Привет, Хабр! Меня зовут Анна Шабалина, и я работаю в Swordfish Security. Мы с вами продолжаем рубрику #досугбезопасника. Идея этой статьи была подсказана одним из героев прошлого материала «Соревнования Capture The Flag (CTF) и все, что вы о них еще не знали». Эксперт обратил внимание на то, что и организаторы, и участники хакерских соревнований находятся под сильнейшим прессингом из-за возложенной на них ответственности, желания победить, жажды признания и т. д. Цена ошибки здесь крайне высока, как и в других активностях, связанных с анализом защищенности. Многим интересно, как же ребята отдыхают, на каких тусовках знакомятся и общаются в свободной обстановке, для чего еще нужны мероприятия для безопасников, как себя на них вести, чтобы извлечь максимальную пользу. Обо всем этом мы и поговорили ниже.
Статья традиционно длинная, заготовьте чашечку кофе.
Интро
Тусовки – полезный инструмент как для работы, так и в целом для жизни. Если вы открытый к общению человек, а не «стоите у стеночки на дискотеке», у вас получится завести много полезных связей. Тусовки бывают разными и по формату, и по содержанию – всё зависит от организаторов и гостей. В статье мы поговорим о более-менее крупных мероприятиях, официально организуемых компаниями для поддержки общения с клиентами и популяризации кибербезопасности в целом. Также затронем встречи с коллегами с общими интересами на независимых площадках.
Подготовка статьи заняла у нас продолжительное время - почти два летних месяца, но зато в процессе создания статьи нам удалось побеседовать сразу с несколькими выдающимися завсегдатаями профессиональных тусовок и известными экспертами в отрасли, среди которых:
Денис Горчаков, директор по информационной безопасности социальной сети Одноклассники
Павел Куликов, экс-директор по информационной безопасности СДЭК
Юрий Сергеев, генеральный партнер Swordfish Security
Эти люди поделились с нами своим взглядами и забавными историями из жизни. Сразу же отметим, что эксперты смотрят на такие мероприятия по-разному, что как раз и позволяет собрать полную картину по теме. Участникам информация может помочь разобраться, как взять максимум от тусовок, а организаторам – на что обратить внимание в дальнейшей работе.
Выдержки из бесед
Как давно вы были на официальной тусовке (не сами собрались)? Что это было за мероприятие? Вас пригласили, или вход был со свободной регистрацией, когда любой желающий может прийти?
Денис: Недавно я был на Positive Hack Days в Парке Горького, участвовал в двух секциях по практике общения CISO с топ-менеджментом и во фреймворке по результативной кибербезопасности. Меня позвали сами организаторы.
Павел: Последний раз я ходил на PHDays как спикер, участвовал в 5 активностях: интервью, секция с журналистами, научпоп «Популизация» в формате слэма и еще что-то.
Юрий: Тоже PHDays. Был на интервью у РБК и участвовал в круглом столе.
Как часто проходят официальные тусовки для сотрудников ИБ? В каком формате? Какие люди туда приходят?
Денис: Мне кажется, календарь сформировался исторически – значимые мероприятия распределены равномерно по всем месяцам года, разве что летом чуть плотнее. Большинство тусовок имеют схожий формат: один или несколько треков с докладами, стенды вендоров, развлекательно-познавательные секции от организаторов или спонсоров. Поскольку сообщество ИБ небольшое, на конференции в основном ходят одни и те же люди.
Павел: В этом году масштаб PHDays был очень большим, пришло много людей, в том числе те, для кого инфобез не является профессиональной деятельностью. На мероприятии была крайне разношерстная публика. В бесплатной зоне в режиме TED’a обсуждались многие темы в рамках гиперслэма. А в вип-зоне мы говорили о безопасности в логистике, e-commerce. Очередь была сумасшедшая, я стоял в ней за компанию со своими знакомыми и заметил, что люди недоумевали: «Что я вообще здесь делаю? Хакеры какие-то». Тем не менее популяризация инфобеза нужна, и мне импонирует, что Positive Technologies (организаторы) решили провести мероприятие в парке – получилось собрать большую аудиторию. Но информационный охват, наверно, можно было сделать лучше.
