Лифт на парковку

Ведущий: Итак, всем привет. Меня зовут Алексей Лукацкий, и сегодня у нас действительно нестандартный формат.

Многие из вас знают понятие elevator pitch: когда вам повезло попасть в лифт с топ-менеджером, генеральным или финансовым директором своей компании, и у вас есть очень немного времени — кто-то говорит 30 секунд, кто-то минуту, в зависимости от того, едете вы на 25-й или на 88-й этаж, — чтобы донести свою мысль до топ-менеджера так, чтобы он вас понял.

А сейчас мы решили сделать reverse pitch: едем сверху вниз. У топ-менеджеров, которых я буду представлять по мере выступлений, есть возможность сказать вам то, что они думают, и донести до вас с высоты своего полета то, что многие технари не воспринимают или считают какой-то блажью.

Поскольку мы говорим про лифт, время ограничено. Но люди здесь высокого уровня, поэтому лифт едет высоко, где-то со 115-го этажа. На каждого — пять минут. Все люди опытные, свое и чужое время уважают, так что вряд ли выйдут за лимиты. Но если все-таки выйдут, у нас есть коллеги, которые автоматически отрубают микрофон человеку, нарушающему ваше время. Обычно это вы нарушаете их время, а сегодня наоборот.

Первый кандидат — Владимир Бенгин, человек, который так и не стал министром цифрового развития Российской Федерации, запустил bug bounty на Госуслугах. И благодаря ему вы имеете — или вас имеет — вся та нормативка в области кибербезопасности, которую вы все так любите.

Владимир, у вас пять минут. Время пошло.

Владимир Бенгин: Привет. Это будет... не знаю, что это будет. Сейчас попробую.

Слушай, пожалуйста: твори. Не обращай внимания на нормативку. Твори, экспериментируй, исследуй. Поверь мне, когда-нибудь она догонит и станет примерно такой же крутой, как ты. Сейчас поясню почему.

Я читаю как-то нормативку и думаю: господи, кто же это написал? Потом понимаю: точно, чья бы корова. И вот сижу со стаканом и думаю: как же так вышло, что это вот так написано?

Есть много объяснений, почему так выходит. Большинство из них в русском фольклоре: строгость законодательства компенсируется необязательностью выполнения, русский авось, смекалка и так далее. Но мне очень понравилось, как один русскоговорящий немец объяснил: все ключевое в языке, в нашем русском языке. То, как мы думаем, сильно зависит от того, на каком языке мы думаем.

В немецком языке, чтобы что-то объяснить, ты должен буквально сказать то, что имеешь в виду. Буквально мыслишь — буквально исполняешь правила. А в русском языке ты должен понять смысл через контекст. И вот вы пишете нормативку, у каждого свой контекст, каждый пытается свои домыслы туда вставить, появляется трехуровневая многоступенчатая фигня, и ты потом думаешь: господи, наконец-то я понял.

Самое главное: она не для вас. Эта нормативка не была написана для вас, и это ключевое.

Мы работаем в IT. Это прикольно, это наукоемкая история, которая требует больших мозгов и быстрой адаптации. Все очень быстро меняется. И последнее, что мы можем попросить, — это попросить государство писать за нас правила. Пока какой-нибудь документик дойдет до высоких кабинетов, мы уже убежали в другую сторону, все переделали и побежали куда-то дальше.

На самом деле нормативка пишется для двух вещей: для защиты слабых и для подталкивания отстающих. Например, утечки персональных данных. Всем, если честно, часто наплевать: где-то там граждане, бизнес-риски, бог с ними. Поэтому государство говорит: оборотные штрафы, делайте что угодно, только чтобы не утекло. Утечет — мы тебя прямо накажем.

Но это редкость. Большая часть нормативки, особенно на уровне приказов, направлена на подталкивание отстающих. Она не про вас. Она для условного детского садика в Ханты-Мансийском округе, который тоже обрабатывает персональные данные. Да, другой класс, другая история, но нормативка для всех.

Ты гораздо умнее. Ты должен творить какую-то лютую дичь. И поверь мне: в какой-то момент государство придет, подсмотрит и скажет: о, прикольная история, вот это мы впишем в нормативку. Так появляются безопасная разработка, комплаенс, bug bounty, оборотные штрафы и любая другая дичь, которую ты читаешь и думаешь: «Ой, что это за фигня?» Потому что ты уже убежал бесконечно далеко.

Твори.

Ведущий: Ты наговорил, по-моему, на две статьи.

Владимир Бенгин: Я спросил, нет ли записи. Мне сказали: нет.

