Увійти
Увійти

Whoami? Знайомство з Founder (BPS Cyber Academy)

Вітання тобі!

Перш за все - дякую, що ти тут, з нами! Постараємось сьогодні без лонгрідів обійтись 😇

Whoami? Тут швиденько і без зайвих слів.

Мене звуть Богданом і моя спеціалізація - кібербезпека. З майже 10 років свого загального офіційного стажу (станом на час написання даної статті), трохи більше 6 років припадає саме на кібербезпеку.

Мій неофіційний шлях починався з далекого 2011 року, тоді я займався фрілансом - писав невеличкі апки на Object Pascal в Delphi. Також потрошку підробляв ремонтом та збором комп'ютерної техніки - це давало хороший буст в розумінні того, як це все працює. Рік за роком кількість замовлень по збору ПК та очищення від "шкідливого" ПЗ зростала, а от мій фріланс з програмування танув на очах. Того часу Delphi перекупила собі компанія Embarcadero і те, що там з IDE наворотили в минулому десятиріччі - просто вбило і саму мову програмування, і будь-який до неї інтерес на ринку. Конкуренти у вигляді Java також вбивали гарний кіл в зникнення Delphi (Object Pascal) з полиць інтересів замовників.

Так, 2015 року вже працював в сервісному центрі, де займався ремонтом та відновленням комп'ютерної, мобільної техніки, відеореєстраторів, відеопрогравачів та всілякої іншої електроніки. Цей досвід в 2016 році досить швидко надав мені можливість отримати посаду "Інженер комп'ютерних систем" (вже на новому офіційному місці роботи) та до 2019 року працювати вже не тільки з ремонтом техніки, а й зростати в напрямках мереж, налаштування обладнання, розібратись "як це працює". Вже в той час почав розуміти що питання "вразиливостей" і "кібербезу" мене починали захоплювати настільки, що мене "хлібом не годуй" - дай якийсь інцидент розібрати, "вилікувати" комп чи сервак, дізнатись rootcause проблеми з безпекою і як це можна проексплуатувати та, в результаті, пофіксити.

2019 року отримав можливість працювати на посаді "Провідний інженер з кібербезпеки" (Lead Security Engineer) в іншому КП. Ух, тут роботи було дуже багато: оптимізація процесів, впровадження політик безпеки, імплементація нових програмних та апаратних рішень, перші повноцінні аудити безпеки. В тому самому році вступив до аспірантури (PhD).

Вже за півтора роки (2021) мене підвищили до "в.о. Начальника відділу АСУВ" (Head of Department). Тут "в.о." стояло тільки через те, що я паралельно навчався в аспірантурі і Закон тут був чіткий - працювати можна тільки за сумісництвом не більше ніж на 0.5 ставки. На цій посаді вже руки в мене були більше розв'язані, хоча система тримала до останнього спротив будь-яким змінам, які я впроваджував. Але так в нас стало більше керованих комутаторів, з'явились повноцінні системи моніторингу та бекапування і багато інших цікавинок, які не варто розкривати через рівень критичності підприємства. Оновили методології, впровадили політики та посадові інструкції. Однак, мені в якийсь момент вже цього було мало і я дуже сильно наліг на навчання по "етичному хакінгу" влітку. Чому? Далі в поточному сегменті для мене не було можливості ні кар'єрного зростання, ні отримання бажаного рівня зарплати. Відчуття "кібербезу в крові" та постійне бажання невпинного зростання привели мене до рішення - виконати повний ресет по кар'єрних позиціях в державних підприємствах і свічнутись вже в більш вузькопрофільне середовище в реальну компанію.

3 місяці інтенсивного навчання влітку мене привели до вакансії компанії Pakurity - "Pentester Junior". Я пройшов досить нелегке (як для мене на той час) завдання на джуніора у вересні. Ще приблизно 1.5 місяці ми шукали мені заміну на попереднє місце роботи. І так, в кінці 2021 року я повноцінно свічнувся (в свої вже 29 років) на омріяну позицію "етичного хацкера". Паралельно розпочалось навчання по підготовці до першого сертифікаційного екзамену та навчання в Європейському університеті (2-га вища освіта, "Кібербезпека"). На даній посаді в компанії я набагато більше працював саме як Application Security інженер, ніж пентестер. Методології, Terraform, GCP, GCloud, Azure, Intune, скриптування - ось були основні мої задачі. І в останню чергу - саме пентестинг. Це хороший досвід, але мені, все ж, хотілось не цього від сфери в яку я свічнувся.

На початку 2022 року в двері постукала війна. Ніколи не думав, що в моєму житті такому жаху буде місце. Саме через війну працювати стало в рази важче і умови також змінились не в кращу сторону. Не було стабільності і розуміння того "а що ж далі?". 

В середині 2022 року до мене звернулись рекрутери з Genesis і вже в серпні я розпочав свою роботу як Security Engineer. Якраз те, що й хотів: пентестів стало набагато більше + з'явились задачі по security-харденінгу портфельних компаній. Декому допомогли з Due diligence, а декого навіть почали готувати до GDPR. Розробляв чеклісти та методології, шаблони репортів по пентестах веб та мобайл додатків; чеклісти по підготовці до GDPR; тестували та впроваджували Vulnerability Management та SAST+DAST рішення. Хоч і місцями працював набагато більше ніж по 8 год в день - мені подобалось те, чим я займався. Так я швидко доріс до Middle позиції в компанії. Паралельно, в грудні вже захистив дипломну роботу магістра. 

Вже в середині 2023 року під брендом стартапу DarkCloud (портфельної компанії Genesis) отримав позицію Head of Security Engineering. Вже нові виклики: масштабування (сервіси, процеси), найм та розбудова команди і робота з нею, розбудова нових сервісів та послуг і дууууже багацько іншого. В тому ж році мені запропонували вступити до магістратури "Бізнес-адміністрування та Менеджмент" - це для мене був цікавий виклик і, в результаті, в кінці грудня 2024 я успішно захистив магістерську роботу. За майже 2 роки на посаді в компанії вдалось досягти дуже багато, хоча ще стільки всього ще мало бути попереду. Все ж, моє нестримне бажання завершити дисертацію та мати змогу рухатись по своєму роадмапу по навчанню в бік Purple Team, переважило - так і було прийнято рішення перейти на контрактну основу. Розкривати всього не буду - є NDA і я його притримуватимусь з поваги до компанії, в якій я працював і до сходження якої доклав руку. 

На початку 2025 вже повністю перейшов на фріланс, що дозволило мені зосередитись над доопрацюванням дисертаційного дослідження (PhD) та відкрити для себе можливості по роботі з напрямками, які раніше не були в пулі сервісів компаній, в яких я працював. Взагалі, про фріланс в кібербезі напишу якось окремий пост в своєму блозі - це варто розглянути абсолютно окремо. З класного точно хочу відмітити: це можливість абсолютно впевнено керувати власним часом та ресурсами. В принципі, про проблему "вигорання" я фактично забув, хоч часто і працюю майже весь день (часто по вихідних також). 

Буквально тиждень тому мої студенти попросили надати список топ-5 задач, які я виконую на фрілансі в порядку від найбільш затребуваних до найменш. Розумію цікавість до фрілансу в кібербезі, однак тут без знайомств нічого працювати не буде за нормальні гроші. Про це, та багато інших цікавинок фрілансу в нашій галузі, пропоную якось поговорити в окремому пості.

Отже список моїх топ-5 задач на фрілансі, як vCISO:

  1. Написання політик та документації, які відповідають вимогам ISO 27001:2022 та SOC 2 Type 2. Також різного роду чеклістів та пам'яток для команд. Розробка та впровадження процесів тренінгів команд (особливо, на етапі онбордингу).
  2. Супроводження та допомога при впровадженні (з автоматизаціями) і налаштуванні SIEM (працюю з Wazuh). Це також включає допомогу в наймі та присутність на співбесідах в команду моніторингу та реагування. В деяких випадках допомагаю на погодинній оплаті як L2/L3 (допомога в розслідуванні та поясненні бізнес-ризиків клієнтам). 
  3. Консалтинг з питань впровадження програмних і апаратних систем; харденінгу AD, веб- та мобільних додатків, серверів та різних сервісів. Також були задачки по допомозі в розбудові внутрішньої Red-Teaming команди.
  4. Тестування на проникнення: Web/+API, Mobile apps, Network (External/+WiFi, Internal/+AD), AI/ML. Задачки на manual code review також бувають. 
  5. Консалтинг для команд після проведення аудитів безпеки або допомога при впровадженні VM/SAST/DAST/SCA/IAST рішень. Підключення або розробка автоматизацій. Бувають і задачки по Threat Modelling. 