Вернемся к календарю и посчитаем. В мае у нас CISO Форум. Он проходит в одном и том же месте уже лет 15 – маленькое камерное мероприятие. Также в мае – PHDays, летом до 2022 у нас был ZeroNights в Питере (на официальном сайте пока нет информации о ближайшей дате проведения), дальше – OFFZONE. Сейчас не знаю, давно не был, но вообще в Казани проходит IT & Security Forum. Один раз был, мне понравилось. В сентябре у нас Crib, очень узкоспециализированное мероприятие. В ноябре – SOC Forum. И, собственно, у всех конференций есть afterparty, где в суматохе дней получается увидеть знакомые лица, пообщаться, послушать последние новости и принять участие в вечеринке. Например, после частного мероприятия, организованного Kaspersky, было два кораблика: сам Kaspersky и Positive Technologies. Но всё, что происходит на корабликах, остается на корабликах [смеется]. На нашем люди разошлись в полпятого утра. Кстати, вот на днях пойду на интересное мероприятие, называется FuckUp Night. Люди встречаются и рассказывают о своих проколах со сцены. Шикарный формат, я считаю. Нам такое нужно среди ИБ-шников. Рассказывать о чем-то в анекдотичном формате проще.
Юрий: Павел перечислил, как мне кажется, все основные тусовки. На них ходят самые разные люди, но преимущественно это либо CISO, либо продвинутые специалисты, либо бизнес. Для молодняка в отрасли откровенно мало чего делается на данный момент.
Есть ли в сфере такое понятие, как уровень тусовки? Можно ли сказать, что есть «верхний эшелон» и «низкоранговые» мероприятия? Не могли бы вы привести пару примеров?
Денис: Кибербез – не фэшн-индустрия, дело не в уровне, а в составе и численности участников, качестве докладов. Очевидно, что у крупных и уважаемых мероприятий «на слуху» уровень требований при отборе докладов (CFP) будет выше, чем у небольших, там с большей вероятностью будут представители регуляторов, а экспертам интереснее рассказывать о своих находках на более широкую аудиторию. Я бы воздержался от навешивания ярлыков «первого» и «второго» сорта на конференции и митапы, потому что никогда не знаешь, где попадется классный спикер и интересная тема. Я читал первые доклады на кулуарных мероприятиях типа встречи московского чаптера DC (DC7499), а последний хорошо запомнившийся мне доклад был на неформальном «ИБ Митапе», таком vendor-agnostic мероприятии, организованном по принципу краудсорсинга.
Павел: Существует некая градация уровней тусовок. Есть такие маленькие сообщества вроде «дисишки», например DC8888, DC1355 и прочие. Это маленькие клубы по интересам, они собираются примерно раз в полгода или квартал, снимают бар, и там выступают эксперты по узким темам. А есть побольше – разные чаты по ИБ-шкам, например у Льва Палея. Там всё просто: примерно раз в квартал кто скинулся, тот и пришел на мероприятие. Тоже снимают бар, общаются, обсуждают всё. Такой самобытный формат, который самоорганизуется. Третий тип – локальные конференции и afterparty, сюда можно отнести тот же ПМЭФ. Там ты тоже тусишь, но просто с другими людьми. В этом году там были киберучения Ростелекома: 8 команд, сутки сидели. И в рамках этого Cyber-спринта с 10 утра до 6 вечера фоново проходили дискуссии. Я приезжал, Дима Гадарь, Сергей Солдатов и так далее. Дальше – международные конференции, сейчас их меньше: hack.lu, HackTheBox. Последний уровень – когда вендоры приглашают своих текущих или потенциальных заказчиков на собственные тусовки. Например, Ростелеком сегодня гуляет в Завидово, вот пока мы говорим прилетело приглашение от IBS, в начале июля Kaspersky Cyber Camp. Тут есть нюанс: если ты никудышный специалист, тебя никуда не позовут, если ты чего-то стоишь, тебя начинают звать везде. Либо с выступлениями, либо в зале пообщаться, либо в качестве оппонента на дискуссии. На мой взгляд, на рынке из мира инфобеза людей, которые могут нормально связать два слова, от силы человек десять. Я не беру сейчас «старую гвардию» вроде Шумского или Лукацкого. Из условного молодняка это Лев Палей, Денис Горчаков, местами – я, Леша Павлов из Ростелекома, Дима Гадарь, Слава Касимов, Сережа Голованов из «Каспера» – все, кто и так выступает.
