Девушки в РБПО. В преддверии 8 марта BIS Journal беседует с девушками, работающими в сфере РБПО

Девушки в РБПО. В преддверии 8 марта BIS Journal беседует с девушками, работающими в сфере РБПО

Карина Нападовская, руководитель Центра сертификации и соответствия стандартам в АО «Лаборатория Касперского»

— Ваш путь в РБПО?

— Если бы в школе и институте мне сказали, что я буду работать в ИТ-компании, да еще иметь отношение к РБПО, я бы сильно посмеялась. С компьютером и новыми технологиями я всегда была на вы. Получала себе спокойно специальность экономиста-управленца в автомобильно-дорожном университете и собиралась стать министром транспорта. Но в одночасье жизнь кардинально изменилась, на пятом курсе института мне нужно было срочно выйти на любую работу, и по воле судьбы я устроилась в одну из испытательных лабораторий и стала заниматься сертификацией ПО. За несколько лет карьеры стало очевидно, что моя сильная сторона — это умение руководить проектами, управлять командой и выстраивать коммуникации. Так я оказалась в «Лаборатории Касперского», где искали именно такого специалиста, и создала центр сертификации, который на сегодняшний день является образцово-показательным в отрасли. Ну и здравствуй, РБПО!

— Что Вы считаете важным для развития РБПО в отрасли?

— Всегда говорила, что самое важное — это осознание, принятие и продвижение РБПО руководством компании. Без полной поддержки, как ресурсной, так и бюджетной, выстроить РБПО нельзя. Можно сделать пародию на РБПО, временно решить точечную задачу, но создать отлаженную машину — бесперебойно работающий механизм, коим и должна стать безопасная разработка в компании, — нельзя.

— Одна-две забавных истории из вашей карьеры?

— Когда в 2016 году активно начались разговоры про РБПО, появились соответствующий ГОСТ и инициатива ФСТЭК по внедрению РБПО вендорами, я понимала, что просто попросить команды разработки что-то поделать — очень плохой вариант. Нужен масштабный подход, правильная цель, полная поддержка. Соответственно, нужно не просто плыть по течению и делать что-то, как все, чтобы формально соблюсти требования по сертификации (важно заметить, что все начинали внедрять РБПО, чтобы не было проблем с получением сертификатов, не для реальной пользы в разработке продуктов!) — нужно возглавить это направление. Стать первыми. Показать реальный профит. Руководство компании поддержало эту позицию, ведь Лаборатория Касперского — это флагман в области защиты информации, чья миссия — спасать мир. Ну и безусловным преимуществом было то, что практики безопасной разработки в части анализа уязвимостей и отдельные другие уже были внедрены в компании на высоком уровне. Этот путь мы начинали не с нуля. Дальше нужно было культивировать эту историю (здесь мы вспоминаем, что я на вы с новыми технологиями, про РБПО я знала немного). И я создала многим известное мероприятие Certification Day, которое в этом году пройдет уже в 11-й раз. Цель — на единой площадке с вендорами, регуляторами, испытательными лабораториями, органами по сертификации обсуждать практические проблемы внедрения практик безопасной разработки. Многие, как и я, знали об этом немного (смеюсь). Мы учились, делились опытом, обсуждали проблемы и подходы с регулятором, который слышал боль отрасли и корректировал нормативные документы таким образом, чтобы они были актуальными, полезными и жизнеспособными. Также мы обкатали на себе и первую методику ВУ и НДВ, продемонстрировав отрасли её выполнимость. Закрепили успех, переписав ГОСТ по безопасной разработке в команде с другими передовыми компаниями. За десять лет РБПО буквально переродилось. Это было рискованно. Ну а что, кто не рискует, тот не пьет шампанское, а шампанское я люблю.

— «Женский взгляд»?

— Женщины — уникальные существа. В нас уживается бесконечное множество противоречивых натур, и нам проще найти нужный ключик к сложной задаче, неоднозначному проекту, неразрешимому конфликту, нереальной цели. Важно оставаться женщиной в любой ситуации, на любой позиции, каждый день. Желаю нам всем не растерять свою суть, нести в мир, на работу и домой прекрасное, доброе и светлое — для этого мы и созданы!

