пятница, 20 марта 2020 г.

Самозащита. Учимся работать на себя в ИБ. Иван Пискунов

1. Расскажите, пожалуйста, немного о себе. Образование, стаж работы, опыт.
Меня зовут Пискунов Иван Владимирович, мне 31 год. Я начал работать еще с 4 курса университета, то есть, по большому счету, где-то 11-12 лет в индустрии. Образование у меня профильное: информационная безопасность, специалитет, красный диплом. Общий бал у меня 4,92, если я не ошибаюсь, лучший показатель в группе, группа у меня была человек 30 — 35. Я начинал с техника техподдержки, с администратора информационной безопасности. Долгое время работал просто системным администратором, потому что я сам из Иркутска и, к сожалению, в этом городе не было работы по информационной безопасности, приходилось идти по смежке, чтобы хоть как-то заработать и развивать технические скиллы. 
После этого я работал в различных организациях, в том числе в государственных, в частности, я работал в муниципальной больнице, участвовал в конкурсе на госслужбу в Министерство финансов Иркутской области. Работал в Научно-исследовательском проектном строительном институте – это коммерческая организация, холдинг на 700 человек, работал в подрядчике ПАО «Газпрома», работал в иностранной компании, которая занимается аутсорсингом услуг, в том числе по информационной безопасности. Последние два года я работаю на фрилансе. У меня было свое ООО, его пришлось закрыть, сейчас я нахожусь в режиме самозанятого. По сути, это частная практика, фриланс, практически как индивидуальный предприниматель, только новая форма.
2. Где сейчас живете?
Живу я в Москве, в марте будет 4 года, как переехал. Сам из города Иркутска, там родился, рос, там получал образование, там проходил дополнительные курсы, которые были доступны на тот момент.
3. Когда начали заниматься фрилансом/подрядом/удаленкой?
После ВУЗа приходилось работать на двух работах или где-то подрабатывать, потому что, к сожалению, зарплаты были не очень. Жить хочется полноценно, на тех должностях, на которых я работал, не хватало денег. Поэтому я работал на основной работе и пытался выполнять любые работы, которые мне помогали заработать: от настройки конфигурации оборудования до решения проблем с безопасностью, например, системы сертификации КриптоПро, установки специализированного софта. Если говорить о том времени, когда я занялся фрилансом полноценно, то это последние два года, с конца 18го.
4. Какие виды работы вы выполняете?
Я стараюсь выполнять все виды работ в информационной безопасности, которые пользуются спросом. За что платит клиент на рынке, то я и стараюсь предлагать. Прежде всего это пентесты: пентесты инфраструктуры, пентесты веба, любое техническое тестирование информационных систем, которые базируются на Windows, либо на Linux, как на open source софте, так и на enterprise коммерческом, в виде SQL серверов и тому подобного, для всего, что в IT ландшафте есть у enterprise я могу провести тестирование либо аудит защищенности. Вторая услуга, которую я стараюсь продвигать – это форензика или кибер расследования. Если были какие-то инциденты, утечки, проблемы, связанные с потерей данных от НСД, то я использую определенные инструменты чтобы восстановить сценарий произошедшего, идентифицировать эту проблему, если это возможно, то установить злоумышленника (чаще это не получается), предложить варианты защиты, чтобы в будущем этого не повторилось. Третье чем я занимаюсь, это классический консалтинг. Это консультирование по любым вопросам: техническим, правовым, юридическим, связанным с ИБ. это корректировка политик, регламентов, написание различной документации, которая регулирует процессы безопасности в организации, – все, что так или иначе относится к бумажной безопасности. Четвертая составляющая, которой занимаюсь я исключительно (иногда у меня есть коллеги, которые подключаются) - преподавание и обучение. Веду частные курсы, сотрудничаю с различными учебными центрами и школами, которые предоставляют курсы по информационной безопасности. У меня есть опыт преподавания: два года в университете в Иркутске и один год в Московском Политехе.
5. Кто заказывает работу (интегратор, университет, завод, портал, журнал, физические лица)?
