«В 21 год я заработал миллион». Три истории крутых кибербезопасников — о взломе «Яндекса» и безумных зарплатах

Быть айтишником в России — в определенном смысле сорвать куш. Особенно сейчас, когда, кажется, и власти в нашей стране поняли ценность IT-кадров, а потому начали предпринимать меры, чтобы не дать им утечь за границу. Что уж говорить о кибербезопасниках, потребность в которых за последние месяцы только выросла. Корреспондент НГС побывала на международном форуме по практической безопасности Positive Hack Days 11 в Москве, где проходили зрелищные киберучения и собрались лучшие из лучших в сфере информационной безопасности. Именно с ними мы и поговорили. Как попасть в число редких специалистов, схантить которые будут мечтать и российские, и зарубежные компании, и сколько получают те, кто защищает стратегические объекты всей страны от атак хакеров, — в этом материале.

— Кадровый голод в нашей отрасли был и будет. И я думаю, что одним из драйверов является повышение уровня IT-систем. Если раньше IT-инфраструктура была такой: Windows, почта, серверы, то сегодня это виртуализация, это какие-то софтверные сети, частное облако… IT развивается очень динамично, соответственно, требуется больше специалистов, больше квалификации.

Если говорить о тех, кого мы берем к себе на работу, то самое важное для меня — это, наверное, отдача, готовность отдавать себя. Для меня всё просто: я из глубокой провинции. 600 километров от Москвы, городок в 8 тысяч жителей. Я вообще не знал, что такое компьютер, пока в университет не поступил. Но стоило мне открыть консоль и как-то понять, что я могу заставить эту машину делать всё, что я хочу, меня всё, понесло. Я увлекся учебой, я окончил университет очень хорошо (Московский авиационный институт. — Прим. ред.). Не ради оценок, но это всё как-то связано.

Я окончил институт, решил пособеседоваться в нескольких компаниях И вот одна из них, Acronis, она была тогда очень известная, одна из самых, наверное, технологически развивающихся. Это был такой международной уровень. Пошел на собеседование, меня там, естественно, уничтожили. Я вышел с полным ощущением, что я ничего не знаю. А потом мне говорят: «На junior-позицию приходи». И это был для меня сигнал. А попав туда, у меня началось: несколько лет работы без выходных. Но не потому что это работа, а потому что я понимал, как мало я знаю. Так, мне кажется, и происходит подъем как специалиста. 10 лет я там оттарабанил и прикоснулся к IT-бизнесу в широком смысле.

Среди безопасников встречаются не только математики. Есть, например, химики. Сейчас это одни из топовых директоров. Так получается: что-то увлекся сетями, копался, копался — и вот докопался. Мне кажется, стремление первично. Есть интернет, есть YouTube, есть какое-то огромное количество бесплатных онлайн-курсов. И сегодня не развиваться, если ты хочешь, ну это прямо выглядит странно.

Желающих попасть в кибербез, ну и в частности в нашу команду, конечно, хватает. Другой вопрос, что те, кто нас устраивает, — вот их меньше. С джуниорскими вакансиями проще, со студентами проще. А вообще должен быть такой match, совпадение.

Про студентов я думаю так: студент должен находить время учиться, так что время на работу у него ограничено. Он либо заваливает учебу, либо будет халтурить на работе — всё это не есть хорошо, нужна середина. Понятно, что есть и другие истории: приходит второй-третий курс, поработал, а потом через год такой студент говорит: «Я вообще больше не хочу учиться». Но он такие результаты показывает, поняв, что учеба — это не продолжение того карьерного пути, который ему интересен. Это редкость, но бывают такие случаи, когда человек бросает учебу и вырастает до мегапрофессионала. Типовой случай — это когда человек со 2–3–4-го курса приходит, мы договариваемся о 50/50 и начинаем платить. Как правило, это десятки тысяч рублей. Колеблется в пределах 20–30 или 50–60 тысяч рублей в месяц. Если говорить про зарплаты, например, в полмиллиона рублей, то такие тоже есть. Это не управленцы, это, что называется, individual contributor, технарь, в общем. Это определенно редкие специалисты, ценные — это точно. У нас есть люди, которые стоят именно столько.

У меня самая интересная история была, когда я еще как-то разработчиком пошел кофе наливать в компании и пересекся с мужчиной, коллегой. Я тогда только устроился, мне 22 или 23 года было, а мужчине было под 40. И он говорит: «Я в 35 лет бросил практику гинеколога». Сказал, что работал гинекологом, потому что это его хлеб, а вечерами он читал, изучал. И вот тогда он понял, что именно этим и хочется заниматься, и вышел из состояния комфорта, которое нас зачастую и убивает. Вот он за 3–5 лет стал для меня, для вчерашнего студента, авторитетом в нашей отрасли.