Юрий: Конечно, есть уровни. Например, всякие частные тусовки, возникающие в чатиках, – это совсем андерграунд. Есть масштабные конференции, где всё официально. Хочется, чтобы было больше чего-то среднего, на стыке андерграунда и официоза, где как раз проще всего начать общение. Но опять же, важно целеполагание. Потому что местечковые тусовки из чатов для молодняка не подойдут – там люди говорят на «птичьем языке», и все друг друга знают. Большие официальные мероприятия далеко не всегда дают возможность для каких-то интерактивов. Сейчас появился формат speed dating, цель которого – перезнакомить участников, но сделали его немногие организаторы и в основном для бизнеса. Какие-либо ярлычки по уровню тут повесить сложно, поскольку аудитория на мероприятиях разная. И сами конференции год от года меняют свой масштаб. По крайней мере, в последние пару лет локдаун сильно повлиял на форматы и площадки проведения.
Какая тусовка была самой запоминающейся для вас? Почему?
Денис: Самое забавное, что у меня было: я разбивал спор уважаемых экспертов двух крупных компаний – кто из них в рамках «Проекта 69» (взаимное тестирование на проникновение лидеров рынка кибербезопасности) первым возьмет у противника доменного админа.
Павел: На PHDays был очень интересный разговор с Женей Волошиным. Мы стояли в начале очереди, где выдавали пропуска, нам нужно было попасть в спикерскую. Идем мимо очереди. По пути с нами здороваются лишь несколько человек. Говорю: «Жень, тебе не кажется, что мы старые [цензура], мы прошли 800 метров, а с нами никто не поздоровался. Нас узнало всего 6 человек!» Похоже, мы уже перешли какую-то грань молодежной тусовки и стали дедами в ИБ. Когда мы с Юрой [Шабалиным] стояли в закуточке, к нему подошло гораздо больше людей.
Самая крутая тусовка, на которой я был, не связана с ИБ вообще. Меня позвал один журнал лет шесть назад, на его тусовке выступал повар молекулярной кухни. Вот он там творил, и у него получилось маленькое желе со вкусом борща. Всё это в формате шоу, антураж прикольный. Меня это зацепило. Запомнилось.
А из инфобеза в целом прикольно, когда собирается после тусовки какой-то междусобойчик, который готов пойти куда-то душевно посидеть, где не надо слова подбирать: «Вас взломали? – Нас взломали, да».
Юрий: Мне кажется, все любят OFFZONE за душевность и уровень организации. Не знаю, правда, что думает по этому поводу молодежь. ZeroNights 2013-2014 был центром хакерской тусовки, этот стиль перенял позже и OFFZONE, а PHDays был более бизнесовым. ZeroNights в гостинице «Космос» на меня произвел впечатление чисто эмоционально, ребята смогли показать размах. Еще Сбер делал Cybersecurity Congress. Тоже показали хороший уровень. Еще примечательным был PHDays, который проходил в Крокус Экспо. Огромная площадка, никто не толкался, множество стендов с впечатляющими техническими примочками. Запомнился именно комфорт.
Конференция ZeroNights в свое время стала знаковым мероприятием для хакерской тусовки, точкой притяжения андеграунда со всего мира, как звездных, так и малоизвестных специалистов, которые представляли здесь новые инструменты, техники, вживую паяли и взламывали задолго до того, как это стало мейнстримом. Авторитетный Security Vacation Club даже включил конференцию в десятку лучших хакерских эвентов мира. Многим запомнилась ZN 2014, где было заявлено много дерзких докладов в основной секции и в Fast Track, один из потоков Workshops проходил в настоящем рок-клубе с соответствующим антуражем, с интерактивом в холлах, где среди прочего взламывали платежный терминал QIWI.