Елена Быханова, начальник отдела аудитоконсалтинга процессов РБПО НТЦ «Фобос-НТ»

— Ваш путь в РБПО?

— «Оказалась в нужное время, в нужном месте» — так я пришла в РБПО три года назад, когда впервые встретилась с евангелистом РБПО Дмитрием Пономаревым в МГТУ им. Баумана на студенческой секции. Я попала в сферу в отличное время — как раз в самый разгар набирающего популярность движения, а именно популяризации парадигмы безопасной и качественной разработки. Положительно сказывающиеся на развитии сферы события происходят одно за другим: нарастает регулярность проведения тематических конференций, ведутся работы по созданию стандартов в техкоме (ТК362), начинают приглашать экспертов на интервью в журналы и подкасты. Тут же по стечению обстоятельств начинает приобретать востребованность аудитоконсалтинг, который становится моим основным профилем. Считайте, что в РБПО мы с ним пришли в одно и то же время, так как набирать популярность эта услуга начала как раз за год до выхода ГОСТ Р 56939–2024.

— Что Вы считаете важным для развития РБПО в отрасли?

— В дискуссиях с коллегами по отрасли часто всплывает вопрос о том, что является важным для развития РБПО. Сперва на него хочется отреагировать обратным вопросом: «А кто спрашивает: регулятор, разработчик, потребитель?». Хотя, впрочем, это неважно, ответ один: «Не переставать видеть в этом ценность для России».

От потребителя должны исходить запросы, от разработчика — готовность и инициатива, от регулятора — неукоснительность и разумность. Развиваться будет то, на что есть спрос, что считается перспективным, в чем видят необходимость. А для того, чтобы РБПО было тем самым, требуется повышать уровень культуры всех заинтересованных сторон, демонстрируя ценность результатов для решения задачи повышения качества и конкурентоспособности отечественного программного обеспечения.

— Одна-две забавных истории из вашей карьеры?

— Что ж, их много, каждый день сплошные забавы. А главная из них, даже не знаю, квалифицировать это в положительном или отрицательном ключе, следующая: «нет цели, есть только путь». Как аудитоконсалтер, я должна постоянно наращивать собственные (и членов моей команды) компетенции в вопросах выстраивания процессов РБПО и их качественной оценки. При этом с годами я начинаю осознавать, что «чем больше я знаю, тем больше я понимаю, что ничего не знаю». Для меня, специалиста, занимающегося распространением знаний об РБПО в массы и несущего ответственность за качество передаваемых знаний, важно всегда обладать актуальной информацией и высококлассной экспертизой в сфере, которая развивается невероятно быстро. Так что факт того, что сколько ты в этом РБПО ни развивайся, всё равно конца не увидишь, остаётся таковым — «забавным». Отсюда, дорогие читатели-разработчики, второй «забавный» факт: и вы тоже со временем приходите к такому осознанию и затем начинаете понимать, что требуется в рамках процесса №1 ГОСТ Р 56939–2024, а именно постоянный анализ, развитие, реализация.

— «Женский взгляд»?

— Как я понимаю, здесь надо написать «от женщины для женщин», ну тогда: «Берегите мужчин!». Поддерживайте тех, кто выше вас, и помогайте тем, кто ниже вас. Всем дамам в преддверии праздника желаю осознать свою ценность и применить навыки во имя общего Дела.

Евгения Ремезова, начальник отдела технической экспертизы ООО НТЦ «Фобос-НТ»

— Ваш путь в РБПО?

— Моя история в РБПО началась более пяти лет назад. Тогда это была ещё небольшая региональная компания, основанная выпускниками Орловской академии ФСО России в городе Орле. Начав как технический писатель, я получила ценный опыт в сфере информационной безопасности, изучила сертификацию, специфику ИТ-компаний и важность качественной документации. Затем перешла в отдел технической экспертизы, где занималась стандартизацией документации, участвовала в разработке нормативных документов по вопросам информационной безопасности и проведении аудитов на соответствие требованиям РБПО. Сейчас я возглавляю этот отдел, что позволяет мне не только решать конкретные задачи компании, но и формировать будущее отрасли, определяя стандарты и подходы к обеспечению безопасности ПО.

— Что вы считаете важным для развития РБПО в отрасли?

— Развитие практики безопасной разработки ПО является критически важной задачей для современных компаний. На мой взгляд, ключевыми факторами успешного внедрения РБПО являются три основных направления:

1. Стандартизация подходов. Крайне важна единая система стандартов и регламентов, регулирующих процесс разработки и эксплуатации ПО. Отсутствие чётких критериев оценки, различие в понимании терминов — всё это ведет к разночтениям между разработчиками и регулятором. Единая терминология необходима для правильного понимания требований и корректного исполнения задач всеми участниками процесса. Стандарты должны охватывать широкий спектр аспектов, начиная от выбора инструментов анализа уязвимостей и заканчивая процедурами тестирования и контроля качества.

2. Развитие и улучшение существующих стандартов. Любые стандарты требуют постоянного обновления и совершенствования. Технологии развиваются стремительно, появляются новые угрозы и методы атак, соответственно, требования к защите должны регулярно пересматриваться и обновляться. Для этого необходимо тесное взаимодействие разработчиков с регулятором. Важно поддерживать открытый диалог, способствующий формированию наиболее эффективных рекомендаций и решений. Регулярные семинары, конференции и рабочие группы способствуют обмену опытом и созданию единой базы знаний, необходимой для качественного развития стандарта.

3. Автоматизация процессов документирования. Одним из ключевых факторов повышения эффективности разработки является автоматизация процессов создания и поддержки технической документации. Инструменты автоматизированного документирования позволяют сократить временные затраты на рутинные операции, повысить точность информации и снизить вероятность человеческих ошибок. Все это способствует повышению прозрачности процессов и упрощению управления проектами.

— Одна-две забавных истории из вашей карьеры?

— Курьёзы случаются. Из последних: при проверке руководства пользователя на последней странице на всю ширину была подпись: «Этот раздел намеренно оставлен пустым». Я удаляю текст и оставляю страницу действительно пустой. Отправляю заявителю, на что приходит ответ: «Почему пропал мой секретный раздел?» Оказалось, что изначально этот раздел должен был содержать важную техническую информацию, но отдел разработки забыл заполнить его содержимым, решив временно вставить шутливую надпись.

В документации по одному из процессов РБПО, в разделе, где подробно должны были быть описаны методы проверки безопасности, встречается фраза: «Использованы лучшие практики безопасной разработки». Что, конечно, говорило о непонимании процесса и несерьезном отношении к документации и работе в целом.

— «Женский взгляд»?

— Цитируя слова песни It’s a Man’s Man’s Man’s World: «Этот мир создан мужчиной, но он был бы бессмысленным без женщин», хочу добавить, что будущее индустрии информационной и кибербезопасности зависит в первую очередь от профессионалов, готовых брать ответственность и создавать условия для дальнейшего развития отрасли. Так почему бы таким профессионалом не стать тебе?

Елена Маньжова, эксперт органа по сертификации ИСП РАН

— Ваш путь в РБПО?

— Мой путь в РБПО стартовал десять лет назад, когда я начала заниматься сертификацией ПО в рамках систем сертификации средств защиты информации. Быстро стало очевидным, что один скромный абзац в техническом задании о соответствии разрабатываемого ПО требованиям по безопасности информации, расположенный где-то вдали от функциональных требований, — это только верхушка айсберга, под которой скрывается огромная глыба требований, способная привести к срыву работ. Выполнение этих требований без пересмотра подходов и процессов непосредственно разработки — затруднительно и очень затратно, особенно на последнем этапе.

— Что вы считаете важным для развития РБПО в отрасли?

Интересно, что в настоящее время, даже если организация не учитывает требования безопасности при разработке ПО, так как обязательная сертификация как будто бы не нужна, а разработчик не задумывается о безопасности кода, который пишет, или о безопасности заимствованных компонентов, которые использует, — это не освобождает их впоследствии от необходимости этим требованиям соответствовать. Ни одному уважающему себя заказчику не нужно небезопасное ПО. Терять выручку или доверие пользователей после компьютерного инцидента с использованием уязвимостей небезопасного ПО — вот что реально болезненно.

Наверное, осознание этого является наиболее важным для развития РБПО в отрасли. РБПО — это инвестиция в свою репутацию (или в своё резюме), в качество и место на рынке. И это не так сложно, как кажется, но требует в первую очередь правильной мотивации, а во вторую — правильных проводников.

— Одна-две забавных истории из вашей карьеры?

— Из своего профессионального опыта хочется сказать следующее: чем быстрее удастся перейти из стадии отрицания в стадию принятия и начать перестраивать свои процессы с учетом концепции РБПО, тем лучше.

Иногда разработчики пытаются обосновать отсутствие необходимости в реализации некоторых процессов РБПО, проявляя удивительную смекалку: ссылаются на статьи гражданского кодекса или на тот факт, что разработка является коммерческой и «без обязательств», что их ПО не является средством защиты информации, приводят интересные толкования нормативной базы. Спойлер: это не помогает, когда начинают срываться сделки. Также ничем хорошим не заканчивается замалчивание, когда разработка ведется вне концепции РБПО, а разработчики приходят к соответствующим специалистам уже после выпуска продукта на рынок при возникновении проблем с реализацией.

Поэтому важно последовательно выстраивать культуру и процессы РБПО в организации в целом, с определённой очередностью и дифференциацией требований в зависимости от вида, назначения и области применения ПО.

— «Женский взгляд»?

— В преддверии праздника 8 Марта отдельно хочется сказать всем женщинам, которые занимаются вопросами информационной безопасности, сертификации и обеспечением безопасности разработки, — никогда не сомневаться в себе, с юмором относиться к предрассудкам и даже использовать их в свою пользу, ведь женщина способна добиться успеха там, где мужчины встречают сопротивление. Желаю всем легкой безопасности!

Натали Дуботолкова, руководитель группы обеспечения безопасности приложений ООО «Базис»

— Ваш путь в РБПО?

— Я начинала свою карьеру как обычный инженер-программист .NET, но на стажировке выпала возможность дополнительно занять место Security Champion в проекте. На тот момент я даже не представляла, во что вписалась, и как это изменит мою карьеру. Именно там я впервые погрузилась в моделирование угроз и попробовала свои силы в проектировании безопасной архитектуры. Там же я впервые столкнулась с непониманием со стороны разработки необходимости усложнять и менять существующую устоявшуюся архитектуру. После стажировки я сознательно выбрала роль AppSec-инженера в той компании. И поняла: вот он, мой мир, где есть чёткие правила, строгость и однозначность. Мне это оказалось гораздо ближе, чем творческая неопределённость в чистой разработке.

— Что вы считаете важным для развития РБПО в отрасли?

— Я очень рада, что сейчас всё больше и больше говорят о важности безопасности в жизненном цикле разработки. В целом для отрасли я считаю ключевым смещение фокуса с формальных показателей на суть. Нам нужна гонка за качеством и реальной безопасностью продукта, а не за красивыми сертификатами на стене или погоней за новыми функциями любой ценой. К сожалению, пока это часто остаётся мечтой о мире розовых единорогов.

— Одна-две забавных истории из вашей карьеры?

