В последнее время поднялась тема дополнительного заработка для информационных безопасников. Видимо, бизнес-тренеры и их адепты основательно проникли и в нашу отрасль. А вспомнилось мне это благодаря Рустэму Хайретдинову. Поэтому с него и начнем.

С оказией зашел в Facebook и наткнулся на воспоминания Рустэма Ниловича:

Как мы видим, ничего на свете не меняется. Всегда есть люди, которые могут сделать работу, и компании, которые хотели бы получить качественный результат, но не могут себе это позволить по полному прайсу. При обоюдном желании специалист и компания договариваются на сдельную или проектную работу. Собственно, это основа фриланса. Сделал и ушел.

Но мы сразу же сталкиваемся с неудобными моментами, на что и указал Рустэм Нилович: как закрепить договоренности?

Самый очевидный способ – договор. А отношения на договорной основе неудобны обеим сторонам.  Для заказчика основная трудность будет состоять в разработке ТЗ. Если он слабо разбирается в тематике, ТЗ вряд ли будет грамотным. Фрилансер, выполнив условия договора, не захочет еще некоторое, довольно длительное время, сидеть рядом с заказчиком и переделывать работу под его недовольное и неуверенное «а я думал, тут вот так будет, а получилось не так…». Умный фрилансер заберет деньги и уйдет.

Но у него на руках договор, а значит, ему необходимо удовлетворить нужды налоговой, а там, глядишь, на бизнес-класс до Парижа не хватит. Не, фрилансеру это не нужно. Да еще и с работы уволить могут за нарушение корпоративного трудового договора.

Поэтому мы переходим ко второму варианту – по дружбе/по понятиям. Т.е. все то, что должно было быть в договоре, обсуждаем устно, максимум закрепляем письмом, и вперед. Разумеется, деньги тебе заплатят сразу по достижении результата (или не заплатят, ведь при отсутствии договора и такое может быть). Конечно, и у заказчика могут быть проблемы. Рустэм Нилович рекомендует набирать на работу топовых специалистов, но не говорит, как нам оценивать их работу (при условии, что мы не разбираемся в данном вопросе, зачем бы иначе мы искали специалиста). То есть втюхать нам могут абсолютно любой результат – проверить его мы не сможем. Нельзя забывать и про геморрой с обналичкой (ака уход от налогов), но это действительно будет намного дешевле, чем брать сотрудника в штат и платить за него все налоги. Тут Рустэм Нилович прав.

Давайте посчитаем для верности, пользуясь критерием Хайретдинова. Проект фрилансера стоит полугодовой зарплаты среднего специалиста — вот вам и критерий, когда фрилансера брать выгодно. Например, средняя зарплата 60 т.р., то за проект имеет смысл платить не более 300 т.р., если больше – то надо уже крепко думать. За такую сумму топовый специалист в вашу сторону не посмотрит.

Где же в безопасности нам может потребоваться помощь фрилансеров? Рустем Нилович делится с нами опытом. Итак, он заказывал:

• стратегию продвижения;
• корпоративную брошюру;
• ядро платформы;
• специфический софт.

Начнем со стратегии. Топовый специалист наверняка создаст ее качественной. Вопрос лишь в том, что с ней станет, когда специалист помашет нам рукой, не задерживаясь в штате наших сотрудников. Скорее всего, она осядет мертвым грузом, не внеся изменений в бизнес-процессы компании, зато заказчик сможет писать и говорить о том, что он заказывал стратегию продвижения у топового специалиста.

Корпоративная брошюра, очевидно, не стоит 5 тысяч долларов. Во всяком случае в 2010х, а сейчас да – упаковка все, функционал вторичен.

Софт же стоит, как правило, гораздо дороже указанной суммы, и за выходные его не разработаешь. Но, очевидно, Рустэму Ниловичу очень везет, и ему достались именно такие ребята. Тут тот же вопрос, что и для стратегии – кто будет поддерживать этот софт после ухода фрилансера? Разумеется, все зависит от вида софта, но Рустэм Нилович пишет, что фрилансер разрабатывал ему ядро платформы. Что ж, ему повезло уже дважды.