Поскольку я частник и, собственно говоря, у меня нет какого-то маркетинга, громкой кампании, мои клиенты – это мелкий бизнес: магазинчики, кафешки, которые думают о безопасности, но у которых нет больших денег, чтобы платить их большим игрокам рынка. Это те, кто задумываются о проблемах ИБ, или у кого случилась утечка, и они хотят обеспечить достойный уровень безопасности. Бюджета у них под это нет, и я пытаюсь решить эту проблему за адекватные деньги для них с адекватным качеством. Обращаются физические лица. Ко мне обращалась женщина, которая подозревала своего мужа в «нечестных отношениях с женщинами незнакомыми ей», и просила помочь ей расшифровать переписку в WhatsApp, восстановить удаленные фотографии. На эту тему у меня есть статья в журнале Хакер, я там описал все обезличено, но это реальный кейс, с которым я сталкивался. Больше заказчиков нет: либо мелкий бизнес, либо физические лица.
6. Оформляете ли вы отношения с помощью договоров? На что обращаете внимание в договоре?
Да, конечно, обязательно, я оформляю все через договор. Есть стандартный, который оформляю я, либо предлагает сам заказчик. Я его изучаю и, если все в порядке, мы его подписываем. Обязательно фиксируем сроки, стоимость и условия, по которым считается, что работа выполнена. Потому что я не раз натыкался на «честное слово», когда я делал работу, вперед отдавал отчеты, а мне потом долгое время не могли заплатить деньги, либо когда я делал работу, а мне отказывали и не платили деньги, либо говорили, что там что-то не доделано, а договора не было, я просто верил человеку на слово. Однозначно все через договор, все через фиксацию условий и еще могу добавить, что я всегда работаю с авансом. Раньше много было ситуаций, когда, например, достаточно крупной суммы договор, я делал все вперед, отдавал и мог пару месяцев дожидаться своих денег, и никакого рычага давления у меня не было. А идти в суд было просто невыгодно, потому что, если нанять адвоката, оплатить пошлины, пройти процедуры востребования, вышли бы как раз те деньги, которые я заработал, даже дороже. Это просто невыгодно. Так что обязательно договор, обязательно аванс и обязательно условия, по которым определяется что работа выполнена.
7. Оформляете юридическое лицо, ИП, самозанятость? Расскажите о нюансах.
В принципе я уже сказал, изначально у меня было свое ООО на общем режиме налогообложения, но ООО пришлось закрыть. В Москве введен режим самозанятого, это более выгодно, чем ИП. Я нахожусь на режиме самозанятого: 4% при расчете с физиками и 6% с юр лицами, это гораздо выгоднее, чем 13% по ГПД.
8. Где ищете заказы?
Либо я ищу заказы, либо меня ищут. У меня есть некая известность в ИБ индустрии, потому что мир тесен, все друг друга знают, если не лично, то через кого-то точно, даже в Москве несмотря на то, что здесь достаточно много компаний, занимающихся безопасностью. У меня есть своя известность, свой бренд, есть блог, Telegram канал, статьи в Хакере, публичные выступления, я где-то общаюсь с людьми, обмениваюсь контактами. Иногда меня по этим контактам находят и предлагают какую-то работу выполнить. Я размещался в различных сайтах по фрилансу, предлагал свои услуги, размещал свои контакты, таким образом люди на меня выходили, мы обсуждали условия, если могли договориться, то я брался за работу.
9. Важна ли публичность в вашей работе? Личный бренд повышает стоимость услуг?
Да, конечно, однозначно. Я занялся фрилансом, потому что у меня есть личный бренд, узнаваемость, репутация, если я делаю работу, то делаю работу качественно, либо я не берусь за работу, если в ней не уверен, потому что репутацию купить невозможно. Деньги заработать можно, репутацию вернуть обратно невозможно. Личный бренд я создавал годами, начиная со статей, с блога, с выступлений на конференциях, на каких-то больших ивентах и т.п. Публичность в этом плане мне помогла. Правда иногда меня находят люди, которые вообще обо мне ничего не знают, им кто-то порекомендовал, передал мою визитку, они верят на слово тем людям, которые порекомендовали. В целом публичность свой плюс однозначно дает.
10. Как проводятся переговоры? Устно, письменно?