Ведущий: А то, что это стримится прямо в ВК, тебя не смутило? Коллеги, если что, у вас теперь есть вполне официальная запись от человека, который всю эту хрень писал. Если дойдет дело до суда, всегда можете ее предъявить или вызвать его в качестве соответчика.

А сейчас у нас есть пять минут на вопросы человеку, который только что подставился по полной. Какие вопросы к человеку, который написал все то, что вы сейчас вынуждены соблюдать, даже если не знаете об этом? Коллеги, в эту сторону записи нет, сразу скажу.

Вопрос из зала: Нормативные требования составляют область конкуренции. Например, в следующем году [неразборчиво]. Вопрос в том, она помогает?

Владимир Бенгин: Почему ты сужаешь?

Вопрос из зала: Я не сужаю.

Владимир Бенгин: Значит, первое: я говорил только про хорошую нормативку, а не про всю. И не про эффективную. Я далеко не со всем согласен из того, что происходит.

Второе: анализ защищенности — жопа полная. Когда он вписался в нормативку как обязаловка, сразу появилось сто фирм-однодневок, которые делают полную шляпу, вообще просто для галочки. Как только государство где-то говорит «теперь обязательно», условный детский садик в Ханты-Мансийском округе не нанимает топовых хакеров. Он берет дядю Васю, а отчет может написать любой.

В этот момент последнее, что мы можем, — попросить государство помочь. Кто-то пришел и сказал: это проблема. Государство решило придумать правила: давайте ограничим, они должны учиться, вот такие правила. И начинает ограничивать рынок. Просто потому что этих, не то чтобы фирм-однодневок, а боксмуверов отчетов стало очень много. Государство решило с этим побороться.

Как мне кажется, это полная лажа. Смысл как раз во всех историях про bug bounty, результативность — и вообще не только bug bounty — в том, что платить нужно за результат. Добился результата — на деньги. Не добился — дальше на [неразборчиво].

Ведущий: Спасибо. Похоже, ты из государственной компании, с тобой идешь. Я чувствую, что сейчас наговорю. Есть еще вопросы? У нас в конце, наверное, будет небольшая pitch-сессия, останется время.

Так, Наталья.

Наталья Воеводина — независимый директор наблюдательного совета крупной финансовой организации. Профессионально родилась и состарилась вместе с российской банковской отраслью. Экс-CEO Росбанка, которая продолжает причинять добро и служить рынку сверху. У нее необратимо высокий уровень обобщения — то, что уже не развидеть. Знает, как на самом деле работают деньги, рынки, корпорации, а рефлексы на риски вшиты на уровне спинного мозга. Тот самый человек, который объяснит технарям, почему риск ликвидности убивает мгновенно, а технический долг — медленно.

Наталья, вам слово. Ваши пять минут славы.

Наталья Воеводина: Да, я после кого выступаю? Простите меня за мое решение.

Чем человек старше и чем выше он двигается по корпоративной лестнице, тем более иррациональные — как кажется — решения он принимает. Например, казалось бы: а почему бы не засунуть малый и средний бизнес в приложение к корпоративному бизнесу? То же самое: платеж, платеж, платеж, конверсия, документы. Ну что, у ИП и у «Норникеля» разные документы делают? Нет.

Давайте засунем. Будет красивая изящная архитектура с низким Total Cost of Ownership. Но нет: почему-то совет директоров и правление принимают решение задублировать эту архитектуру, сделать ее кривой. В итоге там как-то неудобно, два сегмента ссорятся между собой, не переставая, ничего не переиспользуют и не делают микросервис, чтобы другим не досталось. И все это по закону Конвея порождает два ландшафта и технологический долг.

Кто виноват? Конечно же топ-менеджмент, который принял дурацкое решение. Но, как я своим детям говорю: поверьте, мама видела разное. Мама видела, как бизнес умирает в бэклоге, потому что миллиардная задача для крупной корпорации типа «Норникеля» всегда победит в бэклоге. До условного ИП дело не дойдет, и банк не вырастет. А если он не вырастет, его присоединят к более сильному брату, как это случилось с Росбанком.

Я с нашими безопасниками очень много говорила, и это был разговор слепого с глухим. Сейчас я понимаю почему. Моя безопасность общалась со мной как заботливый родитель с маленьким ребенком: не трогай эту интеграцию, не суйся туда, не делай этого, вот это тоже точно не надо. А я хочу принимать риски. Я хочу их осознанно принимать. Я хочу понимать, что вообще происходит.

Если я пытаюсь что-то все-таки решить в пользу этой интеграции, мне могут ответить: «Ну ты сядешь, это же твоя уголовная ответственность». Кстати, спасибо нормативке. И такие разговоры у меня тоже были.

