Банк давно ведет политику поощрения тех, кто находит уязвимости его систем

Автор
Кристина Москаленко

Молодому украинскому разработчику Алексею Мохову, который нашел уязвимость в Android-приложении «Приват24», совсем недавно «ПриватБанк» предложил работу. Алексею, после подхвата этой темы СМИ, поступали разные предложения о трудоустройстве, но вот уже прошло несколько дней, как Алексей приступил к работе именно в «ПриватБанке». Сейчас он знакомится с компанией-работодателем и командой своего отдела.

Сейчас тебе предложили работу в «ПриватБанке», в банке, который вначале тебя чуть ли не обвинил в том, что ты взломал их систему. Ожидал ли ты такого исхода, когда искал брешь в Android-приложении «Приват24»?

Предположить такой исход можно было, но работа в банке вовсе не была целью моего исследования безопасности систем.

А как думаешь, с чем связано то, что «ПриватБанк» все же предложил тебе работу, а не подал иск в суд или проигнорировал твое действие? Может, это связано с тем, что общественность отреагировала нужным образом? Или банк в любом случае отреагировал бы подобным образом в конечном итоге? Может, какие-то другие факторы повлияли, о которых мы не знаем?

Как оказалось, банк давно ведет политику поощрения тех, кто находит уязвимости его систем и даже платит премии. В начале немного не согласованный с банком формат подачи информации вызвал определенные сложности, но, пообщавшись со специалистами и разобравшись с проблемой, у нас больше не было проблем в коммуникациях. И вообще, на месте руководства банков я бы всегда предлагал работу тем, кто смог найти возможности взлома систем. Это сегодня общемировая практика.

Известно, что тебе предложили работу в департаменте IT-безопасности «ПриватБанка». А на какой именно должности ты будешь работать?

Сегодня моя должность в банке – специалист по криптозащите.

Раньше ты работал в компании Samsung. Расскажи немного об этом опыте. Твоя должность тоже была связана с кибербезопасностью?

Нет. Там я был обычным программистом в отделе ресерча (research). Работали над новыми продуктами, но это не было никак связано с безопасностью.

Ты говорил, что после обнародования информации об ошибке в банковском приложении, к тебе поступало множество предложений по трудоустройству от разных компаний. Можешь рассказать, что это были за компании, какие должности предлагали занять?

К сожалению, не могу, так как компании просили не ссылаться (даже не знаю, почему, кстати). Например, предлагали работать над анализом продуктов для азиатских банков.

А почему твой выбор остановился именно на «ПриватБанке»?

Позвонил Дмитрий Дубилет, предложил влиться в команду. Я долго думал, советовался с друзьями. Понравился подход руководства, видно, что «болеет» за развитие банка. К примеру «Альфа-Банк Украина» проигнорировал мои письма, в которых я указывал на их небольшие оплошности. Писал, правда, в пресс-центр, потому как никаких почтовых ящиков СБ так и не смог найти.

Как ты считаешь, в общем надежная ли система защиты у «ПриватБанка»? Можешь назвать слабые места этой защиты?

Пока не могу ответить. Думаю, скоро все узнаю.

Может быть, у тебя уже есть план или стратегия по улучшению системы IT-безопасности «ПриватБанка» или вообще банковской сферы?

Мысли в этом направлении всегда есть, но еще пока нужно собрать и проработать всю информацию «изнутри».

mokhov4.jpg

Расскажи немного о своем образовании и о том, откуда ты получил необходимый опыт. Специальность, полученная в университете, связана с IT-безопасностью?

И да, и нет. Универ больше ориентирован на самообучение. Дают основу, а дальше – сам «копай». Учился я в НТУУ «КПИ», на факультете информатики.

Как думаешь, образование тебе дало необходимый опыт, который помог тебе в дальнейшей деятельности? Или откуда ты получал необходимые знания и опыт?

Если честно – особого желания учиться в университете не было, диплом скорее для мамы (смеется, – ред.). В наше время достаточно желания чему-то научиться (программисту так точно), чтобы стать профессионалом. Можно пойти на курсы, плюс интернет – и выучить можно почти все необходимое для дальнейшей деятельности всего за 2-3 года при большом желании.

Что бы ты пожелал молодым разработчикам, которые хотели бы найти себя в области кибербезопасности?

Меньше пить пиво и больше самим учиться (смеется, – ред.).

Хорошее пожелание, спасибо, Алексей, за интервью!

И тебе спасибо, Кристина.

Еще интересное

Житель Великобритании Саид Хуссейн был признан виновным в сокрытии от полиции пароля к USB-накопителю
«Доктор Веб» предупреждает о распространении очередного рекламного троянца, получившего наименование
Миллионы пользователей Android загрузили новую троянскую программу под видом законного приложения прямо с Google Play, сообщает исследователь Lookout Марк Роджерс
Интернет-активисты объединились для того, чтобы разработать меры по защите интернет-компаний от негативного воздействия американского законопроекта.
Предстоящая версия браузера Google Chrome получает новую возможность, позволяющую ему фильтровать вредоносные файлы
Систему GPS могут использовать недоброжелатели для захвата воздушных и морских судов