Здесь, конечно, от ситуации зависит. Если есть возможность подъехать в офис и увидеться с человеком неформально (бывает в кафе сидим после конца рабочего дня), мы, конечно, обговариваем условия прежде всего устно. Если сначала запрос поступает на почту, то мы сначала все фиксируем предварительно, потом встречаемся, все обговариваем и перекладываем в договор. Здесь в зависимости от ситуации, кому как удобно, от сложности задачи, от того каким образом был инициирован первичный контакт: был это звонок, письмо, сообщение в мессенджере или личная встреча.
11. Как вы определяете стоимость своих услуг? Из чего она складывается?
Во-первых, есть понимание, сколько может стоить та или иная услуга на рынке, я конечно отталкиваюсь от этого. Во-вторых, я отталкиваюсь от своих трудозатрат: какие инструменты использую, покупаю ли программное обеспечение, приходится ли тратиться на дорогу, на перелеты в другой город, на командировку, либо это можно сделать локально, добравшись на метро, на такси. Затраты складываются из трудочасов, которые потрачены, одну задачу можно сделать за один рабочий день, другую задачу, например, аудит за 25-30 часов. Из понимания стоимости трудового часа, используемых инструментов, средней услуги по рынку, из всех этих моментов складывается некая средняя сумма, которая в конечном счете все равно обговаривается с заказчиком, в зависимости от лояльности заказчика, от того как мы договариваемся, она фиксируется и попадает уже в конечный договор.
12. Требует ли ваша работа наличия лицензии, специального образования или сертификата? Нужно ли покупать что-то кроме ноутбука?
Ноутбук идет по умолчанию. Раньше, когда я только начинал, у меня было два или три ноутбука. С одного я запускал сканирование, с другого я запускал сканирование внешнего периметра веба, с третьей машины я, например, делал еще какие-то операции при penetration test. Сейчас виртуальные машины стоят в облаке, у меня есть ноутбук, с которым я приезжаю, дальше мне дают VPN канал и какие-то работы я делаю через облачную инфраструктуру. Мне хватает того образования, которое я получил в университете, дополнительных курсов и самообразования в виде книг и тому подобного за те 11 лет, что я занимаюсь безопасностью. Сертификат у меня есть и не один, у меня есть и Cisco Certified Network Associate и Certified Ethical Hacker, у меня есть Microsoft Certified Systems Administrator и т.п. Не скажу, что они требуются для работы, но, если надо, я могу их показать, иногда они играют положительную роль. Что касается наличия лицензий: для предоставления услуг по penetration test требуется лицензия.
13. Какими инструментами планирования вы пользуетесь? Бумажные ежедневники или электронные планеры?
Честно говоря, я не любитель всех этих электронных вещей, гаджетов, я пользуюсь двумя: у меня есть календарь Mail.ru, на него у меня почта завязана рабочая, и Google календарь. И, собственно говоря, записная в телефоне, в которую я могу накидывать что-то чтобы не забыть по дороге, когда я еду в метро, если надо после звонка зафиксировать о чем говорили. Специальными программами я не пользуюсь. Никакими диаграммами Гантта по продвижению проектов я тоже не пользуюсь. Все остальное то, что мне нужно я помню, все что нужно записать, чтобы не держать в памяти, я записываю просто в виде текстовика в телефоне, звонки встречи я подвязываю в и Google календарь. В принципе, всего этого набора мне хватает, и расширять его я не собираюсь.
14. Как оцениваете показатели своего труда? Можно ли спрогнозировать нагрузку?
Начну отвечать с крайнего вопроса. Нагрузку, наверное, спрогнозировать невозможно. Потому что было такое, что я пару месяцев работал без выходных, было много проектов, задач насыпалось, нужно было их делать, я подписал контракт. Но как правило летом где-то с конца мая по середину сентября работ нет. Многие уезжают в отдых, ротации, переходы, жара сказывается. Как правило проекты буксуют. Все переносят их либо на осень, либо на конец года, чтобы закрывать бюджеты. Из этой практики можно сказать, что в теплый сезон нагрузка минимальная, а максимальная где-то, скорее всего, на осень, зиму, еще на весну. Но выстрелить может в любое время. Однозначно говорить невозможно. Как я оцениваю результаты своего труда? Да очень просто. Заработал я что-то за месяц или не заработал, проел эти деньги и прокатал их? Иногда приходится продавать услуги, делать презентации, рассказывать что-то клиентам, а в итоге клиент отказывается, говорит, что подумает, или ему это не нужно. И в итоге несколько дней презентаций, поездок, несколько встреч, часов прошли впустую. Я потратил их, и мне никто не компенсировал. Показатель очень простой – сколько ты заработал за месяц. По состоянию счета можно сказать хорошо ты сработал или плохо.
