Марина Кротофил — одна из немногих женщин в сфере IT-безопасности. Среди ее главных проектов — помощь в расследовании второй хакерской атаки на электросеть в Украине в 2016 году — стране, где пятнадцать лет назад началась ее карьера. Покинув родину, Марина успела пожить в Индии, Германии и Нидерландах. Сейчас она работает в США в компании FireEye, входящей в топ-10 мирового рейтинга компаний по кибербезопасности. О ее исследованиях пишет немецкий «Spiegel» и другие мировые СМИ. Однако все это не мешает коллегам-мужчинам скептически относиться к хакеру-блондинке. Марина рассказала о том, почему ей приходится работать в пять раз больше мужчин и что делать с дискриминацией в профессии.
Марина, ты называешь себя хакером. На самом деле это слово в обиходе имеет негативное значение — злоумышленник, взламывающий компьютеры. Какую связь это имеет с твоей работой?
IT-секьюрщики говорят про себя «хакеры», потому что на английском этот термин понятен всем. Дословно он переводится как «нападательная безопасность». Мы намеренно взламываем средства защиты компьютерных сетей, как и злоумышленники, но при этом у нас другая цель. Мы должны найти уязвимость в системе, пока ее не нашел кто-то другой и не воспользовался ею. Например, на компьютере стоит приложение. Я буду пытаться его сломать разными способами, чтобы понять, сможет ли это сделать кто-то другой. И если мне удастся это сделать, значит, защита этого приложения недостаточная, над ней еще надо работать.
Или другой простой пример. Мы все летаем самолетами. У каждого из нас в салоне рядом с креслом есть usb-порт. Уже известно, что, определенным образом подключаясь к нему, можно получить доступ к контрольным системам самолета и внести помехи в его управление. Для того, чтобы это выяснить, тоже нанимались хакеры, которые имитировали работу плохих людей. И когда они нашли эту прореху, то стало понятно, что эту ошибку нужно как-то исправлять.
Почему ты выбрала именно эту профессию?
Потому что меня это увлекает. Во-первых, хакеру необходим специальный склад ума. Ты должен думать как зловред. Не у всех есть этот способ мышления, кому-то это неприятно. А меня это совершенно не смущает.
Я просыпаюсь каждый день, и у меня в голове куча разных способов взлома, которые даже не всегда есть возможность протестировать. Это можно сравнить, например, с тем, как бы ты смог украсть продукты в супермаркете. По сути это детективная работа.
Во-вторых, ты должен быть очень креативным, думать нестандартно. Потому что те, кто думает стандартно, они обычно создают защиту. И в-третьих, у тебя должно быть комплексное мышление. Потому что система, с которой ты работаешь — это всегда комплексный объект. Откровенно говоря, объединить в себе эти три вещи способны очень немногие.
Меня часто спрашивают в интервью, почему в Украине и России так много киберпреступников? Здесь надо понять одну простую вещь: если ты занимаешься хакерством и тебе все это интересно, то ты занимаешься этим не ради зарплаты. А потому, что твой мозг этого требует. Я, например, если не занята обдумыванием способов взлома, начинаю думать обо всякой ерунде: правильно ли меня воспитали родители, есть ли справедливость в жизни, чем занимаются политики. Но легальных способов применить свои знания в этих странах не так и много.
Как ты начала свою карьеру?
В Украине после окончания вуза я работала инженером в телекоммуникационной компании и была там единственной женщиной. Делала ту же работу, что и мои коллеги: спускалась в люки, крутила кабели, делала диагностику повреждения. Все было хорошо, кроме зарплаты в сто долларов. А зимние сапоги стоили сто двадцать. Тогда я стала подрабатывать. В то время в Украине были часты случаи заражения компьютеров вирусами, и меня нанимали, чтобы их удалить. Если заказ поступал, к примеру, от банка, то задача усложнялась — надо было удалить вирус, не повредив основное программное обеспечение, где записана вся информация. Что я тогда делала? Заражала свой домашний компьютер тем же вирусом и пыталась его удалить. Когда я знала точный и безопасный способ, как это сделать, то действовала по той же схеме у клиента.
Через год я была уже очень опытным инженером и достигла того уровня, когда могла делать работу с закрытыми глазами. Но я видела, что Украина никак технически не прогрессирует, то есть расти было больше некуда, а хотелось. Тогда я поняла, что надо расширять горизонты и решилась на переезд в Германию. Там я училась по двойной программе и получила диплом с двумя специальностями — инженера и менеджера. Потом стала делать постдок в Техническом университете Гамбурга.
Два года назад ты переехала из Германии в США. Что повлияло на твое решение?
В первую очередь условия работы. В Германии твоя зарплата определяется тарифной сеткой. Она зависит от отрасли, компании, образования, возраста, позиции. И выше тарифной сетки ты прыгнуть не можешь, как бы ни старался. Ты точно знаешь, что через пять лет ты будешь на такой-то позиции и с такой-то зарплатой. Хорошо ли ты работаешь, плохо ли, семнадцать часов в день или восемь — никакого влияния на твою зарплату и карьеру это не имеет. Я бы назвала это «стеклянным потолком», через который ты можешь смотреть наверх, но преодолеть его не получится.
В США карьерный рост происходит в соответствии с твоими навыками, и рост зарплаты тоже.
В Германии я считалась очень молодой, мне было не положено занимать никаких ответственных постов. В Америке же я сразу получила lead – ведущую позицию.
В Германии процесс поступления на работу может длится год, ты будешь проходить десять интервью в одну компанию с каждым из менеджеров, и, если проколешься хоть один раз, тебе могут отказать. Но при этом и уволить тебя могут только в крайнем случае. В США все происходит гораздо быстрее, так как у компании мало рисков. Если что-то не устраивает — сразу до свидания.
Я знаю американцев, которые переезжают работать в Германию, потому что хотят стабильности и нормальный рабочий день с восьми до пяти. Но знаю и немцев, которые переезжают в США, чтобы достичь большего. То есть рабочая миграция идет в обоих направлениях, у каждого человека свои предпочтения.
Помимо условий работы, в чем разница между этими странами?
Германия — очень социальное государство. Здесь сильно развита всякая социальная поддержка. Там я платила налог 36%, куда входила медицинская страховка, страховка по безработице, пенсионные отчисления, а также траты на общественные нужды типа школьного образования, ремонта дорог и так далее. В США я плачу налог в 40%, и туда не входит ничего. За медицину я должна платить из своего кармана, пенсионные накопления делать сама, плюс откладывать на случай того, что останусь без работы. Социальных пособий тут почти нет.
С другой стороны, поскольку у тебя нет никакой помощи от государства, это заставляет тебя больше двигаться, работать, думать, куда вложить деньги. В этом плане тут все более напряженно, чем в Германии. Еще я заметила, что в США выгоднее жить в паре, чем одному. Партнер становится твоей страховкой на случай неожиданного увольнения или других непредвиденных ситуаций. В Германии ты спокойно можешь жить один, купить машину, снимать жилье, покупать подукты — средней зарплаты на это хватает, плюс в случае увольнения с голоду ты не умрешь и всегда будешь иметь крышу над головой.
В IT-сфере традиционно больше мужчин. Как относились к тебе в разных странах коллеги-мужчины?
Однажды меня пригласили с докладом на секьюрити-конференцию в Германии, которую организовывал Siemens. Там я была единственной женщиной из 88 мужчин. Причем большинство из них думали, что я тут просто вино разношу. Откровенно говоря, серьезно меня мало кто воспринимает. Все мужчины, причем неважно, из какой они страны, делятся на тех, кто нескрываемо плохо относится к женщинам в сфере безопасности, и тех, кто действительно смотрит на тебя как на специалиста. Но в среднем опыт у меня скорее отрицательный.
По-человечески коллеги-мужчины прекрасно к тебе относятся, но как только ты начинаешь говорить о технических вещах, они сразу смотрят с недоверием.
С какой бы женщиной я ни говорила — старше по возрасту, выше по должности — у всех те же проблемы. Если ты говоришь умную компетентную вещь, то реакция такая: «Да, наверное, что-то в этом есть, надо об этом подумать». Как только эту же мысль высказывает мужчина — все сразу: «Да-да, это клево». Поэтому любой женщине в нашей области приходится работать в пять раз больше и знать в пять раз больше, чем мужчине.
Ты должна каждый день доказывать, что ты не осел. Если честно, это очень утомляет и иногда хочется все бросить и просто пойти красить ногти.
Неужели никаких плюсов от того, что вас так мало?