— Я в свое время руководил отделом анализа защищенности приложений. Нас было 25 ребят, которые занимались исследованием банковских приложений, мобильных или веб-приложений. Ну и сам я тоже когда-то участвовал на «Яндексе» в Bug bounty, ну и в куче других на самом деле тоже, просто с «Яндексом» такая громкая история вышла. В 21 год я миллион заработал, это было прям очень круто.

Вообще, информационной безопасностью я занимаюсь с 2008 года, но основной boost (скачок) моей специальности пришелся именно на «Яндекс». То есть я просто где-то читал какие-то статьи, что-то смотрел, но без какого-то упора на веб-приложения. Я в какой-то момент решил попробовать поискать уязвимости в «Яндексе», попробовал — и у меня получилось. Я, конечно, очень сильно удивился, но, как оказалось, искать уязвимости не так сложно. Можно прямо сидеть искать и зарабатывать (критические уязвимости обнаружить сложнее всего, но они обходятся дороже; на The Standoff 365 Bug Bounty хакерам платят до 400 тысяч рублей за такую уязвимость. — Прим. ред.). Ну и плюс тогда же я попал в Positive Technologies на позицию специалиста.

Вообще, я проучился два года в НГУ имени Лобачевского, а потом вылетел. Тот самый миллион я заработал в 2015 году, к тому моменту у меня зарплата была тысяч 40, наверное. Родители, конечно, были горды, ну и я в Москву сразу же после этого переехал.

Большая часть моих коллег — это такие люди с общим IT-бэкграундом, которые понимают, как устроены операционные системы, веб-приложения, на каких языках они могут быть написаны. Ну а я всегда хотел стать кибербезопасником, но я родился в Нижнем Новгороде, и там просто не было таких профессий. Поэтому я пошел на специалиста по тестированию. И вот там я получил самый многогранный опыт: я какие-то системы разворачивал, тестировал веб-приложения, настольные приложения. То есть я не сосредотачивался только на разработке или только на тестировании. У меня было всего понемногу, и это очень важно в хакерстве — получить большой опыт, знать, как работают все системы, но во взломе сосредотачиваться на чём-то одном. Кто-то, например, ломает только мобильные приложения. Мне вот нравились банковские и веб-приложения. Я понимаю, как происходят транзакции, как работают логические атаки для получения доступа к другим клиентам или доступа к возможности округлить транзакцию так, чтобы получить еще больше денег. На этом я и качал этот опыт.

Я как-то ездил на хакатон, где собирались хакеры. То есть собираются топ-10 хакеров, и вот они сидят условно пять дней и что-то там ломают. Одному из хакеров тогда было 17 лет, а через пару месяцев исполнилось 18. И вот он к 18 годам заработал на программах Bug Bounty уже 1 миллион долларов, а не рублей, как я. То есть молодые дарования есть, их много, но самый общий портрет хакера — это 18–25 лет. Все-таки это молодая профессия, и вкатываются в нее в основном молодые люди.

— У меня довольно нестандартный подход к формированию команды. Я в первую очередь ценю в человеке горящие глаза. У меня есть ребята без высшего образования, но с такой квалификацией, как у них, в России всего человек 10. То есть после школы у них загорелись глаза, они там почитали, тут почитали, в общем, самообразовывались. Есть и другие ребята — у них образование не то что не в сфере информационной безопасности, а вообще даже не из IT. Поэтому главным для меня будет желание, горящие глаза и прилагающиеся к этому мозги.

Сейчас в некоторых вузах есть такое движение — CTF, capture the flag. В рамках таких соревнований ребята учатся мыслить нестандартно, решать различные задачки, в том числе с повышенной сложностью. Это такой фильтр, поэтому если у человека в резюме есть строчка о том, что он участвовал в CTF, это для нас такой показатель, что у него горят глаза, что он может работать не по формальной истории, а работать именно на результат.

Когда я пришел работать в подразделение, нас было 5 человек. За 5 лет численность подразделения выросла в 10 раз. Сейчас тут 50 человек, средний возраст ребят — это 27–28 лет. Команда очень молодая, есть студенты 3-го курса. И это не исключение, это скорее обычная история.

Минтруд в прошлом году проводил исследования и выяснил, что ежегодно в России выпускается порядка 7–8 тысяч человек в сфере компьютерной безопасности, а отрасли, по разным оценкам, требуется ежегодно 25–35 тысяч человек. Просто цифровизация идет быстрыми шагами, кибербезопасность за ней не успевает.

В кибербез я попал давным-давно. У меня технический склад ума, я технарь, а не гуманитарий. Дальше я занимался исключением тех специальностей, которые были доступны. В 11-м классе я понял, что в одном из вузов есть классная специальность — «компьютерная безопасность» с квалификацией «математик». Специальность была новой, в тот момент, когда я поступал в вуз, это был третий набор. То есть это было начало в России открытия таких специальностей. На старших курсах я работал программистом, а после того, как окончил, я пошел служить в правоохранительные органы именно по специализации «компьютерная безопасность».

Два года назад НГС поговорил с учеными-красавичками об их исследованиях и о том, почему они не уезжают из России.