15. По каким признакам определяете «плохого» или «хорошего» заказчика? Используете интуицию?
Мне этот вопрос очень нравится. Интуицию я безусловно тоже использую. Некоторый внутренний голос мне что-то подсказывает, но все-таки я смотрю по манере человека общаться и по его потребностям. Есть люди, которым серьезно нужно решить какую-то проблему, и они хотят это сделать. А некоторые просто интересуются, спрашивают, но видно, что они больше заинтересованы в информационных услугах: что-то узнать, стоимость выяснить или просто поговорить нужно. Если люди конкретного толка: «Что будешь делать, в какие сроки, что тебе нужно, какая цена, мы подписываем договор». Есть люди, которые тянут: «Вот расскажи, что ты можешь, можешь ли то, другое, у нас есть то и то, как ты считаешь, например». Или: «Ну ты там скинь нам презентацию, мы посмотрим, через неделю встретимся». Есть люди, которые ориентированы на дело, с ними можно сразу результат получить. А есть заказчики, которые не заинтересованы, они тратят свое и твое время, и ничего хорошего из этого не получается. Либо есть люди, которые начинают увиливать, например, от подписания договора, в котором я сразу прописываю аванс. Если человек начинает отказываться, не объясняя почему он так делает, то скорее всего он что-то темнит. Здесь с ним нужно быть осторожным.
16. Расскажите интересный/смешной/пугающий случай из практики.
Все кейсы, которые мне попадались, были интересными и нестандартными. Иногда приходилось искать нестандартный подход, потому что спросить было не у кого. В интернете такой информации не найдешь. Коллеги тоже не расскажут, обратиться к кому-то вариантов нет, ты решаешь эту проблему сам, а ты уже взялся и подписал контракт, уже пообещал заказчику, что задача будет решена, и уже не имеешь права слиться и отказаться. Все кейсы были интересные - это некий челендж, и так или иначе я со всеми справлялся. Смешной или пугающий случай? При тестировании на проникновение пароль по умолчанию admin admin, какая-нибудь база неучтенная висела с открытыми портами, о ней вообще никто не знал. Ну то есть какие-то глупые ошибки, детские, которые могли привести к печальным последствиям, если бы это был реальный хак, а не проникновение по заказу.
17. Какой совет можете дать начинающим фрилансерам?
Я, наверное, скажу так, порой фриланс не проще чем работа «на дядю». Потому что, помимо того, что тебе нужно делать работу, помимо того, что тебе нужно обладать компетенциями техническим, скиллами ты еще должен уметь продавать, уметь общаться с заказчиками, ты должен быть психологом. Как минимум, ты должен правильно подавать свои услуги, а это не всем дано, не все это могут. Есть люди, которые хорошо разбираются в технике, но не очень хорошо разбираются в продажах. Либо, например, в психологии коммуникации. Они просто не могут продать. Здесь можно подумать начинающим фрилансерам: готовы они к этому или нет? Можно продолжать развиваться и набирать опыт и расти в рамках enterprise, быть наемным работником. Либо, если ты чувствуешь силы, и по каким-то причинам тебе это больше подходит, ты чувствуешь, что фриланс – это по жизни твое, ты не готов сидеть в душном офисе, кому-то подчиняться и работать на кого-то, тогда, конечно, нужно заниматься фрилансом и пробовать и пробовать. Главное, оценить на входе свою готовность, чтоб потом не жалеть. Я бы дал такой совет: все взвесить, подумать оценить и потом только принять решение.
Большое спасибо за ответы!

Сайт Ивана:



_________
Ну и, как всегда, минутка саморекламы. В ноябре вышла моя вторая книга по защите персональных данных. Чтобы приобрести "Персональные данные: как перестать беспокоиться и начать защищать?", обратитесь в личные сообщения:


Вконтакте: https://vk.com/shudrova
telegram: @KseniaShudrova
instagram: @boyarinya_marshmelova 
Книга электронная! Стоимость - 200 р.

1 комментарий: