“Собеседования в ИБ — это не поиск лучшего специалиста, а ритуал, где проверяют умение играть по устаревшим правилам. Мы отсеиваем тех, кто не выучил ответы на популярные вопросы, и нанимаем тех, кто лучше всех их запомнил, забывая, что реальная работа требует другого.”
Почему собеседования превратились в театр
Типичный сценарий: кандидат получает список вопросов от рекрутера, заучивает ответы, приходит и воспроизводит их перед комиссией. Комиссия, в свою очередь, сверяет ответы с внутренним чек-листом. Если ответы совпали — кандидат прошёл. Этот процесс больше напоминает сдачу экзамена по билетам, чем оценку профессиональных качеств. Вопросы часто кочуют из одного набора в другой, становясь частью фольклора отрасли. Кандидат, который потратил неделю на заучивание, выглядит блестяще на фоне того, кто знает предмет, но не готов к формальному опросу.
Проблема в том, что такой подход проверяет не компетенцию, а память и подготовку к конкретному событию. Он не показывает, как человек будет действовать в нестандартной ситуации, как мыслит, как ищет решения для задач, которых нет в учебниках. В результате компания рискует нанять отличного «сдающего экзамены», но посредственного практика.
Стандартные вопросы, которые ни о чём не говорят
Есть набор вопросов, которые задают на 90% собеседований. Они стали настолько привычными, что потеряли всякий диагностический смысл.
- «Расскажите про модель OSI» или «Объясните разницу между symmetric и asymmetric encryption». Ответ на эти вопросы — базовый минимум. Их знание не делает кандидата специалистом, а незнание, возможно, говорит лишь о волнении или о том, что человек давно не открывал учебник. Реальная работа с шифрованием или сетевыми протоколами требует понимания куда более глубоких нюансов.
- «Какие этапы кибератаки по модели MITRE ATT&CK?» Вопрос проверяет знакомство с популярным фреймворком. Но знание названий тактик не равно умению выстроить защиту или расследовать инцидент. Гораздо важнее спросить, как кандидат использовал эту матрицу на практике для анализа конкретной угрозы.
- «Что такое SQL-инъекция и как от неё защититься?» Это классический пример вопроса из прошлого десятилетия. Механизм уязвимости и базовые методы защиты (параметризованные запросы) известны каждому. Современные фреймворки и ORM часто решают эту проблему на архитектурном уровне. Вопрос не показывает, понимает ли кандидат современные векторы атак на веб-приложения, такие как десериализация, SSRF или логические уязвимости в бизнес-процессах.
Эти вопросы создают иллюзию оценки. Интервьюер чувствует, что провёл беседу на технические темы, кандидат — что блеснул знаниями. Но по итогу никто не приблизился к пониманию, справится ли этот человек с реальными задачами.
Провал в оценке практических навыков
Теоретический опрос почти не затрагивает главное — умение делать. В ИБ критически важны навыки, которые нельзя проверить устно.
Анализ и расследование
Как кандидат подходит к расследованию инцидента? Может ли он по набору сырых логов (файлов журналов, сетевых дампов) восстановить картину происшествия, выдвинуть и проверить гипотезы? Устный вопрос «Что вы будете делать при обнаружении вредоносного ПО?» предполагает заученный алгоритм. Практическое же задание, даже упрощённое, сразу отделяет теоретика от практика.
[ИЗОБРАЖЕНИЕ: Пример упрощённого лог-файла с подозрительными событиями для анализа кандидатом]
Работа с инструментами
Знание названия инструмента (например, Wireshark, Metasploit, ELK Stack) не равно умению им пользоваться. Можно идеально описать интерфейс Wireshark, но не суметь отфильтровать трафик по конкретному протоколу или выделить аномальную активность в реальном дампе. Собеседование должно включать элементы live-сессии или разбор кейса с использованием конкретного софта.
Понимание контекста бизнеса
Хороший специалист по ИБ понимает, что он защищает не абстрактные «активы», а конкретный бизнес-процесс. Задача «как защитить интернет-магазин» будет иметь разные решения для небольшого магазина одежды и для крупной торговой площадки с высокочастотными транзакциями. Вопросы на собеседовании редко требуют от кандидата мыслить в терминах бизнес-рисков и компромиссов между безопасностью и удобством.
Культура «правильных» ответов и страх ошибки
Среда на собеседовании часто враждебна. Кандидата проверяют, пытаются «завалить» каверзным вопросом, создают атмосферу экзамена. Это порождает две проблемы.
Во-первых, кандидат стремится дать не честный или развёрнутый, а «правильный» с точки зрения интервьюера ответ. Он угадывает, что от него хотят услышать, и подстраивается. Вместо дискуссии получается односторонняя проверка.
Во-вторых, страх ошибиться блокирует мышление. В реальной работе ошибки — часть процесса анализа. Специалист выдвигает гипотезу, проверяет её, если она неверна — отбрасывает и движется дальше. На собеседовании же ошибочный ответ часто означает провал. В результате мы отбираем не самых думающих, а самых осторожных и подготовленных к тесту.