Кстати, эксперты и не только очень хвалят конференцию OFFZONE именно за атмосферу и вложенную организаторами душу в мероприятие, но и за то, что для специалистов предусмотрена тихая зона, где комфортно и удобно общаться, задавать вопросы и получать нужную информацию напрямик. И это только поощряется. [Эксперты Swordfish Security]
Какие моменты чаще всего раздражают?
Денис: Самый большой когнитивный диссонанс возникает, когда организаторам приходится включать в одну секцию отраслевых экспертов и оплаченных представителей компаний-спонсоров. Мало того, что у них разные цели выступления, так еще и глубина опыта различная. Труднее всего плавно поддерживать диалог всех участников, если ты модерируешь подобную сессию.
Вдобавок многие интересные эксперты в публичном поле ограничены коммуникационными политиками своих компаний или рамками здравого смысла, и не могут высказываться достаточно свободно.
Павел: Необходимость фильтровать речь. Еще меня напрягает, когда люди начинают дебоширить. Я считаю, что отдыхать без алкоголя можно и нужно. Доказательство – целый исламский мир. И всё там нормально. Когда переходят «порог», лично мне на это смотреть неприятно. Это основное, остальное – переживаемо.
Юрий: Сразу скажу, что все мероприятия в отрасли я рассматриваю именно с бизнесовой точки зрения и отмечаю именно те моменты, которые для меня полезны или, наоборот, мешают мне выполнить свои задачи. К примеру, недавно я был на PHDays. Не только я, но и другие эксперты заметили, что места для нетворкинга там почти не было. Где все тусовались, где можно было поймать человека и о чем-то поговорить? – Между стенками у входа в вип-зону, где я реально провел почти два часа, перекидываясь парой слов с людьми, выдергивая их из потока. Сама виповая зона – полнейший релакс, но там было не очень удобно разговаривать. Не хватало тихой зоны, где можно было бы кофе попить и пообщаться. Были переговорки – по брони. Но опять же, переговорки – это не про конференцию. Ведь нужно и с топами поговорить, и на вопросы «школьников» поотвечать. Организаторы явно пытались попасть сразу в несколько целей, и, как водится, не все получилось.. . Многие популярные мероприятия с этим сталкиваются. К примеру, я был на калифорнийской конференции RSA 10 лет назад. Людей тоже толпа. Почему бы не сделать онлайн-букинг на посещение докладов? Я хотел послушать парочку, но на них просто невозможно было попасть из-за большого скопления людей. Раз уж столько денег тратится на организацию мероприятия, почему бы не сделать максимально удобную инфраструктуру?
Если вам важны моменты бронирования посещений докладов, переговорок и пр., то советуем посмотреть мероприятия, которые организует Технократ. Ребята поработали над тем, чтобы в приложении для мероприятий можно было заказать все необходимое. [Эксперты Swordfish Security]
Как вы считаете, стоит ли ходить на подобного рода мероприятия начинающим специалистам в сфере кибербезопасности? Почему?
Денис: Стоит ходить любому специалисту, если интересен контент мероприятий и кулуарное общение. Думаю, сейчас можно и набраться опыта, и вписаться в отраслевое сообщество по интересам, и даже найти работу или стажировку на стендах компаний-участников.
Павел: Молодняку на такие тусовки ходить, конечно, нужно. Это же общение. Я как-то приводил пример, что CISO якобы не умеют разговаривать с бизнесом, на самом деле ИБ-шники не умеют разговаривать вообще. Они хорошо владеют языком нормативных актов и терминами. Но если ты не можешь 8-летнему ребенку объяснить, чем ты занимаешься, значит, ты занимаешься не тем. Если ты идешь разговаривать с бизнесом, нужно использовать простой русский язык: «Если мы не закроем эту дырку, нам туда напихают». Это звучит проще, чем «Нам необходимо принять меры по обеспечению информационной безопасности информационных систем обработки персональных данных в соответствии с 152-ФЗ…, в частности норматив 111.13.200, который регламентирует…». У меня есть такой подчиненный с квадратно-гнездовым мышлением, я его письма читать не могу. Спрашиваю его: «Сережа, ты женат?» Говорит: «Нет». Я ему: «Хочешь скажу, почему?»
Надо говорить простыми словами. В построении общения многое помогает: шутки, мат, пошлость, аналогия. Если ты переводишь профессиональную деятельность в анекдот, ты вселяешь свою мысль в сознание собеседника. Более того, ты в его понимании уже не просто какой-то человек, а у тебя, оказывается, живой ум! Поэтому да, молодняку нужно ходить на такие тусовки и, главное – не бояться подойти «к небожителю инфобеза» и поговорить.
Расскажу историю. 2016-2017 год, я был вынужден ходить на работу в костюме, был каждый день гладко выбрит и как-то выбрался на конфу. Она проходила где-то на Кропоткинской в Инфопространстве. Все в майках, шортах, а я в костюме. Послушал пару докладов и отошел по нужде. Заходит в санузел «молодой чемодан», подходит и такой:
Агент Смит: Пс, у меня для вас кое‑что есть!
Павел: Что?
Агент Смит: Для ваших друзей у меня есть эксплойт.
Павел: Каких друзей?
Агент Смит: Серых.
Павел: Кто такие серые?
Агент Смит: Ты дурак, что ли?
Павел: Нет. Я вообще‑то в банке работаю, не знаю, за кого ты меня принял?!
В итоге умотал. Подумал, что я представитель каких-то органов, отловил меня. И это тоже способ коммуникации, кстати. Так что не бойтесь общаться. Можно начать с чатиков. Например, взять СофтТехнологии, которые Позитивы ведут, где 2300 человек. И не бойтесь «что-то не то ляпнуть». Если бояться, то эти невалидированные знания будут только укрепляться в сознании, либо много времени уйдет на их корректировку. Да, конечно, сначала в чате могут и «напихать». Но потом кто-то чем-то поможет. Это элемент нашего национального менталитета, но ведь помогут же. Есть, например, чатики человек на 700. Бывает, приходят люди с вопросом ко мне в личку. Я не знаю ответ. Беру сообщение и закидываю его в такой чат, получаю ответ, пересылаю. Всё это – элемент популяризации. Если бы я боялся показаться идиотом, до сих пор работал бы в Московской Индустриальном банке.
Юрий: Я вижу массовую проблему организаторов в том, что на мероприятия приглашают молодых специалистов или даже еще не специалистов, а в треках откровенно хардкорные доклады. И у некоторых участников возникает ощущение, что все вокруг говорят на другом языке. По моему мнению, индустрии нужен какой-то курс «молодого бойца», где объясняют азы простым языком, вовлекают. Если есть задача взрастить молодежь, стоит сделать целую серию публичных мероприятий с игровой механикой и, возможно, даже единую площадку, где молодняк мог бы развиваться, куда компании могли бы вбрасывать информацию о стажировках. Так будет формироваться комьюнити. Кстати, у OWASP были митапы, полезные для начинающих специалистов. Тарас Иващенко был председателем OWASP, и раз в квартал более продвинутые эксперты из комьюнити обсуждали важные темы и тренды. Там не было сильной системности, но идея была хороша. Также у Digital Security была летняя школа, как раз для начинающих, где ребята могли начать карьеру в ИБ в формате стажировки. Похоже, что Касперский со своим Cyber Camp пытается возродить именно эту историю. Мне кажется, что молодняку как раз важна системность. Стоит ли ходить юным на текущие тусовки? – Не вижу особой пользы. А вот посещать их после базового обучения – уже другое дело.
Кстати, Павел чуть раньше говорил о чатах, где собираются локальные тусовки. Таких чатов, да и каналов на самом деле много. Люди действительно там охотно помогают и подсказывают. Взять тот же Mobile AppSecWorld или DevSecOps Wine.
Бывает ли так, что на таких тусовках директора ищут себе новые кадры? Или для этого обычно есть другого рода мероприятия?
Денис: Директора ищут точки обмена прикладным опытом, идеями и интересных собеседников. Для нас мероприятия – хороший повод найти время и пообщаться вместе.
Павел: Да, и ищут, и хантят. На PHDays даже отдельный стенд был под это. И не только у них. Не уверен, что сделают оффер за один день, но начать процесс точно можно. Хантят спикеров, участников, особенно тех, кто задает вопросы.