Я поняла, чем я отличаюсь от моделей. Казалось бы: посадите вместо совета директоров модели, они будут все считать. Но я умею профессионально бояться. На кону моя репутация, она меня кормит, поит и лелеет. Моя шкура на кону. Я не хочу сесть в тюрьму. Модель нельзя посадить в тюрьму.

Я буду мысленно разговаривать с прокурором: отпускать мне деньги или не отпускать, когда нормативка еще не вышла. В 2022 году такое было. Я буду бояться, но я умею бояться правильно. Поэтому мои решения иногда могут казаться иррациональными.

И вот мой elevator pitch, мой лифт на парковку: дружок, дай мне бояться осознанно. Давай мне всю информацию. Объясняй. Потрать на это время, чтобы я лучше умела принимать риски, о которых ты мне рассказываешь.

Ведущий: Это про AppSec. Что ты еще хотела сказать?

Наталья Воеводина: Технический долг. Технический долг — это как Аргентина. В экономике у всех разное понимание прекрасного. Мое понимание прекрасного: должна быть легкая безработица и хорошая инфляция, которую удобно таргетировать кредитно-денежной политикой. Главное — не перекредитовываться бесконечно, как Аргентина. Занимать технологический долг, чтобы погасить старый технологический долг, — это состояние, в котором жить не надо.

А дальше изящная архитектура бывает только на кладбище. Архитектура должна быть слегка уродливой. Как говорил один великий то ли Google-основатель: если вы вывели продукт на рынок и вам за него не стыдно, значит, вы вывели его поздно.

Не надо стыдиться. Бояться — это моя работа. А творить, как вам сказали, в рамках нормативки, за которой я слежу, — это ваша работа. Спасибо.

Вопрос из зала: Как маленькому специалисту донести до вас, чего нужно бояться?

Наталья Воеводина: Это я не продумала. Как вы разговариваете с детьми, с девушкой?

Ведущий: Как вы пугаете свою девушку?

Наталья Воеводина: Пугать не надо. Раз напугали, два напугали, а потом человек все равно обозлится. Надо приучать. Нужны дежурные разговоры, reverse mentoring. Нормальный хороший руководитель любит общаться с сотрудниками с современным уровнем знаний. Я честно люблю. До меня достучаться можно: можно написать письмо, можно со мной встретиться, я люблю коллы. В целом, вот она я, хожу по коридору. Донесите до меня. Не за пять минут — у меня даже больше времени сейчас есть.

Ведущий: Представьте, что вы встретились в лифте с технарем, который отвечает за безопасную разработку. У вас через неделю запланирован выход банковского продукта, а он говорит: нельзя запускать, надо пропустить через pipeline, проверить SAST, DAST и другие -AST. Это увеличит время выхода продукта на месяц. Как ему вас убедить, что надо сдвинуть выпуск?

Наталья Воеводина: Я, кстати, сдвину выпуск продукта, чтобы бизнесу, который ниже меня этажом, неповадно было в этот конвейер врезаться в последний момент.

Или делается такая архитектура, чтобы были выключенные фичи... я не помню, как это у вас называется.

Ведущий: Feature flags.

Наталья Воеводина: Вот, feature flags. Чтобы можно было выводить с флагами. Мы не успели протестировать, но приспичило, нормативка вышла. Это же понятно: бэклог идеальный, все время пополняется — по дурости бизнеса, по нормативке, по методичке Центрального банка.

Но я за соблюдение правил. Мне кажется, что правильная гигиена — если SAST и все эти штуки являются правильной гигиеной — и изящность архитектуры как раз в этих выключаемых вещах заключается. Надо сделать архитектуру, при которой с этой проблемой вообще не придется разговаривать в лифте.

То есть, короче, виноваты опять вы. Но я дам на это денег. Спасибо.

Ведущий: Спасибо. Еще вопросы? Нет? Тогда спасибо, Наталья.

Денис Баранов — генеральный директор Positive Technologies, этичный хакер, прикладной математик. Дорос от анализа защищенности приложений до штурвала крупнейшей компании индустрии. Один из тех, кто эту индустрию в стране и построил.

Денис, тебе слово, твои пять минут.

Денис Баранов: Всем привет. Мы в лифте, да? Меня могут прервать? Тогда не тратим время.

Я хочу рассказать историю про текущий момент. Если представить ситуацию, что я как гендиректор общаюсь с инженером, который хочет что-то в жизни сделать, то сейчас мы проживаем очень интересный момент с точки зрения технологий и технологического прорыва.

Такие ситуации происходят раз в 20–30 лет. Революция в сфере LLM, AI, Transformers и всего остального выводит нас в момент, который в прошлом был похож на становление интернета или переход всех на мобильный интернет, мобильные приложения и смартфоны.