Что не так с задачами и тестовыми
Попытки исправить ситуацию часто приводят к другим крайностям.
- Абстрактные задачи на логику. Вопросы вроде «сколько теннисных мячей поместится в автобус» не имеют отношения к ИБ. Они проверяют сообразительность в очень специфических условиях стресса, но не прогнозируют успех в профессиональной деятельности.
- Неадекватно сложные или оторванные от реальности тестовые задания. Задача на pentest, требующая найти 0-day уязвимость в предоставленном стенде за два часа, или написание с нуля сложного парсера логов — это проверка не навыков, а выносливости и удачи. Они отсеивают даже хороших специалистов, у которых нет времени или желания работать бесплатно над искусственной проблемой.
- Задачи «в вакууме». Часто тестовое — это техническая головоломка без контекста. В реальности же специалист всегда работает с ограничениями: устаревшими системами, недостатком ресурсов, требованиями регуляторов. Задача «настроить идеальный SIEM» бесполезна, если не учитывать, что в компании уже пять лет используется конкретная система, миграция с которой невозможна.
Как могло бы выглядеть рабочее собеседование
Цель — смоделировать фрагмент реальной работы и посмотреть на процесс мышления кандидата.
- Разбор реального (или реалистичного) кейса. Вместо вопроса «что такое DDoS» дать краткое описание инцидента: «У клиента упал сайт, в логах nginx миллионы запросов с разных IP. С чего начнёте анализ и какие действия предложите?» Обсуждать не только технические шаги, но и коммуникацию с бизнесом, приоритизацию.
- Совместная работа с инструментом. Провести короткую сессию, где кандидат и интервьюер вместе смотрят на дамп трафика или набор подозрительных строк в логах. Важен не мгновенный верный ответ, а ход рассуждений: «Сначала я отфильтрую по этому порту, потому что…», «Эта строка выглядит странно, давайте посмотрим контекст».
- Обсуждение компромиссов. Задать ситуацию с конфликтом интересов: «Разработчики настаивают на упрощении процедуры деплоя для ускорения выхода фич, это ослабляет контроль. Как будете выстраивать диалог и искать баланс?» Это проверка soft skills в профессиональном контексте.
- Оценка способности учиться. Спросить не «знаете ли вы этот стандарт?», а «представьте, что вам нужно разобраться в требованиях нового регулятивного документа. Опишите ваш алгоритм изучения и внедрения». Это показывает метанавыки, которые важнее знания конкретного факта.
[ИЗОБРАЖЕНИЕ: Схема-чеклист для интервьюера, смещающая фокус с вопросов на наблюдение за процессом решения]
Что мешает всё изменить
Даже понимая проблему, компании годами используют сломанный формат. Причины системные.
- Интервьюерам так проще. Гораздо легче задать 20 стандартных вопросов и поставить галочки, чем готовить и проводить глубокое case-интервью. Это требует больше времени, навыков модерации и уверенности в собственной экспертизе.
- Ошибиться «по правилам» безопаснее. Если нанять кандидата, который блестяще ответил на все теоретические вопросы, но не справился с работой, можно сказать: «Мы провели стандартное собеседование, он всё знал». Если же нанять человека по результатам нестандартного кейс-интервиью, который потом не оправдал надежд, спрос с HR и тимлида будет строже. Протокол и чек-листы служат страховкой для тех, кто проводит отбор.
- Кадровые агентства и шаблоны. Рекрутеры, особенно внешние, часто используют универсальные наборы вопросов для всех вакансий в ИБ. Они не погружены в специфику компании и не могут оценить глубину ответов, поэтому ориентируются на формальное соответствие.
- Иллюзия объективности. Баллы за ответы создают видимость точной, беспристрастной оценки. На деле же они лишь оцифровывают субъективное мнение интервьюера, придавая ему ложный вес.
Что можно сделать уже сейчас
Менять систему целиком сложно, но начать можно с малого.
Для тех, кто проводит собеседования: замените хотя бы треть теоретических вопросов на один развёрнутый практический кейс. Сфокусируйтесь на том, как кандидат думает, а не на том, что он помнит. Задавайте уточняющие вопросы: «Почему вы выбрали этот инструмент?», «Что делать, если ваша первая гипотеза не подтвердится?». Допустите, что кандидат может знать что-то, чего не знаете вы, и дайте ему возможность это показать.
Для кандидатов: готовясь к собеседованию, тратьте меньше времени на заучивание определений. Вместо этого продумайте, как будете рассказывать о своих реальных проектах. Готовьтесь задавать вопросы о рабочих процессах в компании, о типичных инцидентах, о том, как в команде принимают решения. Ваша цель — превратить монолог-экзамен в диалог о будущей работе.
Сломанный процесс собеседований — это фильтр, который пропускает удобных, предсказуемых людей и отсекает тех, кто мыслит иначе. В сфере, где угрозы постоянно меняются, нам нужны как раз вторые. Перестаньте искать тех, кто знает ответы на вчерашние вопросы. Начните искать тех, кто умеет находить решения для задач, которые появятся завтра.