Анастасия @vixentael, работает Product Engineer в Cossack Labs - продуктовой компании, которая создаёт криптографические инструменты и библиотеки для защиты данных в приложениях и больших инфраструктурах. Анастасия принимает активное участие в развитии коммьюнити, выступает с докладами по безопасности данных, организовывает и соорганизовывает митапы и конференции

«Уже на тот момент меня сильно смущало то, что большинство девелоперов имеют полный доступ к реальным данным пользователей»

Как ты выбрала свое направление?
Я училась в КПИ на ФИВТ (факультет информатики и вычислительной техники), по сути, это Сomputer Science. И у нас был курс по криптографии. Не помню, чтобы нам читали материал по информационной безопасности, но специальность была очень инженерная. А потом так сложилось, что я увлеклась мобильной разработкой, и долго работала как iOS девелопер, участвовала в полном цикле разработки. На разных этапах и писала Server-Side для приложений, и вела проекты, и управляла небольшими командами, и консультировала стартапы в технических вопросах. Но самый большой интерес у меня вызывала судьба данных, которые пользователи так опрометчиво вводили в приложения. Уже на тот момент меня сильно смущало то, что большинство девелоперов имеют полный доступ к реальным данным пользователей.

На каком этапе мобильной разработки необходимо думать про организацию безопасности данных?
Безусловно, про безопасность данных необходимо думать на этапе архитектуры. Понятно, что мы сталкиваемся с множеством препятствий: когда разработчики живут в своем мире и спешат выполнять задачи к релизу, когда нет секьюрити-команды или когда в команде нет архитектора.
Если есть такая возможность, предпочитаю эти вопросы обсуждать с архитекторами, поскольку у них шире мировоззрение в данном вопросе. Но даже если ты — соло разработчик приложения на любимой платформе, то можешь подумать, где у твоего приложения точки входа, выхода и обработки данных. И если эти данные имеют ценность для бизнеса или для пользователей, то, наверное, о них нужно позаботиться :) Если кратко: шифровать данные в покое и при передаче, много данных не сохранять, ключи хранить отдельно от данных, бекапы шифровать (больше о библиотеках и подходах в блоге).

«Тайм-менеджмент у меня страдает, очень сильно хочу спать большую часть времени»

Как ты успеваешь совмещать все свои активности: работа, конференции, воркшопы?
К сожалению, не могу удивить и сказать, что я — супергероиня, которая справляется абсолютно со всем. На самом деле, тайм-менеджмент у меня страдает, очень сильно хочу спать большую часть времени. Но моя текущая должность — Product Engineer, подразумевает не только написание кода, но и активное развитие продукта, поэтому в мои обязанности входит также взаимодействие с нашей целевой аудиторией (архитекторами и девелоперами), что и получается совмещать с конференциями.

«Чаще всего европейские конференции проводят в будние дни, а у нас — в выходные»

Ты принимаешь участие во многих международных конференциях. Существуют разные мнения о связи между стоимостью конференций и целесообразностью их посещения. Какой бы ты могла привести сравнительный анализ?
Если говорить о стоимости мероприятия, то здесь необходимо обращать внимание на то, кто является организатором. Потому как есть конференции от комьюнити для комьюнити, а есть конференции, организованные компаниями, у которых это основной вид деятельности. Часто бывает, что второй тип – существенно дороже.Что касается «хардкорности» материала, то по моему опыту, конференции за границей, включают в себя больше социальных активностей и больше перерывов между докладами, чтобы объединить людей. Наши же - несут в себе больше технической составляющей. Но я часто сталкивалась с тем, что «наша» аудитория просит доклады «похардкорнее», про узкие технические темы. В любом случае, мое сравнение не с целью, чтобы сказать, что кто-то лучше, а кто-то хуже организовывает, а чтобы подчеркнуть различия. Еще есть различие в том, что европейские конференции чаще проводятся в будние дни, потому что обучение - это часть работы, а у нас – в выходные.

«Мне важно, чтобы сообщество развивалось, чтобы мы учитывали мнение разных людей, чтобы люди могли попробовать себя в роли спикеров и росли»

Расскажи историю о том как ты стала соорганизатором CocoaHeads Ukraine?
Мы — команда из шести человек. Так как мобильная разработка занимает большую часть моего опыта, какое-то время выступала на митапах CocoaHeads. И как логичный шаг, потом я начала принимать участие в организации митапов и менторстве новых спикеров. Мне важно, чтобы сообщество развивалось, чтобы мы учитывали мнение разных людей, чтобы люди могли попробовать себя в роли спикеров и росли. Поэтому я часто отхожу на второй план: помогаю с организацией, могу быть ведущей, наставляю начинающих спикеров. Очень часто, если меня приглашают на какую-то конференцию, я рекомендую других участников вместо себя, которым может быть это интересно, и кто извлечет из этого для себя пользу. Помимо CocoaHeads я так или иначе причастна к двум-трём десяткам митапов и конференций ежегодно, включая митапы от Women Who Code Kyiv.