Я вижу в компании и вокруг себя, когда общаюсь с людьми помоложе, которые хотят делать внутренние стартапы, что 28-летние уже слишком старые. Они гораздо ближе ко мне, чем к поколению, которое действительно нативно воспользуется этой ситуацией.

Почему? Потому что меняется не только технология. Если посмотреть на сложность обучения нейросетей, на количество денег, которое требуется для развития трансформеров, ChatGPT и прочих моделей, понятно, что у человечества денег еще на два-три года хватит, чтобы продолжать развивать эту технологию нынешним ускоряющимся темпом. На это уже можно положиться при планировании будущего.

Но что происходит? Ребята чувствуют тренд и говорят: «Я сейчас сделаю LLM Firewall». Спрашиваешь: «Как ты его сделаешь?» Он говорит: «Возьму Squid proxy, добавлю Elasticsearch с Kibana, здесь у меня будет LLM на response, тут LLM на request, все будет писать в админку». И ты понимаешь: дорогой друг, ты идешь куда-то не туда.

Почему? Потому что ты пытаешься миксовать прошлое и будущее. С одной стороны, чувствуешь тренд, с другой — у тебя остаются старые привычки о том, как нужно взаимодействовать с технологиями.

Другой пример — AppSec. Есть друзья, которые этим занимаются. Они берут LLM, тренируют, анализируют код на уязвимости, но у всех привычка писать пачками .md-файлы, текстом промпты, перепроверять, записывать. Вопрос: зачем? Как будут выглядеть интерфейсы в будущем? Наверное, ты можешь генерировать их и проверять на непротиворечивость вот тех промптов и правил, которые создаешь.

Если посмотреть на тех, кто ближе к 20, чем к 30, там интереснее. Это поколение детей, которое изначально писало курсовые исключительно с помощью этих технологий. Они будут придумывать и генерировать интерфейсы, конфигурирование, визарды; саму задачу будут делегировать агентным системам.

Мы сейчас в моменте, который я бы описал через старый форум RSDN. Там были темы в духе «изучаем судьбы Delphi-программистов», которые к сорока годам умели меньше, чем двадцатилетним им было бы положено. Главное, что мне хочется сказать: в текущий момент в прошлом нет будущего.

Вопрос: как мне отказаться от привычек управлять людьми и системами так, как мы привыкли раньше? Как проверять, какие SIEM-ы, какие типы атак пропускают, какие нет? Спасибо.

Ведущий: Коллеги, есть вопросы? Представь, что к тебе в лифте подошел программист, который только пришел в компанию, работает неделю, и у него родилась гениальная идея. Он говорит: у меня есть pet project, я хочу сделать из него миллиардный бизнес. Что ты ему скажешь?

Денис Баранов: Сначала нужно ответить на несколько вопросов. Хочу ли я строить из этого бизнес, хочу ли идти в компанию, хочу ли делать это как проект? В любом случае важно иметь дорожную карту с маленькими шишками и ступенечками: где ты сейчас есть, куда хочешь прийти, куда реально можешь сходить прямо сейчас. От этого и строить путь.

Вопрос из зала: Денис, я недавно устраивался к вам на работу и нашел в сети backend-сервер, который, видимо, вы забыли...

Денис Баранов: [неразборчиво]. Профессиональный план — если честно, не нужны. В долгосрочной перспективе нам нужны люди, которые умеют учиться и пользоваться новыми технологиями. Я общался с ребятами, которые переложили управление своей жизнью и достижение успеха по проектам на нейросети. Вопрос скорее в том, чтобы люди не слишком сильно прикипали к старому способу работы.

Ведущий: Спасибо. Давайте передадим Павлу.

Павел Разумовский — главный рисковик крупной финансовой структуры. У него своя особая профдеформация: он ежедневно математически моделирует финансовый конец света и собирает под него гарантии. Знает, как выглядят настоящие stress goal и чья именно паранойя на самом деле управляет IT-бюджетами.

Павел, ваши пять минут.

Павел Разумовский: Спасибо большое. Интересно выступать после таких спикеров. Постараюсь коротко.

Как я вижу свою роль? Мне кажется, мы создаем ценность или добро для компании. Во всяком случае, стараемся этим заниматься. Что такое ценность? В каждой компании ее можно разделить на две полярности: ядерный реактор и лаборатория.

Новые бизнес-инициативы, фичи для клиентов и прочее — это лаборатория. А есть ядерный реактор, который должен работать как часы каждый день. Если с ним будет что-то не то, последствия будут такие, что мама не горюй.

Это две разные полярности. В одном случае ценность — чтобы стабильно хорошо работало, потому что если не работает, всем очень больно. В другом — площадка, где можно экспериментировать: взорвется, ну и черт с ним, это новая часть.