Ну, иногда плюсы все-таки бывают. Когда на конференцию приглашены один мужчины, это скучно. И тогда организаторы говорят: «а давайте разбавим наш состав, пригласим женщину». И вот ты едешь на конференцию, потому что тебе не только есть что сказать, но и потому что ты женщина.
Как общаются в этой сфере сами женщины между собой?
Самые крутые возможности, которые мне поступали по работе, были от женщин. Написать статью, выступить с докладом, стать частью проекта. Все в этом мире строится на возможностях и на том, что кто-то тебе их однажды предоставит. Потому что мужчины, когда можно что-то реально крутое сделать, в своем узком кругу все обсудят и распределят, а женщины остаются на периферии. А поскольку в нашем профессиональном комьюнити очень мало женщин, им остаются только объедки возможностей. Нам намного тяжелее расти, мы стараемся друг друга поддерживать.
В то же время нельзя сказать, что я не часть хакерской тусовки. Ко мне прекрасное отношение, но все равно это не уровень мужчины. Будь я мужчиной, я была бы уже гораздо дальше в профессии. Немного успокаивает то, что я не одинока. В России я разговаривала с одной очень талантливой девочкой. Она еще не закончила технический вуз, но уже начала работать и хотела знать, испытываю ли я подобную дискриминацию. То есть ей уже тяжело. Она спрашивала, сможет ли она достичь какого-то уровня или ее просто завалят тапками. Это тот этап, когда мы уже можем потерять женщин в профессии.
Или, например, недавно я сделала один из своих самых лучших докладов на самой крутой хакерской конференции Black Hat. О нем написали Spiegel и другие крупные издания, но были и те, кто сказал: «Ну что там Марина опять? Ерунда какая-то». Это жутко демотивирует.
Black Hat приглашал тебя как женщину или как специалиста?
Как женщину-специалиста (смеется). На самом деле это самая престижная конференция в мире безопасности. Я уже докладывалась на ней четыре раза. Мне иногда даже самой сложно это осознавать.
Какое решение проблемы дискриминации ты видишь?
Во-первых, надо менять предрассудки, которые застряли в голове. Без этого мы никуда не сдвинемся. Во-вторых, каждая страна должна устанавливать законы, которые исключают подобную дискриминацию. В Германии, кстати, он уже есть. Если на одну и ту же техническую должность претендуют мужчина и женщина, и они одинаково подходят на должность, то обязаны взять именно женщину.
Мой самый позитивный опыт работы в этом плане был в компании Shell в Нидерландах. Это компания, где у сотрудников нет ни цвета кожи, ни пола, ни национальности, ни возраста. Если тебя приняли на работу, значит ты компетентный работник и к тебе соответствующе относятся. В Shell я была очень эффективной, потому что не была ни блондинкой, ни женщиной, ни украинкой, а просто профессионалом. Мне было очень комфортно и удобно работать.
Как сейчас вообще кадровая ситуация в сфере IT-безопасности? Эта тема становится все более популярной…
Сейчас в США, да и почти во всем мире осознали, насколько секьюрити-безопасность важна. Возросла потребность в грамотных специалистах. Сейчас в Америке очень популярны фирмы, которые предлагают «хакеров напрокат». Они нужны тогда, когда в штате у тебя нет постоянного секьюрщика, а надо проверить оборудование или систему.
Если раньше хакеры работали в основном на правительственные структуры, то сейчас появились коммерческие компании, где и зарплата выше, и задачи интереснее. Поэтому многие страны, в том числе Германия и США, на государственном уровне пытаются привлечь людей, вкладывают огромные деньги в университетские программы, чтобы взрастить собственную рабочую силу.
В то же время мне известны случаи, когда некоторые хакеры, которые начинали в криминале, сейчас хотят выйти из тени и работать в открытую. Но это практически невозможно, потому что криминал тоже не хочет терять ценных сотрудников.
Ты принимала участие в расследовании кибератаки на «УкрЭнерго» в декабре прошлого года…
Да, вы, конечно, помните, что атаки на энергосеть Киева были дважды — в 2015 и 2106 гг. И если первую атаку украинцы поручили расследовать американцам, то вторую расследовали сами. Мне было важно этим заниматься, потому что Украина — страна, где я родилась, выросла и училась, там до сих пор живут мои родители и родственники. И хотя сейчас по паспорту я гражданка Германии, а живу в Америке, меня на всех конференциях и встречах называют украинкой. И это именно то, как я себя чувствую.