— Любовь к учёбе — мой конёк, бакалавриат и две магистратуры тому доказательство. Параллельно с работой специалистом по безопасности кода я изучала и другие направления информационной безопасности. Так я познакомилась с тестированием на проникновение и начала использовать разные сканеры для работы. Изучив простые виды уязвимостей, я переходила к более сложным и изощрённым и, конечно же, искала именно такие на практике. Однажды мне выпала возможность провести свой первый реальный пентест на сайте внутренних услуг компании. Я, полная амбиций, сразу нырнула в недра сайта в надежде найти что-то «серьёзное» и показать, на что я способна. Не найдя ничего «достойного», я уверенно отписала в заключении, что сайт безопасен. А через неделю пришло уведомление: на том самом сайте обнаружена обычная, классическая XSS. Та самая, куда можно вставить alert (1) — и это сработает. Сказать, что я была в шоке — ничего не сказать. История обошлась небольшим выговором и фразой «горе от ума», которая за мной закрепилась до конца работы в той компании. Зато с тех пор я твёрдо усвоила правило: проверку всегда начинать с самого простого и элементарного. Потому что иногда самое очевидное оказывается самым опасным.

— «Женский взгляд»?

Часто говорят про какую-то особую «женскую интуицию». Я бы назвала это скорее натренированным вниманием к мелочам. И особенно — к моментам, когда всё вокруг слишком идеально. Именно в такие периоды затишья у меня включается режим максимальной боевой готовности. Потому что опыт уже научил: самые критичные уязвимости и сломанные пайплайны появляются чаще всего в этой обманчивой тишине. Так что советую и себе прошлой, и всем, кто чувствует подобный внутренний звоночек, — прислушиваться к нему. Возможно, это просто голос вашего же опыта, который тихо подсказывает, куда смотреть. В безопасности нет мелочей, и такая интуиция — это ваш первый и самый важный сканер аномалий.

И ещё один момент, важный лично для меня. Говоря о «женском взгляде», я не сталкивалась с ситуациями, где мой пол создавал бы трудности. В безопасности, как я её вижу, нет «мужских» или «женских» ролей. Есть специалист, который либо видит архитектурные риски, уязвимости, угрозы и умеет их объяснить, либо нет. И я верю, что будущее именно за такой средой, где главный критерий — не кто ты, а что ты знаешь и как умеешь применять свои знания.

Анастасия Калугина, руководитель направления безопасной разработки и инфраструктуры компании «ИнфоТеКС»

— Путь в РБПО или из каких кирпичиков он строится?

— Мой путь в безопасной разработке начался вполне классически — с программирования. При техническом складе ума, родителях-программистах и активно развивающейся ИТ-отрасли у меня не было ни единого шанса. С профессией я определилась ещё в школе, выучилась по этому направлению и продолжаю получать новые знания в дополнение к базе, с которой все начиналось. Во время учёбы на программиста я нашла подработку с гибким графиком в области системного администрирования, поэтому практический опыт в ИТ начался с этого направления. Позднее к нему прибавилась работа по направлению backend-разработки.

Что примечательно — две ипостаси («Dev» и «Ops») «жили» у меня параллельно, практически не пересекаясь, около десяти лет. Аббревиатура DevOps уже появилась, опыт в обоих направлениях накопился немаленький, но не было комплексного понимания этого термина. А потом я поменяла работу. Пришла на очень интересный инновационный проект, где не существовало готовых решений, и подход и механизмы для решения поставленных задач пришлось прорабатывать с нуля. Спустя какое-то время я поняла, что ранее абстрактный эпитет «DevOps» применительно к разрабатываемой системе перестал быть для меня сухой аббревиатурой и трансформировался во вполне определенную концепцию. И эта концепция сильно отличается от общепринятого определения. Для меня DevOps — это подход, где единственный критерий — оптимальность: если конкретную задачу эффективнее решить набором конфигураций или скриптов — автоматизируем, если лучше использовать приложение — кодируем. Хотя это уже скорее «DevArchOps», так как оценивать нужно архитектуру разрабатываемой системы в целом.

Понимание, как соединить разноплановые компетенции и какие это дает выгоды, выкристаллизовалось не сразу, но оно очень пригодилось для развития и обогащения знаний. И далее, формирование уже третьего направления до полноценного DevSecOps было для меня вполне осознанным. А потом активно стал развиваться подход разработки безопасного ПО (РБПО), и DevSecOps органично обогатился необходимостью:

• обеспечения безопасности в привязке к процессам разработки и на каждом этапе жизненного цикла ПО;
• обеспечения безопасности цепочки поставок;
• управления уязвимостями разрабатываемого и эксплуатируемого ПО;
• управления обучением сотрудников.