Вторая проекция — ресурсы. Они ограничены. В первую очередь это время: ваше и наше.

Как вам понять, что такое ценность? У меня здесь аналогия из анекдота про Петьку, Василия Ивановича и самолет: «Петька, приборы?» — «Пятьдесят». — «Что пятьдесят?» — «А что приборы?» Чтобы такого разговора не было, важно быть ближе к заказчику и понимать, что за цифрами стоит, для чего они используются. Вот получил я результат. Он прекрасен. И что? Что дальше? Какое решение я должен принять?

Я могу принять решение, у которого будут непростые последствия. Поэтому огромная важность — быть ближе и понимать, что это за цифры.

Третья важная история: вам самим это должно нравиться. Если вы понимаете, что делает заказчик, если вам это отзывается, если вы понимаете зачем, если у вас рождаются идеи, это круто — продолжайте. Если нет, ищите другого заказчика.

Ведущий: А если внутри компании, как искать другого заказчика?

Павел Разумовский: Как-то. В компании всегда много направлений. Если понимаете, что к этому у вас не лежит, не мучайтесь и не мучайте заказчика. Я уверен, внутри компании точно можно найти приложение себе. А если совсем не получается — значит, вне компании.

Я встречал много ситуаций с IT: человек прекрасен, отличный специалист, но ему все равно, что получается. Он выдает результат, а я не понимаю, что с ним делать. И растет напряжение.

Ведущий: Спасибо. Коллеги, у кого есть вопросы про пять девяток и конец света?

Вопрос из зала: Павел, с точки зрения пяти девяток вы действительно считаете, что пять девяток — фигня полная?

Павел Разумовский: В ряде мест — да. Но есть места, где надежность и основы, без них никак.

Представьте: каждый день в шесть утра у вас должна начаться регламентная процедура. Если она не начинается, через два часа Министерство финансов, Центральный банк, администрация президента и прочие большие уважаемые люди начинают беспокоиться. Их беспокойство превращается в вашу огромную проблему. А это пять девяток, четыре девятки, три девятки или 99,7 — уже можно подбирать. Но беспокойство этих людей становится очень некомфортным.

Вопрос из зала: В лифте к вам подошел специалист по кибербезу и говорит: мы провели моделирование угроз, риски выросли из желтой зоны в красную, вероятность высокая. Ваш ответ какой? Вы поймете этого человека?

Павел Разумовский: Друзья, важнейшая история разговора про риски — это сценарий. Как он выглядит, что происходит, с чего начинается и куда приходит.

Если сценарий описывается словами «что-то сломается», это не до конца понятно. А если вы говорите: «Вот здесь обнаружили уязвимость, через нее можно попасть к деньгам, которые лежат на корсчете, там миллиарды» — сразу слышишь: вот оно начинается, вот миллиарды, туда действительно можно залезть, и это приводит к конкретному последствию.

Эта тема сразу отзывается, потому что ты понимаешь, вокруг чего все строится. В топ-менеджмент приходит куча всего. Приходится переключаться между совершенно разными вещами. Когда в голове многозадачность, нужен триггер, который тебя включает. Топ-менеджера включают деньги и вещи, на которых базово работает бизнес.

Поэтому старайтесь объяснять инфобез через сценарий. Сценарий и деньги.

Ведущий: То есть если к вам приходят и говорят, что есть риск, что регулятор применит очередной нормативный акт, вы скажете: «Да и с ним»?

Павел Разумовский: Регулирования много, его же не перечитать. Тут тоже важны последствия: это сегодня, завтра, уже случилось, случится, как именно? Опять же, сценарий. Главная тема, понятная топ-менеджменту, — сценарий и деньги.

Это касается и информационной безопасности, и IT. «У нас сервер заканчивается, сейчас он грохнется», «регулятор завтра придет или уже пришел», «они едут» — любую такую конструкцию можно объяснить простым языком.

Представьте, перед вами ребенок. Как Наталья говорит. Представьте, что перед вами ребенок лет десяти. Как вы объясните ему или ей? Если получается объяснить простым языком сценарий и какое действие нужно совершить, это отличный базис.

Ведущий: Чтобы быть хорошим безопасником, надо иметь детей. Окей.

Вопрос из зала: А какой способ у моего стартапа, чтобы выйти на Московскую биржу и сделать 5x?

Павел Разумовский: Мы всем рады. Можно я так отвечу? Мы всем рады.

Ведущий: Я записал. Спасибо большое.

