Блог про кібер, біг та медитацію
Друга частина інтерв’ю YouTube-каналу Perceptron. Говоримо про кіберкримінал, корпоративну та національну кібербезпеку, та як розпочати кар’єру в цій галузі.
Друга частина інтерв’ю YouTube-каналу Perceptron. Говоримо про кіберкримінальну економіку, корпоративну та державну кібербезпеку, та як розпочати кар’єру в цій галузі.
Продовжити читання “Інтерв’ю каналу Perceptron. Частина II”В завершальному четвертому дописі серії я рекомендую такі твори: Eat and Run by Scott Jurek, Atomic Habits by James Clear, Range by David Epstein. А також книги, які не увійшли до жодної з категорій.
Це завершальний допис з серії читацьких рекомендацій за 2020 рік. В попередніх дописах я розповів про книжки з кібербезпеки, науково-популярну літературу та наукову фантастику. В цьому пості я завершу серію відгуками про книжки, які найбільше вплинули на моє уявлення про людей.
By: Scott Jurek, Steve Friedman
Скотт Джурек це один з найуспішніших та найвідоміших ультрамарафонців нашого часу. Якщо ви захоплюєтесь бігом та почитуєте трохи на цю тему, ви можете пам’ятати його з книги Крістофера Макдуґала “Народжені бігати”, яка раніше вийшла в українському перекладі. Скотт – один з центральних персонажів того бестселера та автор цього.
Продовжити читання “Рекомендовані книжки прочитані у 2020. Частина IV: особистий розвиток”Другий день зачитуюсь в Kostiantyn Korsun в коментах, як люди без жодного професійного сертифіката з кібербезпеки дискутують про їхню потрібність чи непотрібність. Чесно, думав що ці часи в минулому, але ніколи не кажи ніколи. Тому спробую пояснити свою позицію, яку я напрацював у глобальному диспуті на цю тему. Адже ні для кого не секрет, що українська спільнота кібербезпеки переживає ті самі срачі, що й західна професійна тусовка, але із запізненням в 5-7 років.
Отже, по-перше: професійні сертифікати з кібербезпеки не мають стосунку до вендорських сертифікатів. Навіть якщо вендор з кібербезпеки. Навіть якщо сертифікація дуже об‘ємна, іспит складний, та вимагає неабиякого практичного досвіду. Сертифікати вендорів – це артефакти системи контролю якості доставлення їхніх продуктів та сервісів уздовж ланцюга постачання. Іншими словами, щоб некваліфіковані та недосвідчені люди не стали на перешкоді бізнес-моделі вендора. Фарбу там не подряпали, не в ту розетку штекер не встромили тощо.
Звісно, я тут трохи накидую на фен, адже топові вендорські сертифікати вимагають фундаментальних знань з базових технологій, системної інженерії, архітектури тощо. Але колись давно я мав задачу в рекордні терміни провести близько 50 співбесід з потенційними архітекторами безпеки, половина з яких була обвішана шпалерами з логотипами Cisco, IBM, RSA, Microsoft, CheckPoint, McAfee… Я мав тоді на ці заходи дуже небагато часу, тому моїм першим питанням було: «Існує 10 фундаментальних принципів побудови захищених систем. Назвіть 3 з них». Таким чином я відфільтровував для продовження співбесіди 2 з 10 кандидатів.
По-друге, професійні сертифікати з кібербезпеки відрізняються між собою просто драматично. Є дуже базові, є середнього рівня, є такі що цілком підходять для вивчення самостійно, а є такі що здобуваються дуже нелегко та вимагають спеціального навчання.
По-третє, і в цьому головний прикол, – всі вони після отримання здаються не такими вже й цінними. Це нормальна реакція мозку людини, і основа цього явища пояснюється неврологічними процесами, які я навряд чи зможу зараз описати. Підкреслю лише, що довга та виснажлива робота винагороджується досягненням мети, та з часом і досягнення здається не таким вже й героїчним, і робота – не такою вже й важкою. Всі наші рішення, вчинки, помилки змінюють нас. І сьогодні, з висоти цих змін, наші минулі дії, думки та емоції виглядають по-іншому. Ми можемо посміхнутися, згадавши минулі страхи, зніяковіти, пригадавши минулі слова та вчинки, та без особливої гордості сприймаємо професійні здобутки. Здав і здав.