И последний вопрос – сроки. Ни один работающий фрилансер не подпишется на масштабную работу длительностью в год. Ему нужны легкие и, желательно, быстрые деньги. Подавляющее количество фриланс-проектов, которые я видел, длилось не более 2 месяцев. Что можно успеть сделать за это время? Можно успеть написать почти любой документ или даже пачку документов. Когда я был литературным негром, с трудом укладывался в 6 месяцев на 300 тысяч знаков.

Программирование же обычно занимает гораздо больше времени, оно затратнее в коммуникациях как для исполнителя, так и для заказчика. Представляете, сколько времени уйдет на написание ядра неизвестного тебе софта? Я не представляю. Может быть, действительно пара вечеров, а потом можно и в Париж.

В любом случае хочу сказать Рустэму Ниловичу спасибо за интересную историю. Надеюсь, она реальная, а не написана для коротания долгих карантинных вечеров.

В следующий раз рассмотрим фриланс и фрилансеров на примерах. До новых встреч.

P.S. Для истории:

Если вы старше 7 лет, то знаете, что в нашей жизни встречаются разочарования. От этого просто никуда не деться. Разочарование нас может подстерегать где угодно. Не купили нужную игрушку, Дед Мороз подарил машинку не того цвета, коллега оказался нехорошим человеком, да мало ли что. Что бы не говорили бизнес-тренеры, разочарований избежать не удастся. Можно лишь изменить свое отношения к ним. Это как с браком. Попадается хорошая жена – станешь счастливым, плохая – философом. Об одном таком разочаровании, я хочу вам рассказать.

Одним прекрасным вечером сидел я в телефоне и вдруг, бац – Алексей Лукацкий. Я уж подумал у меня наваждение… Но нет, оказалось это была контекстная реклама конференции Код ИБ. Ну, думаю – надо ехать.

Полез на сайт. Все цветасто и кричаще, как сейчас модно, но ни фига не понятно. Не смог разобраться с маленького экрана. Но интересно. Решил добраться до компьютера, и если все гуд, потратить кровные денюжки и съездить.

Сайт нас встречает громким заявлением:

САМАЯ МАСШТАБНАЯ КОНФЕРЕНЦИЯ ДЛЯ РУКОВОДИТЕЛЕЙ И СПЕЦИАЛИСТОВ ПО ИБ И ИТ

И перечень городов. Сразу закрался вопрос: а масштабная в каком смысле? По количеству участников? На PHD ходят тысячи, вряд ли на одном Коде ИБ больше несколько сотен. По охвату городов? Возможно, но каждый вендор и интегратор в год проводит столько же или больше конференций. Не понятно. Ладно, едем дальше.

Причины поехать

Дальше все по науке инфоцыган: 5 факторов, почему надо пойти на конференцию:

01 ГЕОГРАФИЯ

28 крупных городов России, Казахстана, Белоруссии, Грузии, Азербайджана и Армении. Серия конференций, не имеющая аналогов по масштабу проведения и охвату участников.

Ага, вот где масштаб подразумевается. Как уже говорил, вендора устраивают и больше конференций, с большим охватом городов. Но, видимо, имелись ввиду большие конференции? Т.е. программа всех Кодов связана между собой? Нет, не связана. Каждый Код ИБ самостоятельная конференция. И поехать можно только на одну, абонементов не продают.

02 УНИКАЛЬНОСТЬ

Высокий уровень организации, а также множество фирменных атрибутов, фишек и wow-активностей выделяют Код ИБ на фоне других мероприятий.

Про уровень организации – допустим. Фирменные атрибуты… активности… вы на PHD последнем были? Я понимаю, если бы под уникальностью говорили о контенте, но завлекать майками и кепками…

03 СООБЩЕСТВО

Более 3000 профессионалов в ИТ и ИБ, среди которых директоры, руководители и специалисты по ИТ и ИБ, представляющие компании различных отраслей и госсектор.

Вот, именно с этого пункта у меня начали закрадываться сомнения. Как я уже рассказывал, конференции бывают ради посетителей и ради организаторов. Если для посетителей, то говорят про контент, уникальных спикерах и гостях (см. CISO-форум). Если для организаторов, то задача обратная – привлечь как можно больше спонсоров и представителей интеграторов по завышенной цене, о которой еще поговорим. Я не знаю специалиста, который бы пошел на мероприятие только из-за того, что там будет еще 3000 человек.

04 ИНФОРМАЦИЯ

Исчерпывающая информация о новинках и трендах в современных IT-угрозах и достижениях в борьбе с ними собрана на специальном ресурсе — Код ИБ Академия.