«Единственным нашим непоколебимым условием посещения является соблюдение правил поведения, основной посыл которых: "Be nice"»

Про Women Who Code Kyiv:
Тусовка Women Who Code Kyiv была организована около двух лет назад. Вообще Women Who Code – это международная некоммерческая организация, которая ставит перед собой цель вдохновлять женщин развиваться в технических специальностях и занимать более высокие должности. Подобных организаций в мире существует очень много, есть по направлениям, например, Rails Girls. И к сожалению, их не так много в Украине (хотя могу отметить Women Techmakers и Women in Appsec). В WWCode Kyiv я отвечаю за направление security. Мне нравится наше сообщество тем, что мы не ограничены в технологиях. У нас и инженерки на конкретных платформах, Data Science / NLP специалистки, а также тестировщицы, дизайнерши, маркетологи и так далее. У каждой свой мир и взгляды, а это позволяет всем расширять кругозор. Наше комьюнити также предназначено для того, чтобы вдохновлять девушек и женщин на профессии в IT сфере. Мы развеиваем миф, что это нереально и даем поддержку начинающим. Тем не менее, наши двери открыты не только для женщин. В последнее время растет количество посещений также наших мероприятий от мужской половины. Мы только рады – ребята видят, что девушки тоже могут быть крутыми спецами. Единственным нашим непоколебимым условием посещения является соблюдение правил поведения, основной посыл которых: «Be nice».

«Не считаю целесообразным и рациональным везде использовать blockchain»

Твое мнение о Blockchain?
Считаю, что нужно различать технологию и хайп вокруг. Технология, как способ хранения данных, имеет смысл для некоторых use cases. Тот же архив, например. То есть там, где тебе необходимо иметь набор данных, связанных друг с другом так, чтобы ты не мог добавить или удалить незаметно. В этом же есть и минус — чем больше у тебя данных, тем сложнее это со временем будет поддерживать. Поэтому это не супер быстродействующие системы, я бы сказала. Но у нас сейчас действительно бум по применению блокчейна везде, что не считаю целесообразным и рациональным.

Как проходит твой рабочий день?
В хорошие дни я пишу код, закрываю таски, пишу тесты, радуюсь очень, все как обычно. Одним словом, все прелести работы Software Engineer. Есть дни, в которые занимаюсь больше планированием и стратегией, коммуникациями, занимаюсь анализом чужих инфраструктур, кода и решений – больше переключений, встреч, такие себе «бизнесовые дни».

Какие профессиональные деформации ты в себе замечаешь в обычной жизни?
Ох, паранойя — наше все. В этом отношении, конечно, профессиональная деформация невероятная. Я изучаю, как сделано приложение, какие данные от меня оно требует. Меня очень расстраивают анкеты спикера на конференцию, где требуют указывать много деталей, включая номер телефона. Самое ужасное, что часто на сайтах по продажам билетов на конференции можно найти информацию о зарегистрированных участниках. Используя простой подход к редактированию url адреса, можно увидеть все детали, которые вводил пользователь при регистрации. А я не хочу светить свой телефон всем :) Потому такое отношение к данным меня во многих случаях останавливает, и я не пользуюсь таким сервисом.

«По сути нет особой разницы: между аудиторией в десять человек на кухне или пятьдесят на митапе»

Какой бы ты дала совет тем, кто хочет стать спикером?
Думаю, что основным из сдерживающих факторов для начинающих спикеров является страх публичного выступления и тех самых вопросов в конце выступления. Я бы советовала не бояться и преодолеть этот дискомфорт, ничего страшного в том, что не будете знать ответ на вопрос, нет. Часто сталкиваюсь с такими вопросами также, и это нормально. Есть множество способов, как отвечать на подобные вопросы вежливо – например, можно ответить, мол, давайте ваш случай обсудим позже лично, так как развернутый ответ займёт много времени. Или честно признаться, что с таким абсолютно не сталкивались. Мой путь спикера начался с того, что сначала мы собирались коллегами и обменивались опытом. Потом я обратила внимание, что некоторые из них выступают на конференциях и поняла, что тоже смогла бы. И по сути нет особой разницы: между аудиторией в десять человек на кухне или пятьдесят на митапе (или 400 на большой конференции, хе-хе). Спустя нескольких лет активных выступлений, к сожалению, на сегодняшний день даже физически не смогу посетить все, на которые получаю приглашения. Приходится выбирать.