На мой взгляд, РБПО — на данный момент единственный системный подход для комплексного обеспечения безопасности разрабатываемого ПО. Нельзя выделить приоритетное требование или главный этап жизненного цикла ПО, только системный подход позволяет максимально обезопасить разработку продукта.

А теперь к теме женщин в РБПО. Еще пять лет назад я целенаправленно искала хотя бы пару девушек, чтобы разбавить коллектив из 40 мужчин-безопасников. Тогда результат был печальным — чтобы найти первую кандидатуру, потребовалось полгода интенсивных поисков. Девушки в ИБ просто не шли. Сейчас ситуация наконец выравнивается — отрасль безопасной разработки стала активнее развиваться, ее необходимость на рынке стала очевидно продвигаться, и женщины в безопасность стали приходить активнее. И это отлично! Когда над решением задачи работают специалисты с разноплановым опытом и подходами, когда привносят большее количество идей — это всегда позволяет достичь лучшего результата.

Альбина Аскерова, руководитель направления по взаимодействию с регуляторами Swordfish Security

— Ваш путь в РБПО?

— Мой путь, как это часто бывает, не был прямым, но вектор своего развития в ИТ я определила ещё в школе. У меня были прекрасные учителя математики и физики, которые показали «магию» точных наук и зажгли интерес на годы вперед.

Я поступила в технический вуз на направление сетей связи. Любимый Бонч (СПбГУТ им. проф. М. А. Бонч-Бруевича) стал важным этапом моего профессионального становления. На последнем курсе я уже работала по специальности, а ближе к защите диплома поняла, что задачи по защите информации увлекают меня сильнее. Сразу после выпуска поступила в магистратуру по информационной безопасности и начала работать в ИБ. И вот тут всё закрутилось!

Старт в отделе ИБ крупной госкомпании был классическим: политики, антивирусы, инциденты. Со временем пришло понимание, что мы чаще «латаем дыры», реагируя на проблемы. Это было объяснимо: молодой отдел, ограниченные ресурсы, масштабная инфраструктура и множество регуляторных требований.

Постепенно команда взрослела: выстроили процессы, начали автоматизацию, внедряли инструменты. Благодарна своим руководителям за доверие и пространство для развития.

Следующим этапом развития процессов уже моего Управления ИБ стала разработка — внутренний код и заказные решения. Это закономерно привело к погружению в мир практик безопасной разработки, а затем и в РБПО. Оглядываясь назад, понимаю, что сегодня стратегия была бы другой, но именно этот опыт дал мне прочную опору в текущих проектах.

Сложно переоценить, сколько сил, времени и души вкладывают люди, развивающие ИБ и РБПО в нашей стране, и я рада сегодня быть частичкой этого!

— Что вы считаете важным для развития РБПО в отрасли?

— На мой взгляд, ключевое — культура. Можно внедрить лучшие инструменты и стандарты, но без сдвига в отношении к созданию продуктов это упрётся в стену. Безопасность кода со временем должна стать частью профессиональной гордости и осознанной ответственности разработчика. Сейчас многое делается: развиваются сообщества, проводятся мероприятия, обновляется регулирование, меняются образовательные программы. Наверное, остаётся заложить основы безопасного ПО ещё в обучении в школе в инженерных классах, чтобы это стало естественной частью мышления будущих специалистов.

— Одна-две забавных истории из вашей карьеры?

— Один забавный случай произошел недавно. Я опаздывала с одной встречи регулятора на другую. Забежав в уже полный кабинет, заняла одно из последних свободных мест с краю стола. Оказалось, это место рядом с главой стола. Вошел инициатор встречи, и по законам жанра первые вопросы адресовали тем, кто сидел рядом, включая меня. Со временем начинаешь относиться к таким ситуациям с юмором и здоровым спокойствием.