І ми не маємо манери приховувати ці думки від наших колег, які з того цілком логічно роблять висновки, що нічого складного та цінного в сертифікатах немає. Бо так сказала людина, яка пройшла квест з отримання того папірця. Тут немає нічого неприродного – людина, яка не має уявлення про предмет, спирається в його сприйнятті на досвід людини, яка має про предмет повніше уявлення. Ось і маємо, що несертифіковані спеціалісти «перестрибують» ментальний бар’єр та «зрізають» до результату, яким з ними поділилися інші. Але при цьому вони все ще не мають уявлення про те, що говорять, бо формулюють запозичені погляди, у формуванні яких не брали участі.
Я в жодному разі не стверджую, що люди без професійних сертифікатів не повинні обговорювати їхню відносну цінність. Люди можуть обговорювати все, що заманеться, якщо в них на те є час та натхнення. Просто годі сподіватися, що в результаті цих обговорень вони домовляться про щось конструктивне. Їхні аргументи лежать в площині, яка паралельна дійсності: вони можуть запозичити факти та переказати їх зі слів очевидців, але не мають змоги оцінити їхню справжність. Це теорія без експериментів, бодай подумки.
Саме тому я в певний момент прийняв рішення не обговорювати цінність сертифікатів із колегами, які їх не отримали. А з тими, хто їх має, залюбки пліткую, кепкую з ляпів в програмах навчання, та навіть жартую про їхню зарозумілість, безглуздість та відірваність від реальності. Можемо навіть зібратися якось після завершення чергового трирічного циклу та спалити наші CISSP/CISA/CISM тощо, хто зі мною?
Шкода, що деколи ці наші балачки чують ті, хто не в темі.
P.S. Тут напевно буде доречним вказати, що автор цього допису володіє CISSP, CISA та OSCP. Я, також, мав змогу отримати SCSA (Sun), CCNA (Cisco), CEH, та ISO27001LA, але продовжувати їх не став. Це може щось вам сказати про перші три згадані ачівки, але то вже зовсім інша історія.
Багато хто вважає, що спеціалісти з кібербезпеки — переважно інтроверти та соціофоби. Що ніби то ми рідко з’являємось на людях та всіляко намагаємось уникати контактів із незнайомими людьми. Все це чиста правда.
Особсито я не вважаю, що це професійна деформація. Як на мене, то в цю професію просто частіше потрапляють люди з певними особистими якостями. Як то спроможність довший час зосереджуватися на складних аналітичних задачах. Або відсутність довіри за замовчуванням до незнайомців. Звісно ж, переважно не на користь стосункам з іншими людьми.
Одним з поширених явищ в нашому професійному середовищі є різного роду тривожні розлади. Оці всі приколи про параною та поінформований реалізм — вони не просто так, тут є серйозне підґрунтя. Вміння прогнозувати події згідно з найгіршими можливими сценаріями — це одночасно і дар, і прокляття. Тому що воно неодмінно переноситься із професійного життя в особисте.
Тому не пишіть спеціалістам з безпеки “привіт”.
У нормальних людей як прийнято. Треба вам поспілкуватися із знайомим, з яким ви це робите не дуже часто, скажімо, рідше разу на місяць. Відкриваєте ви скайп, чи месенджер, чи телегу, чи в чому ви там ще ризикуєте здоров’ям. І пишете співрозмовнику одне слово: “привіт”. І чекаєте на відповідь, щоб зрозуміти, що вас “слухають”, а потім продовжити розмову. І це типу нормально і нічого страшного тут нема. Якщо у вашого респондента немає тривожного розладу. В противному випадку знаєте що буде? Я вам розповім.
Між вашим першим “привіт” та продовженням тиради, в голові вашого співрозмовника промайнуть щонайменше 5 сценаріїв кінця світу. Я трохи перебільшую, але не дуже. В цьому випадку фантазія скоріше шкодить, а вона там є і неабияка. І працює вона над генерацією катострофічних версій-пояснень щодо вашого звернення, апокаліптичних варіантів розвитку подій, та стратегій боротьби з ними. Короче, ви такі “привіт”, він такий “привіт (А-а-а! Шо сталося! Навіщо він мені пише? Точно якась біда!)”, а ви такі “як справи?”