Ок, ресурс — это хорошо. Но каким местом академия относится именно к конференции? Вычеркиваем.

05 АКТУАЛЬНОСТЬ

Наличие у каждой конференции куратора из числа авторитетных экспертов в сфере ИБ, который определяет актуальность заявленных тем, активно сотрудничает со спикерами и приглашает интересных экспертов.

Куратор не выступает, куратор модерирует. Минут 10-15 за 2 часа. Остальное время говорят спикеры, именно из-за спикеров я готов пойти на конференцию. Модераторов я в фейсбуке увидеть могу.

Из представленных 5 пунктов можно сделать вывод, что на Код ИБ надо ехать только за фирменной кепкой. Коллеги, я уверен, что делаете вы благое дело, но упаковываете это очень странно. Но едем дальше.

Это график распределения аудитории. Зачем, зачем участнику знать, как она распределяется? Правильно, незачем. Это надо или для спонсоров, или для интеграторов, которые захотят туда заслать своих сейлов. По двойной ставке, разумеется.

В разделе Партнеры можно увидеть список тех, кто клюнул.

Спикеры

Главный куратор конференции – Алексей Лукацкий. Ничего не хочу сказать, но когда Алексей говорит, что Код ИБ выгодно отличается от вендорских мероприятий, надо либо крестик снять, либо… Это как пчелы против меда, наркоманы против травы. Алексей — представитель не просто вендора, а самого активного вендора в сфере ИБ, который вкладывается в свою и Алексея раскрутки. Т.е. когда идет Код ИБ, Алексей берет отпуск за свой счет? Или ни разу не лоббирует интересы своего работодателя?

Сразу закрадываются подозрения (судя по пиару), что некоторые из экспертов имеют материальную заинтересованность в привлечении публики. Мб являются соучредителями или сидят на бонусах. Надеюсь, мне только показалось. Но пойдем по программе.

Сегодня 24 июля, завтра начинается конференция – на сайте конференции в меню вводная Дискуссия вкладка эксперты пуста. Вот это я понимаю – высокий уровень организации.

Доклады

День первый

В первый день одновременно три секции.

КАК создать презентацию для руководства, используя 7 слайдов и 15 минут?

Если презентацию можно создать за 15 минут, зачем тогда 2-х часовой практикум? Может быть имелось ввиду, что «есть всего 15 минут»? Не видел презентаций Ильи Борисова, но, думаю, здесь я бы скорее послушал по данной теме Олега Бакшинского. Ольгу Позднякову, к сожалению, не знаю. Потенциально интересная тема (не относящаяся к ИБ, но все же), но мимо.

КАК обучать и тренировать своих сотрудников?

Интересно, Сергей Волдохин — прекрасный специалист, но тема к ИБ имеет косвенное отношение.

КАК составить модель угроз, которая устроит вас и регулятора?

Со всем уважением к Алексею Лукацкому, но я был и на платных семинарах у вас по этой теме, и на конференциях много раз слышал. Тема сама по себе не плохая, малость отдает лицемерием и очковтирательством, но ладно.

Итого первая половина дня – околоибешные темы. Потом обед и две секции подряд.

Первая секция:

КАК устранять угрозы ИБ до инцидента?

Вендорский доклад.

КАК должна выглядеть адаптивная архитектура безопасности

Вендорский доклад.

КАК осуществить защиту персональных и финансовых данных в банковской системе РФ?

Вендорский доклад.

Вторая секция:

КАК избавится от трудностей «переходного возраста» экосистемы ИБ

Вендорский доклад.

КАК избавиться от недостатков парольной аутентификации?

Вендорский доклад.

Потом обед и секция круглых столов. Мне довелось как-то вести круглый стол – очень странный формат, особенно если участников больше 5. Либо говорят только спикеры, а остальные слушают, либо какая-то секция вопросов-ответов получается, интересная только узкому кругу лиц.

Итого: в первый день можно хорошо покушать.

День второй

Три секции подряд.

КАК бороться с продвинутыми угрозами. Практический опыт

Круто. Но на конференции, скорее всего, будет много управленцев, которым будет не интересна «железная» сторона процесса.

КАК распознать атаку?

Если будут интересные кейсы, то ок.