У нас будет рояль — не на сцене, не в кустах. У нас еще один топ-менеджер: Егор Богомолов, который случайно сидит в зале. Тоже человек C-level, который внезапно согласился сыграть в эту игру, хотя даже не готовился. Представим, что он случайно оказался в лифте и должен что-то рассказать технарям с высоты своего опыта.

Егор, твои пять минут.

Егор Богомолов: Привет, ребят. Я не нашел какой-то прямо сильно панчевый пункт, но недавнее размышление меня зацепило.

Хочу сделать каминг-аут: я вас предал, ребят. Я перестал быть душным экспертом. Бросил эту душноту.

К чему я это говорю? В работе меня окружают огромные ребята, мои друзья, эксперты, с кем я строю команды, направления и так далее. Я заметил одну важную вещь, которую хотел бы всем пичнуть. Она сделает вас дороже, ценнее, круче, в десять раз лучше, чем в прошлом.

Это то, что отличает хорошего эксперта от плохого. Вы знаете плохих экспертов, которые говорят, почему у вас не получится, почему нельзя, почему это нельзя сделать, почему все сложно. Очень легко быть экспертом, который может завалить идею, стартап, технологию. И очень сложно быть экспертом, который знает все контексты и нюансы, но может найти ответ, почему это получится.

Когда вы взаимодействуете со своими командами, друзьями, коллегами, компаниями, начальниками, попробуйте сделать так: досчитать до шести, вдох на четыре, выдох на шесть — и дать ответ: «При всех условиях, при всех нюансах получится с таким-то шансом. Вот здесь». И дать людям веру в то, что это возможно. Просто есть нюансы, которые нужно знать.

Наташа как раз просила: не отнимайте у меня право на принятие решения, объясните. «Наташа, все возможно. Я тебе подстелю, подложу. Выбор делай ты. У тебя может получиться». Ваша ценность в глазах людей становится кратной.

Спасибо.

Ведущий: Спасибо, Егор. Есть вопросы? Человек, который был как вы, а стал как он. Потерял свою душную душность, потерял свою идентичность.

Вопрос из зала: [неразборчиво про Valve / сколько хакеров ломает].

Егор Богомолов: Думаю, какой-то процент из сотни. Те, кто постоянно учится, ковыряет. Но у нас не сломали.

Ведущий: Спасибо.

Коллеги, у нас сейчас есть еще немного времени. Можно задавать вопросы всем, опираясь на то, что говорили коллеги: Наталья, Павел, Владимир, Денис, Егор. Это уникальная возможность, потому что далеко не всегда вам удается поймать своего топ-менеджера в лифте. А если вы находитесь в лифте, вы вряд ли готовы с ним разговаривать. Сейчас можно задавать любые вопросы людям, которые занимают высокие позиции и могут вам ответить. То, что вы, наверное, боялись спросить.

Вопрос из зала: Вы сказали, что будущее за теми, кто сейчас пишет с помощью английских директоров [неразборчиво], но нормативку пишут не они. И бояться за результат будут не они.

Владимир Бенгин: Вы удивитесь.

Ведущий: Подожди, вопрос недосказан.

Вопрос из зала: Не пишет ли искусственный интеллект у нас нормативку? И как это влияет на развитие специалиста?

Владимир Бенгин: Иногда складывается впечатление. Но нет, ни в коем случае. Вы что? Я никогда не пользовался. Главное — это в конце удалить. Хочешь, могу переписать адрес, что-нибудь и так далее. Такое палево каждый раз.

Ведущий: Сергей хороший вопрос задал раньше: я перечитал все ваши почты, теперь могу вас заменить. Вас, топ-менеджеры, могу заменить. Скажите хоть что-нибудь, почему вас не заменят.

Владимир Бенгин: Мой ответ: нафиг все вообще. Все заменимы. Сто процентов. В этом и крутизна текущего момента: новые технологии как некий magic настолько круты, что некоторым кажется, что реально могут заменить все. Потому что технология так стремительно развивается, что мы не видим ее границ. А если видим, границы сдвигаются буквально через неделю, две, месяц.

Сегодня я знаю буквально пару профессий, которые AI не подвластны. Первая, самая главная, — [неразборчиво]. Я знаю, как это работает: вообще не подвластна. Все остальное — гуманитарные науки, технические — настолько стремительно растет, что как будто ограничений нет.

Мой единственный призыв к себе и к другим: быть на волне. Каждый день я пытаюсь заменить самого себя. То, что раньше делал руками, чтобы больше делал не я, а кто-нибудь другой. Если это произойдет, будет круто.

Я бы каждому технарю, гуманитарию — вообще всем — рекомендовал каждый день смотреть на это с точки зрения: все профессии больше не нужны, я заменим. Когда вы с этим боретесь, вы растете. Вы становитесь один на один с новыми технологиями, и граница точно найдется. Просто не сегодня, через полгода.

