландшафт информационной безопасности, когда появится целый класс систем, которые будут самостоятельно работать и принимать решения? Если рассмотреть на примере стандартного комплекса решений, который есть в каждой компании – Firewall, SIEM, DLP, антивирус – представьте, что вот это все без участия человека начинает принимать самостоятельные решения, причем безошибочные. И уже сейчас машины умеют учиться. Как уживаться безопаснику с этими системами? Тут же нужен совершенно другой подход, другая коммуникация. Специалист по безопасности в этой ситуации должен подняться над этими системами в профессиональном плане, чтобы уметь находить стратегические решения. Что касается искусственного интеллекта, обладающего самосознанием, то совсем недавно компания Google объявила о создании квантового компьютера. Так вот, эта машина умудряется за 3–4 минуты обработать алгоритмы, которые ранее при текущих мощностях и наличии суперкомпьютеров обрабатывались бы 150–200 лет. Я думаю, что тот момент, когда мы получим искусственный интеллект с самосознанием, очень близок по меркам жизни человечества. Причем моя позиция, как и моих учителей в этом вопросе, очень простая: никакого "терминатора" не будет. Представьте себе сущность, которая обладает мощнейшим расчетным потенциалом, а между прочим даже обычный компьютер и так считает лучше человека. Если действительно появится сильный искусственный интеллект, обладающий самосознанием, скорее всего мы в контакт с ним не войдем. Мы будем ему неинтересны. Его мощность, умение обладать всем объемом накопленных знаний одномоментно, и уровень задач и целей будут настолько далеки от человечества и наших мелких забот, что ему просто неыгодно будет с нами коммуницировать.