Киберпреступность: взгляд с точки зрения экономических законов

Алексей, экономические законы – это что? Есть, например, законы экономики. Они глобальны, про спрос-предложение, или что каждый заинтересованный спикер все поворачивает к своей выгоде. Вы про них будете говорить?

Данной программе очень сильно не хватает аннотации к докладам.

КАК найти экономически эффективные проекты по ИБ?

В интернете найти? В отрасли? В компании? Я бы с удовольствием послушал, как сделать любой проект по ИБ эффективным, и уже бы ехал в Сочи на такой доклад. Но я уже слушал Дмитрия на тему эффективности на BIS-форуме, там было далеко от заявленной темы.

Покушаем.

Опять три секции подряд.

КАК выбрать и обосновать средства защиты для Вашей компании?

Было бы интересно в 2012-15 годах.

КАК выбирать и использовать ИБ фреймворки?

У нас соки-то не везде есть, куда нам до фреймворков.

КАК защитить цифровой бизнес-процесс от всех видов нарушений?

Вендорский доклад от Рустэма Ниловича, надо идти.

КАК управлять ИБ по ISO 27001

Андрей Прозоров в последнее время им активно занимается, если будет много практических кейсов – то интересно.

И снова три секции подряд.

КАК превратить кибербезопасность из тормоза в драйвер бизнеса?

Можно послушать, мб что интересное будет.

КАК выглядит сферический инфраструктурный пентест в вакууме?

Вендорский доклад от компании «визионер российского рынка кибербезопасности».

КАК эффективно жонглировать доказательствами в судах при информационных спорах?

Вооо, что-то совсем новое. Наталья Гуляева – к.ю.н. партнера международной юридической фирмы Hogan Lovells с 20-летним опытом, так что этого человека я бы послушал.

Итого: за два дня 2,5 интересных доклада.

На третий день развлечения в море.

На четвёртый – в горах.

Сколько стоит

Разумеется, у меня возник вопрос, сколько это удовольствие стоит.

30 тысяч за два дня отдыха и чуточку интересных докладов.  Плюс дорога, плюс проживание – выходит около 100 000 рублей для простого человека. Есть специальная цена для сотрудников ИТ-компаний, для них участие обойдется в 45 000 рублей, или около 120 00 рублей за все удовольствие.

Тут у меня все сомнения отпали. Не удивлюсь, если скоро на Код ИБ будут ездить только представители интеграторов и вендора.

И в довесок нам предлагается купить удостоверение о повышении квалификации от Школы IT-Менеджмента Российской академии народного хозяйства и государственной службы при Президенте Российской Федерации. Всего 8 000 рублей. Коллеги, вы чего делаете? В то время, как в отрасли и так компетенция размыта, вы продаете корочки. Может быть РАНХ проводит обучение на вашей конференции? Тогда может быть, но нигде в программе нет о ней упоминаний. Думаю, компетентным коллегам необходимо проверить эту информацию.

И здесь меня и постигло то самое разочарование. Когда-то Рустэм Нилович поднимал тему качественного повышения контента, за который никто не хочет платить. Теперь у нас появились платные конференции, а воз и ныне там… крайне грустно.

Посмотрел я на все это дело и решил не ехать. Какое-то тяжелое ощущение осталось от всего этого. До новых встреч.

P.S. Коллеги, которые думают, что я кого-то хейчу, прошу обратить внимание, что материал размещен за несколько часов до начала конференции, когда все, кто хотел, уже едут на конференцию. Данный материал — сугубо личное мнение, и не призван кого-то опорочить.

Полтора часа назад я стоял на светофоре и слушал музыку. Вдруг от остановки отделяется мужчина лет 55-60, подходит к моей машине, открывает переднюю правую дверь и что-то мне говорит. На мое праведное возмущение и требование закрыть дверь с той стороны, мужчина хлопает дверью и начинает огрызаться, что я с ним не уважительно разговаривал, т.к. он старше. Несмотря на весь сюрреализм ситуации — она типична: подавляющее большинство людей, достигнув определенного возраста, считают, что остальные обязаны выказывать им уважение. Рассмотрим эту ситуацию на примере информационной безопасности.

