Anastasiia @vixentael ha 10 anni di esperienza nello sviluppo di software, costruisce software di sicurezza per la protezione dei dati (crittografa tutto!). Condivide molto su “pesante crittografia”, crittografia end-to-end, sicurezza dei dati, sistemi zero knowledge / zero trust, architettura di sicurezza del software.
Conosciamo il grande talento femminile sulla cybersecurity, da una intervista rilasciata su medium qualche tempo fa.
Parla a conferenze internazionali, conduce workshop e formazione per sviluppatori e co-organizza eventi di cybersec.
Come sei entrata nel campo della sicurezza informatica?
Ho un master in informatica, quindi ho iniziato come sviluppatore di software; Sviluppo app iOS da iOS3. Ma le app mobili erano “troppo limitate” per me, quindi sono passata anche al lato backend, cercando di controllare il più possibile il flusso dell’applicazione. Ho imparato molto sull’esperienza utente e ho notato un divario in cui “come ingegneri, vogliamo costruire sistemi tecnologici complicati” e “come utenti, vogliamo usare app comprensibili”. Sono riuscita a mettere le mani su diverse dozzine di app mobili, come chat sicure, negozi online, piattaforme mediche per pazienti e medici, app per il controllo di dispositivi intelligenti e così via.
Ad un certo punto, mi sono resa conto che come sviluppatore ho “troppo controllo”: posso vedere i dati degli utenti, ho accesso ai database e, poiché gli utenti spesso inseriscono il loro vero nome / indirizzo e-mail, posso praticamente rintracciare persone reali. Ho capito che le mie app non sono sicure e non rispettano la privacy degli utenti quanto dovrebbero.
Così ho iniziato a prestare maggiore attenzione all’ingegneria della sicurezza, alla sicurezza dei dati e alla crittografia. Sono diventata una collaboratrice (e successivamente una delle principali manutentrici) della libreria crittografica FOSS, ottimizzata per gli sviluppatori. Poi ho smesso di provare a rendere le mie app più sicure e ho iniziato a creare strumenti crittografici e software di sicurezza per altri sviluppatori.
Ora guido le soluzioni di sicurezza dei dati presso Cossack Labs, aiutando i nostri clienti a proteggere i dati dei loro utenti, parlando di architettura di sicurezza, conducendo workshop e formazione per sviluppatori e co-organizzando conferenze sulla cybersecurity.
Quali sono le principali sfide in questo campo?
Una delle sfide è il divario tra il mondo dei produttori di software e il mondo degli addetti alla sicurezza: il divario nelle loro capacità, competenze e mentalità.
Quando lavoravo come sviluppatrice di software, non c’era nessuno responsabile della sicurezza del prodotto (fortunatamente, le grandi aziende iniziano ad avere ruoli di ingegneria della sicurezza, concentrandosi sul lavorare a stretto contatto con gli sviluppatori che aiutano a progettare e implementare app più sicure). Molti sviluppatori che conosco non hanno alcun interesse per la sicurezza, nessuna comprensione di rischi e minacce, nessuna competenza nell’analisi e nell’architettura della sicurezza. Per molte aziende, la sicurezza del prodotto è semplicemente “eseguire pentest una volta all’anno”.
D’altra parte, ho notato che molte persone esperte di sicurezza non hanno esperienza nello sviluppo di software decisamente utilizzabile. Il software di sicurezza spesso è complicato da configurare, diventa una seccatura per gli sviluppatori e gli addetti alla sicurezza spesso vengono a dire agli sviluppatori di smettere di fare ciò che stanno facendo e iniziare a correggere le vulnerabilità e ad aggiornare le librerie di terze parti.
Mentre si sta tra i due mondi, si sente profondamente questo problema.
Quali sono le cose che hai imparato essendo una donna nella sicurezza informatica?
Cose cattive e cose buone.
Ho imparato che anche se sono invitata a una conferenza come relatore e la mia faccia è letteralmente ovunque nel locale, alcune persone possono ancora confondermi con una persona che prepara il caffè, mettere in dubbio le mie capacità o dubitare della mia esperienza.
Allo stesso tempo, ho incontrato molte donne fantastiche che lavorano nel campo della sicurezza, in aree molto diverse: dall’analisi forense digitale alle sviluppatrici, dalla creazione di software antimalware all’hacking dei sistemi. Mi piace sempre imparare da loro sulla loro area di competenza e approcci per risolvere i problemi.
In questo momento, mi sto impegnando molto per supportare i miei colleghi collegandoli e promuovendoli.
Che consiglio daresti alle donne che vorrebbero entrare nel settore?
Penso che la sicurezza informatica sia l’area più eccitante dei computer. Ha così tante aree diverse che chiunque può trovarne una adatta. Non esitare 🙂
Inoltre, consiglierei di trovare una comunità / tribù: ad esempio, una comunità locale di Women Who Code o Women In AppSec. Di solito è un ottimo posto per imparare, condividere conoscenze, ricevere supporto e sentirsi responsabilizzate.
Chi sono i tuoi modelli di comportamento?
Oh, è complicato.
Ammiro Emma Watson per la sua posizione di parità di genere ed è un eccellente esempio di una persona famosa che usa il proprio potere per apportare cambiamenti. E, naturalmente, rispetto la Regina, perché posso solo immaginare quante decisioni complicate e devastanti abbia preso nella sua vita.
Tra i romanzi: Lara Croft, Buffy the Vampire Slayer, Xena the Warrior Princess.
Se potessi tornare indietro nel tempo ai tuoi primi giorni nel settore, cosa faresti di diverso o diresti a te stessa?
Avrei smesso prima di essere una sviluppatrice di software full-stack e sarei passata alla sicurezza subito.
La comprensione dell’architettura di sicurezza e della gestione del rischio mi ha fornito una prospettiva molto migliore su come creare software sicuro e creare controlli di sicurezza, rispetto alla mia esperienza di coding di varie app utilizzando ~ 10 linguaggi di programmazione differenti.