Вопрос из зала: [неразборчиво] если нам кранчик к этим технологиям перекроют?

Владимир Бенгин: Тут вопрос политический. Такой голос должен начать звучать и поддавливать. Если этот голос не звучит, он не учитывается в диалоге. Он должен как минимум зазвучать, может быть, более настойчиво.

Вопрос из зала: В чем у вас фейлы? Не получилось совсем?

Наталья Воеводина: Про фейлы? Вообще говоря, вся моя жизнь построена на фейлах. Папа с мамой мне говорили, а я все делала наоборот.

Ведущий: Chief Fail Officer.

Наталья Воеводина: Да. И это хорошо. Я поддерживаю Владимира: я всегда хотела, чтобы меня заменили. Всегда работала так, чтобы стать ненужной. Когда была операционным директором, мечтала, чтобы operations банка вообще не было, чтобы были только провода и пять человек где-нибудь в low-cost location, которые настраивают умную систему параметрами: тарифные штучки, ручки, одно на другое умножается, условия и так далее.

Я так работала, и в целом меня из-за этого убирали, но я обретала новые смыслы, позиции и зарплаты. Поэтому очень хорошая стратегия — хотеть быть ненужным. Для этого искусственный интеллект очень хорошо пригодится.

Но нельзя научить его бояться. Можно научить считать вероятности, но нельзя научить смотреть на тяжелые хвосты и видеть в них черных лебедей. Нельзя научить модель делать прыжок веры. Иногда кажется, что надо делать так, а ты не можешь объяснить почему — и делаешь этот прыжок веры.

Весь бизнес делается на прыжке веры. Тебе говорят: по формуле не получается, модель дает отрицательное математическое ожидание, замри. А ты все равно берешь, прешь и делаешь. И получается. Или получаешь отрицательный результат.

Можно скачать мою почту, мои письма, мой стиль, засунуть в RAG, и RAG будет за меня работать. Я не думаю, что это полноценно заменит человека. Есть мысленные бессонные ночи, разговоры с прокурором — мысленные пока еще. Есть нюансы и тональности, есть брошки Набиуллиной, где слова одни, а брошка другая.

Я помню, как мы с нашим CFO рвали на себе волосы, когда ни один researcher не предсказывал, что ставка будет 20%+, а банк нуждался в финансировании. Мы думали, выпускать ли нам бонды. Деньги дешевые — зачем выпускать? А если бы мы тогда не поверили researcher-ам и приняли другое решение, у нас был бы совершенно другой финансовый результат. Он и так был хороший, но это была развилка, которую модель, содержащая в себе прошлое, вряд ли смогла бы сказать: «Ребята, делайте прыжок веры, выпускайте бонды именно сейчас, потому что в сентябре ставку повысят».

Я бы хотела уйти на пенсию, если честно. Но пока почему-то меня все равно покупают.

Павел Разумовский: Я, наверное, также отвечу. Без фейлов не бывает, они позволяют учиться. А принятие решений можно называть интуицией, можно чувством жопы. Главное — пока основные решения принимают люди. А люди — это эмоции, психология и прочее. Поэтому пока все-таки быть нужно.

Вопрос из зала: Искусственный интеллект умеет сценарии строить? Или он берет только серединную часть, а хвосты не умеет?

Павел Разумовский: Искусственный интеллект умеет все. Можно любой промпт написать, и он сгенерит под вашу фантазию что угодно. Ограничение — ваша фантазия.

Другой вопрос: что делать с этим. С точки зрения логики принятия решений, если вы имеете дело с частыми событиями с маленьким ущербом, ориентируйтесь на среднее. Даже если ошибетесь — ничего страшного. Экспериментируйте: по копеечке, по копеечке, потом выхлоп 100 рублей — покупайте этих штук сто. Тут никаких проблем.

Другое дело — high severity, low probability: большие, но маловероятные события. Вот здесь начинается неприятный диалог для всех. Можно спросить и того, и сего, но если ты понимаешь, что раз в десять лет что-то может произойти и очень сильно повлиять на всех, начинаются размышления: что с этим можно сделать, какие мероприятия, как снизить эффект. Тут AI тоже может быть полезен, но решение все равно про то, что именно делать.

Владимир Бенгин: Эпическое количество фейлов у меня. Конкретный пример: национальный удостоверяющий центр. Нет его? Это мой фейл. Система «Антифишинг» — мой фейл, мы ее закрыли. Мы хотели едино бороться с фишингом по стране.

Обмен фидами — мы думали, что надо убить этот рынок, потому что он копеечный для всех компаний, а польза будет, если все будем обмениваться фидами. Это тоже эпический фейл, ничего не сделали.