«Делать сложный доклад одним куском на 40 минут бесполезно. Должны присутствовать интерактивные моменты, во время которых слушатели отдыхают»

Как ты выбираешь тему для доклада?
По аудитории. У меня, как правило, два варианта: либо я готовлю новый доклад под тематику конференции, опираясь на то, что будет интересно целевой аудитории; либо готовлю доклад о том, что мне интересно, а потом его корректирую под целевую аудиторию. Для меня первым приоритетом являются слушатели. Очень внимательно отношусь к технике подачи, знаю, что объем и длительность внимания очень короткие, потому делать сложный доклад одним куском на 40 минут бесполезно. Опять же к рубрике советов: свои доклады делю на части, каждую из которых чем-то завершаю. Это могут быть «котики», могут быть вопросы к аудитории. Должны присутствовать интерактивные моменты, во время которых слушатели отдыхают. Кстати, я веду репозиторий, где публикую все свои доклады, слайды и видео к ним.

Какую, на твой взгляд, можно извлекать пользу от посещения конференций слушателям?
Конечно же, это нетворкинг. Он в большей степени зависит от целей, которые ты себе ставишь и от того, чем занимаешься. Когда я занималась мобильной разработкой, конференции помогали мне найти новых коллег – я рассказывала ребятам о своей компании и чем мы занимались, и некоторые “загорались” идеей работать у нас. Также можно узнать о том, что происходит в других компаниях – технологии, практики, проблемы у инженеров и у менеджеров, собрать “pain points” на рынке. А так как сегодня я занимаюсь разработкой библиотек и софта для защиты данных, то девелоперы - это часть нашей целевой аудитории, и походы на конференции позволяют делиться информацией, продвигать наши решения, и снимать обратную связь.

«Важно прислушиваться к своему организму и позволять себе иногда взять отгул или больничный в те дни, когда чувствуешь такие симптомы»

Как ты борешься с выгоранием?
Запомнился и понравился ответ одного из спикеров, который вам давал интервью о том, что он однажды сгорел и продолжает гореть. К счастью, пока не довела себя до такого состояния. В моем понимании выгорание на работе — это состояние, когда утром просыпаешься и меньше всего хочется вставать и идти на работу, и это еще и продолжается на протяжении какого-то времени. Если даже не помогают отпуск, смена проекта, спортзал или другие активности, которые раньше приносили удовольствие, то это верный знак выгорания. Также считаю, что важно прислушиваться к своему организму и позволять себе иногда взять отгул или больничный в те дни, когда чувствуешь такие симптомы. Ведь это базовая забота о себе и понимание, что в состоянии упадка эмоциональных сил, производительность все равно будет низкая.

Посоветуй три книги, которые, на твой взгляд, важно прочесть каждому разработчику.
Первой рекомендацией будет «Serious Cryptography: A Practical Introduction to Modern Encryption» от Jean-Philippe Aumasson. Обалденная книга про криптографию, написанная для технических людей, но в очень приятном стиле.

Вторым моим выбором будет книга, написанная Laszlo Bock, — «Work Rules!». Книга рассказывает о мотивации на примере компании Google.

И последней могу выделить «Extreme Ownership: How U.S. Navy SEALs Lead and Win» от Jocko Willink и Leif Babin. Авторы книги были морскими пехотинцами, а по окончанию службы стали бизнес коучами. Книга для лидеров, рассказывает об ответственности на примерах опыта этих авторов. Ведь во время их службы каждое решение могло быть ценою в человеческую жизнь.

«Важно помнить, что мы создаем продукты и решения для людей, и этим делаем их жизнь чуть лучше/проще. Что каждое техническое решение должно приносить реальную пользу бизнесу и людям, а не просто быть необдуманно выполненной задачей в треккере»

Что бы ты посоветовала специалистам, кто в начале твоего пути?
Мы сегодня, наверное, не затрагивали тему soft skills. Сейчас бы хотелось уделить этому внимание и поставить акцент на том, что технические специалисты часто концентрируются только на hard skills, но необходимо не забывать о soft skills. Важно помнить, что мы создаем продукты и решения для людей, и этим делаем их жизнь чуть лучше/проще. Что каждое техническое решение должно приносить реальную пользу бизнесу и людям, а не просто быть необдуманно выполненной задачей в треккере.