Юрий: У того же PHDays на конференции стоял HR-стенд, где можно было оставить резюме, пообщаться с работодателями. Конечно, на мероприятиях тоже ищут новых сотрудников. В отрасли огромный кадровый голод. Помимо прочего, очень нужен Институт кибербезопасности. В том же МГУ и Бауманке есть профильные кафедры, академическая программа, но вся история с обучением крайне инертная. Чтобы изменить план 4-летнего бакалавриата или магистратуры, потребуется куча времени и бумажной работы, в то время как наша отрасль развивается очень быстро. Нужна какая-то дружелюбная среда с интенсивами и прочим. Я недавно узнал о Cyber Camp’ах. Эта история выглядит многообещающей. К примеру, ЛК проводит cyber camp четко по темам, регулярно, динамично. Выглядит полезно. Будем наблюдать за развитием.
Были ли какие-то из тусовок определяющими в развитии вашей карьеры?
Денис: Не припомню.
Павел: Меня хантили уже после выступлений. Что-то закончилось консалтингом, что-то – безвозмездной помощью, где-то я помог найти CISO, и мне за это дали вознаграждение. Сейчас у меня чаще другая история – после выступления приглашают выступить где-то еще. Мы сейчас пытаемся найти хоть один день пересечения в забитом расписании.
Юрий: Наверное, да, но не в плане поиска работы для меня, а скорее как подсказки, что и как надо и не надо делать. Скажем так, подкинули мыслей для проектов.
Есть ли планы посетить какое-то особенное мероприятие?
Павел: Я хочу в отпуск. Отключить телефон, и чтобы про меня на это время забыли. Вообще был прикольный момент. Пришли ко мне, зовут выступать на конфу. Я отказываюсь. Мне говорят, а там Денис Горчаков будет. Думаю, ну раз Денис, то пойду. Приходят к Денису, зовут, отказывается, говорят ему: «А там Паша Куликов будет». Денис соглашается. Встречаемся на конфе: «Чего?!» Челночная дипломатия.
Вывод
Мы начинали эту статью с разговора об отдыхе на тусовках. Однако о классическом отдыхе никто из наших экспертов ничего не сказал. Поэтому главный вывод, который можно сделать, – отраслевые официальные тусовки не то место, где кибербезопасники действительно расслабляются. Такие мероприятия помогают завязать нужные знакомства, узнать что-то новое, найти единомышленников и даже работу. Это вариант рабочих будней, который может принести приятные эмоции и оставить ценные воспоминания.
По итогам общения с экспертами я составила для вас календарь масштабных мероприятий индустрии кибербезопасности и небольшую подборку каналов – в них есть чаты, где всегда можно задать вопросы, на которые ответят.
Месяц |
Конференция |
Масштаб |
Для кого |
Цена 2023 |
Апрель |
Маленькое камерное мероприятие |
CISO |
По запросу |
|
Май |
Маленькое камерное мероприятие |
Для специалистов и управленцев |
По запросу |
|
Май |
Масштабная конференция |
От новичков до профи |
Есть бесплатная площадка и вип-зона: 15-20 тыс. руб. |
|
Июнь |
Масштабная конференция |
Более продвинутый уровень |
Нет данных |
|
Август |
Масштабная конференция |
От новичков до профи |
13 тыс. руб. |
|
Сентябрь |
Цикл регулярных встреч на протяжении года |
От новичков до профи |
По запросу |
|
Ноябрь |
Маленькое камерное мероприятие |
Для специалистов и управленцев |
По запросу |
Подборка каналов и полезных ресурсов в Telegram:
Infosec – полезная литература по инфобезу
Book Academy – полезная литература по теме на английском языке
Этичный хакер – канал о мире ИБ
Mobile AppSec World – авторский канал Юрия Шабалина о мобильной безопасности, в чате активно и быстро отвечают молодым специалистам
Mobile Appsec Chat – чат канала Mobile AppSec World
DevSecOps Wine – публикация материалов о выстраивании безопасного DevOps
CloudSec Wine - все о безопасности облачных решений. Канал на английском языке
AppSec Jobs – канал с вакансиями для специалистов
-
Подборка полезных материалов на GitHub от Swordfish Security