По сути, уважение имеет глубокие корни. Хомо сапиенсы издревле заботились о стариках в знак признания их достоинств (хотя бы потому, что они прожили так долго). Когда наше общество осваивало палки-копалки, уважением пользовались те люди, которые их умели создавать, применять и обучать создавать других. Но 6000 лет назад все кардинально поменялось. Изменилась сама форма научения от мастера к ученику на социальные формы. Как раз последующие 7,5 тысяч лет этот переход кристаллизовался, и получилось наше настоящее.

Но люди в возрасте все еще требуют к себе слепого уважения. Его используют везде и повсеместно, даже Рустем Хайретдинов (по отношению к другому лицу). Уважение имеет много форм, чаще всего встречаются две.

Личное уважение. Когда конкретно вы уважаете конкретно его. Причины могут быть всякие разные. Многие уважают своих родителей, учителей, старших товарищей, выдающихся коллег по работе или людей, обладающих качествами, которые вам импонируют.

Профессиональное уважение. Когда человека уважают за что-то, свершенное им: открытие, многолетний непогрешимый труд, подвиг и т.п.

Как видно, обе эти формы не имеют кванта всеобщности. И уважение может быть легко потеряно, если объект этого самого уважения ведет себя неподобающим образом.

Всеобщее уважение можно чувствовать к определенным группам людей, объединенных общим свершением, например, ветеранам (и в связи с этим особенно мерзко, когда в нашей стране паразитируют граждане с ветеранскими удостоверениями 70-75 лет отроду, периодически примазываясь к чужим заслугам).

Наш мир настолько быстро меняется и так информационно насыщен, что даже опыт предпенсионного поколения может быть использован крайне незначительно. После 50 вообще сложно научиться чему-то новому. А старый пласт знаний давит очень сильно. Например, люди, в сознательном возрасте программирующие на перфокартах, сейчас довольно отдаленно понимают принципы действия современных компьютеров. Именно поэтому большинство старших преподавателей дают фундаментальные предметы, а специализацию – молодые аспиранты. Только не надо думать, что я против «стариков», у них есть куча преимуществ перед «молодыми», но мы сейчас об уважении.

И тут начинается круговая порука «ты меня уважаешь? я тебя уважаю! вместе мы уважаемые люди!». Если хотите, можно назвать это заговором уважаемых — когда группа людей начинает расхваливать друг друга на все лады, и человеку не посвященному невозможно разобраться, ху из ху. Прием отлично действует в реальной жизни. Например, в советское время определенные «культовые режиссеры» сами на себя писали благостные рецензии, тем самым поднимая статус своих поделок. И так везде.

Этот «заговор» — огромное препятствие для общества вообще, и для информационной безопасности в частности. Он ограждает «вековые устои», все эти «у нас так принято» от посягательства молодых и наглых. Только не подумайте, будто я считаю, что это плохо. Это естественная реакция человека залезть наверх и скидывать оттуда посягнувших. Но пока я со стороны карабкающихся – мне это не нравится.

Я не понимаю, почему люди считают окончательным аргументом отсылку к авторитету «а вот уважаемый эксперт считает». Фактически имеют ценность только результаты. Ни количество пройденных курсов, ни написанных статей, ни выступлений на конференциях не приближают человека ни к одной из форм уважения. Разумеется, за исключением  случаев, если вы хотите сдать много курсов, писать статьи и много выступать — вот в этом аспекте да, уважение во все поля. Но при чем тут безопасность?

Другая крайность, когда уважаемый в одной области человек начинает вещать по любому поводу. Самые известные примеры: академик Сахаров и чемпион мира Каспаров. Я с удовольствием слушаю и уважаю, например, Рустема по вопросам создания и управления ИБ компаний, а Алексей Лукацкого – по вопросам написания трех постов в день. Но сомневаюсь, что они будут высказывать компетентное мнение по вопросам той же защиты персональных данных.

Наша область сильно дифференцирована, что, в частности, и показал последний PHD. Никому из хакеров не интересна наша бумажная возня. А аналитикам – инженерная. А ведь есть еще и сейловая и пресельная части, которые обобщенно можно назвать методологической и архитектурной частью. И в каждой свои герои.

Любой авторитет и любое уважение должно выдерживать шквал скепсиса. При этом подлинному авторитету не требуется ничего делать для своей защиты, за него говорят его дела. А глиняные колоссы качаются от любого ветра. Думайте своей головой и выбирайте правильных авторитетов.

Спасибо за уделенное время. Всем огромной удачи и пока.