— «Женский взгляд»?

— Убеждена, что ключ к успеху — любознательность и искренний интерес к своему делу. В технических сферах женщинам часто помогают качества: чуткость, умение работать в команде, гибкость, способность понимать не только слова, но и мотивы людей. Мы все разные, и в этом наша сила. Важно осознать и использовать свою индивидуальность, слышать друг друга и действовать сообща.

Нелли Магакелова, руководитель группы центра оценки соответствия и тестирования АО «НПО «Эшелон»

— Ваш путь в РБПО?

— Уже более четырёх лет моя профессиональная деятельность связана с информационной безопасностью. Мой путь начался с тестирования различных программ, преимущественно относящихся к банковскому сектору. Спектр задач был широким: от анализа кода и поиска уязвимостей до разработки документации. Этот опыт дал мне возможность не только находить слабые места, но и видеть, как команды реагируют на них, как принимаются решения и как устраняются проблемы в продуктах, которыми пользуются миллионы людей. Со временем пришло понимание, что безопасность — это не только про жизненный цикл уязвимости, но и про культуру команды. Позже мне удалось участвовать в полноценной разработке программного обеспечения с нуля, где мне приходилось быть одновременно разработчиком, аналитиком и архитектором. Этот опыт дал понимание того, как рождаются решения, какие компромиссы приходится искать для баланса между безопасностью и промышленной разработкой.

— Что вы считаете важным для развития РБПО в отрасли?

Что же действительно движет РБПО вперёд? На мой взгляд, ключ не только в регламентах и стандартах, а прежде всего в осознанности людей. Безопасность не должна быть обособленным этапом, про который обычно вспоминают перед релизом. Она должна стать способом мышления всей команды разработки. Не просто формальное выполнение требований, а постоянные вопросы в стиле: «Что будет, если злоумышленник попробует вот так?». Когда вопрос «Для чего нам РБПО?» становится общим языком разработчиков, аналитиков, тестировщиков и менеджеров, РБПО перестаёт быть бюрократией и превращается в инструмент создания качественных продуктов. И, что немаловажно, такой подход почти всегда оказывается экономически выгоднее, поскольку он снижает количество критических инцидентов, доработок и репутационных потерь.

— Истории из карьеры?

— Было немало случаев, когда даже продукт с высоким уровнем зрелости оказывался проблемным с точки зрения безопасности. Однажды с помощью одного отправленного вредоносного запроса удалось вывести из строя многопользовательский сервис с реальными клиентами. Как позже выяснилось, это произошло из-за неправильно настроенной инфраструктуры. Также об одном забавном случае рассказал слушатель нашего курса. При обсуждении фаззинг-тестирования в контексте непредсказуемости поведения программы коллега поделился историей, как оператор системы систематически выводил из строя программу из-за тремора рук, поскольку он отправлял запрос чаще, чем система могла бы обработать. Такие примеры демонстрируют, что порой аварийное завершение программы может возникнуть не только из-за ошибок, допущенных при разработке или проектировании, но и из-за банального человеческого фактора.

— «Женский взгляд»?

— Для девушек, которые думают об этом пути, хочется сказать следующее: не позволяйте стереотипам определять ваш выбор. История развития информационных технологий свидетельствует о том, что женщины всегда играли значимую роль в развитии этой области: Ада Лавлейс, Грейс Хоппер, Маргарет Гамильтон, Хеди Ламарр — и это лишь самые известные имена из тех, кто внёс огромный вклад в развитие компьютерных наук. Важно помнить, что в любой профессии ценится в первую очередь глубина мышления, любознательность, инициатива. Люди без индивидуальности — это всего лишь копии копий копий, а миру особенно нужны те, кто способен мыслить самостоятельно и видеть дальше шаблонов. Поэтому, если вас интересует мир разработки безопасного программного обеспечения, не бойтесь идти вперёд и создавать будущее, в котором технологии будут служить безопасно и надёжно.