Мораль. Не пишіть “привіт”. Вітайтеся та одразу — в тому ж самому повідомленні — повідомляйте про зміст вашого звернення. Це збереже вашому знайомому спеціалісту з кібербезпеки купу нервів. В противному випадку, він почне просто ігнорувати ваші беззмістовні вітання. Ну або навчиться контролювати свою тривогу, підкорить емоції та свідомість, досягне просвітлення та більше ніколи не буде з вами спілкуватися. А воно вам треба?
tl;dr: Особисто я твердо впевнений, що будь-які професійні контакти з російською індустрією інформаційної/кібербезпека повинні бути виключені до завершення окупації території України, включаючи Донецьку та Луганську області та АР Крим. І це не моя особиста думка чи політична позиція, це результат розв’язання морально-етичної дилеми за допомогою простого та доступного інструменту, про який нижче.
Або чому я не відвідую російські конференції з кібербезпеки
Останнім часом у нас в “узком кругу ограниченых людей” регулярно виникають дебати, правильно це чи не правильно в умовах конфлікту співпрацювати з російською індустрією інформаційної безпеки, споживати послуги або товари російського походження, продавати послуги російським компаніям (включаючи їхні українські активи) та, що найчастіше, відвідувати російські конференції з інформаційної безпеки. Нормальні люди можуть порівняти цю вічну драму з більш широко обговорюваними гастролями українських “зірок” на території країни-агресора та отримування ними від неї музичних премій.
На вищому рівні все зводиться до того, чи повинні професійні інтереси враховувати політичну ситуацію. В цьому місці думки розходяться: одні вважають, що професіонали “внє політікі”, тому заради світлого майбутнього, розвитку технологій та бла-бла-бла треба стулити пельку та продовжувати співпрацю. Інші ж впевнені, що відчуження від Росії має бути повним та абсолютним: жодних контактів, включаючи професійні, а хто проти — той зрадник та колабораціоніст. Звичайно, я тут трошки навожу різкість на крайніх випадках, є напевно щось посередині, але я думаю загальну картину ви вловили.
Якщо ви мене знаєте давно та близько, то ви в курсі, що я зарозумілий та пихатий мораліст, якого краще не питати про такі речі. Але, що дивно, навіть добре знайомі люди питають, і то регулярно. Тому, як то кажуть дописувачі Фейсбуку, “я просто залишу це тут”.
tl;dr: Особисто я твердо впевнений, що будь-які професійні контакти з російською індустрією інформаційної/кібербезпека повинні бути виключені до завершення окупації території України, включаючи Донецьку та Луганську області та АР Крим. І це не моя особиста думка чи політична позиція, це результат розв’язання морально-етичної дилеми за допомогою простого та доступного інструменту, про який нижче.
Але спочатку трохи про себе. До середини 90-х, тобто 15 років життя, я прожив на території РФ, спілкувався виключно російською та десь до 20 років вважав себе носієм “східнослов’янської” культури, вірив в братство народів тощо. З 2005 по 2007 я працював у російській компанії, причому не просто в її українському відділенні, а з відрядженнями, часто довготривалими, у найвіддаленіші куточки СНД. Далі, я двічі виступав на досить масштабній конференції з кібербезпеки PHDays, за деякими оцінками найбільшій в регіоні. Я це все розказую, щоб не залишалося сумнівів: я знаю, про що йде мова, і у 2014-му мені довелося багато з чим розпрощатися.
Тепер про інструмент. Є таке поняття, система цінностей. Для багатьох воно суто віртуальне, але якщо розібратися, то все до смішного просто. Є а) цінності та б) їхні пріоритети.
За прикладом далеко ходити не треба: західні, більш відомі як європейські, цінності. Вони складають основу культури т.з. “міжнародної співдружності”. Якщо спрощувати, то це Європа, Північна Америка та країни, які мають з ними тісні культурні зв’язки. Цінності та порядок їхнього пріоритету у цивілізованої західної людини виглядають так:
Або, якщо розгорнути:
Як бачите, цінності розташовані в певному порядку, який показує пріоритети між ними. Ці пріоритети важливі в ситуації, яка називається моральною дилемою: коли дві та більше цінності конфліктують одна з одною. У таких випадках, пріоритети використовуються для розв’язання дилем: цінність з вищим пріоритетом (в нормальних умовах) має бути реалізована, а цінність з нижчим пріоритетом — пригнічена. Така поведінка називається моральною або принциповою, а прямо протилежна — аморальною або дефектною.
Якщо я вас вже заплутав, то ось спрощений варіант, який набагато практичніший.
Розберемо приклад. Або два.