Самый главный: я очень долго точно знал, как надо бороться с фродом. И где там фрод? Мы ни хера не сделали.

Еще мы очень долго никак не могли заблокировать WhatsApp, потому что все говорили: «Ты больной, что ли, нельзя блокировать». Потом придумали, как это сделать. История была в том, что, наверное, не через фронт надо заходить, а через другую историю. Теперь у меня Telegram не работает.

Формула такая. Когда я заканчивал госслужбу, вообще когда заканчивал каждую работу или каждый год, я писал список: что получилось и что не получилось. «Что не получилось» всегда гораздо больше. Если хочешь делать крутые большие истории, будь уверен: фейлов будет чем дальше, тем больше. Хочешь большую историю — будет супербольшой фейл. И никак иначе, просто живи с ним.

Ведущий: Человек, который заблокировал WhatsApp. Денис, твои фейлы? Тебе говорят спасибо, видимо, разработчики Max.

Денис Баранов: На эту тему мы недавно кино сняли про [неразборчиво], очень советую. Там интересная история про восприятие, конкретно Дима Скляр об этом говорил. Если ты задачи решал, решал, верил, пытался, то фейлы в целом воспринимаются иначе, потому что удовольствие от штурма задачи все равно получаешь.

Таких фейлов, чтобы упал и не смог подняться, я как-то не наблюдаю. А моментов, когда ты штурмуешь задачу недостаточным инструментарием, было очень много.

Если взять не из моей истории, а из соседних: человечество 70 лет пыталось решить задачу автоматического чтения текстов и перевода. Только недавно появились технологии, подходящие для этого, а предыдущие поколения ученых и инженеров в эту историю просто бились. Вопрос скорее в восприятии: принимаешь ли ты это как свою задачу, которую решал и которая не решилась, или как изначально нерешаемую.

Ведущий: Спасибо. Есть еще вопросы? У нас осталось пару минут.

Вопрос из зала: Это не вопрос, а маленький анонс того, что здесь происходит. У нас есть вторая комната, в которой никого нет. А зря. Вы уже пропустили доклад о бабах Маяковского. Он был такой, что каждый айтишник, послушав его, понял бы, что он живет, в общем-то... фейл.

А сейчас Сергей Гордейчик рассказывает про исчезающие профессии. У нас есть гуманитарная часть, она вот там. Она специально сделана параллельно с этой частью, чтобы разорвать ваш мозг: вы могли выбрать. Но там тоже будет интересно. Заходите туда тоже.

Ведущий: Спасибо. Тогда я пользуюсь правами ведущего. Наверное, последний вопрос каждому, короткий: жалеете ли вы, что стали людьми C-level, топ-менеджерами?

Наталья Воеводина: Я вообще ни о чем не жалею. Мне все нравится, и сейчас нравится.

Павел Разумовский: Прекрасно. Конечно же нет, могу делать что хочу. Если будет возможность побывать неделю — становитесь, это офигенно полезно и интересно.

Ведущий: Спасибо, коллеги. Спасибо, Наталья, Павел, Владимир, Егор. Спасибо вам и тем, кто нас смотрит онлайн, и тем, кто увидит нас в записи. К нам уже прилетело, что микрофон не отключается. Спасибо, коллеги.

Неоднозначные места:
- Имя/формулировка вопроса из зала после выступления Владимира Бенгина плохо распознаны; требуется сверка со звуком.
- В ответе Владимира про оплату за результат финальная фраза распознана неразборчиво: «дальше на [неразборчиво]».
- В выступлении Дениса Баранова неясен фрагмент про «как делают [неразборчиво] SIEM-ы»; оставлено обобщение про старые модели управления и проверки.
- Вопрос из зала Денису про backend-сервер и часть его ответа сильно повреждены ASR; смысл сохранен только частично.
- В представлении Павла термин «stress goal»/«стресс-гол» требует сверки с исходным анонсом или слайдами.
- В вопросе про стартап и Московскую биржу неясна точная формулировка «5x»/«5x0».
- Вопрос Егору Богомолову про Valve/«сколько хакеров ломает» почти неразборчив; оставлен как пометка.
- В общем Q&A неясен термин «английские директоры» в вопросе про AI и нормативку; вероятно, это ASR-ошибка.
- В ответе Владимира о профессиях, которые AI не заменит, название первой профессии неразборчиво.
- В вопросе про доступ к технологиям фрагмент «кранчик перекроют» понятен, но точная формулировка вопроса требует сверки.
- У Дениса Баранова название фильма/ролика про фейлы и имя упомянутого человека распознаны ненадежно.