Скажімо, ви — рядовий армії, який “вміє працювати з комп’ютером”. Сидите в аналітичному центрі, слідкуєте “щоб скрізь порядок був”. Аж раптом натрапляєте на засекречений, але не дуже захищений відеозапис розстрілу репортерської групи з борту армійського гелікоптера. Ваші дії? Керуючись цінностями, які у вас закладені з вихованням та формуванням особистості, в тому числі тією ж армією, ви чітко усвідомлюєте, що з одного боку — треба бути хорошим громадянином: розголос цього інциденту вочевидь не на користь вашій державі. Але з іншого боку — треба бути хорошою людиною: розстріл мирних та неозброєних людей, навіть через тактичну помилку, має бути публічно прийнятий та розслідуваний, а винуватці — покарані. Деякий час хороший громадянин та хороша людина всередині вас сперечаються, але людина перемагає. І ви виносите відео з дата-центру, передаєте його в Вікілікс, вас заарештовують, обвинувачують та відправляють за ґрати на термін “до 35 років з правом на помилування”. Аж до поки інша людина не згадує про те, що вона теж ніби хороша, і треба вас помилувати поки президентський термін не скінчився.
Або не так радикально: припустимо, що ви — аудитор, який робить перевірку фінансової звітності. Сидите у клієнта в офісі, в якомусь тихому куточку, звіряєте звіти з фактами. І тут оба-на: бачите ознаки величезної фінансової махінації, про яку, схоже, ніхто крім вас та її організаторів в топменеджменті клієнта не здогадується. І для вас очевидно, що постраждали тисячі міноритарних акціонерів, до того ж держава не отримала мільйони податків в бюджет. Ваші дії? Високоморальний носій західних цінностей, звичайно ж, поставить інтереси суспільства та держави вище за інтереси роботодавця. Зв’яжеться з журналістами та контрольними органами та повідомить про зловживання. Скоріш за все, буде звільнений за порушення угоди про нерозголошення, але зможе (звичайно, у цивілізованій західній країні) успішно оскаржити звільнення в суді, отримати матеріальну компенсацію та розпочати власний бізнес або іншу кар’єру.
Отже, усвідомлюєте ви це чи ні, цінності у вас є. Вони є у всіх, тому що суспільство їх в нас вкладає з народження і до смерті. Цінності — це основа культури, яка об’єднує людей у нації та цивілізації. Та відповідно до відмінностей в системах цінностей ми розділяємо цивілізації: на європейську, азійську, африканську, латиноамериканську тощо. В одній з них може домінувати цінність людського життя, в іншій — інтереси держави, ще в одній — родинні інтереси тощо.
У східній культурі, наприклад, інтереси суспільства та людини зазвичай знаходяться нижче інтересів держави та роботодавця. Не тому, що це результат репресій та деспотизму, ні. Просто це інша культура, інша система цінностей, яка так само як європейська виникла як еволюційна відповідь на виклики часу та в решті решт виявилася оптимальною для сталого розвитку цивілізації. Так, деякі “культурні особливості” східної цивілізації європейцям можуть здаватися аморальним або абсурдними: культури різні, цінності різні. І те, чого ми можемо вимагати від носіїв спільної з нами культури, ми зазвичай не можемо й очкувати від аутсайдерів. Є теорія, що в результаті розвитку цивілізації невідмінно приходять до ідеалів гуманізму, але це вже інша тема.
Отже, повертаючись до питання правильності чи неправильності співпраці з Росією в професійній та діловій площинах. Я розумію, що це може віддавати популізмом в дусі “не за це стояв Майдан”, але на мою думку Україна чітко та виразно дала зрозуміти, якої системи цінностей вона дотримується та до якої цивілізації тяжіє. У такій культурі інтереси держави та суспільства стоять вище за професійні та кар’єрні цілі. І якщо розпрощатися з російським роботодавцем це не завжди швидко та легко, а деколи й суперечить інтересам сім’ї, то принаймні закрити для себе питання участі в професійному житті держави-агресора дозволити собі може кожен. А якщо ні, то постає ціла низка питань, відповіді на які майже ніколи не бувають на користь співпраці з такими елементами.
Звичайно, розв’язання морально-етичних дилем — це не єдине застосування системі цінностей. Якщо тема вас зацікавила, можете проаналізувати як культурні пріоритети використовуються в переговорах (фрейм моральної переваги) та насадженні бізнесової корпоративної культури (розвиток суспільних груп в трудових колективах).
Бережіться.