Іноді трапляються Red-Teaming та OSINT таски - там набагато веселіше, ніж з пентестами. Загалом, як бачиш - тут в мене весело, не занудишся 😁

Які маю сертифікації, станом на 10.11.2025:

  1. HTB: CPTS
  2. TCM Security: PNPT
  3. Altered Security: CRTP
  4. iNE Security: eWPTX v2; eMAPT v1.0; eCPPT v2; eCTHP v2; eCDFP v2
  5. EC-Council: CEH v12
  6. Qualys: Cloud Agent, Patch Management, Web Application Scanning, VMDR, Cloud Security Assessment and Response, QFlow, Patch Management

Наразі потрошку готуюсь до CISM/CISSP/C|CISO; CRTM; CWEE; CAPE; Al/ML-Pen

Зараз (станом на дату написання даного посту), всі акумульовані знання та свої записи в Notion перероблюю в зрозумілий матеріал для курсів. Кожен, хто має досвід в галузі кібербезпеки, знає що проходження модулів навчальних платформ (HTB, наприклад) зовсім недостатньо. Є специфічні моменти, яких платформи не навчають. Не тому, що "погані", а тому, що передбачають, що їх студент це вже знає та вміє. Плюс, варто враховувати спеціфіку клієнтів - жодна платформа не може всіх нюансів передбачити і тебе навчити.

Також, хочеться відмітити, що студентів часто закидують тулами, без пояснення що саме вони роблять і що ще вміють, окрім точкового вирішення поточної задачі в модулі курсу. Чого ж бракує? Потрібне поглиблене розуміння процесів ("чому так працює?", "чому це спрацьовує?") та звісно ж - практика, практика, і ще раз практика

Розбудовуючи команди і процеси, маючи змогу "доторкнутись" до більш ніж 50 компаній за свій шлях в кібербезпеці, а також маючи змогу навчати студентів в НАУКМА, я бачу одні й ті ж самі "gaps": початківці намагаються "перестрибнути" навчання фундаментальних речей і відразу почати "хакати", відразу починати кар'єру менеджера в стартапі (при цьому не маючи відповідних навичок та знань) і т.д.

Пропускаються основи мереж, пропускаються навчання по веб-технологіях, пропускаються уроки зі скриптування, розуміння стандартів та дуже багато іншої фундаментальної інформації.  

Взято з просторів Twitter😁

Взято з просторів Twitter😁

В мене є чудовий приклад для вас. Недавно був інцидент з участю пентестера, який проводив тестування на проникнення одного об'єкта критичної інфраструктури в 2024 році. Мене цього літа залучили до розбору його звіту на мітингу. Питаю на зустрічі:

- Ось ти знайшов тут і тут проблеми, судячи зі звіту. Але не написав чим ти керувався при проведенні пентесту. Які методології? Чи є список вразливостей, які ти перевіряв тут? Це критично важливо для розуміння "покриття" тестування асетів.

Його відповідь мене просто вбила:

- Мені дали vpn-доступ в мережу. Пройшовся Nmap-ом, Metasploit-ом і готово.

На моє питання: 

- Якщо б Metasploit не спрацював, то що би робив?

Пролунала відповідь:

- Та нічого. Якщо в Metasploit немає екслоїта, то і тестити далі нічого.

А за пентест той "спеціаліст" немалу суму отримав. Мене завжди нервувало слово "Metasploit" - відразу спрацьовує тригер (особливо, коли чую це від інженерів або ж від вендорів сертифікаційних екзаменів). Це як запускати сканер портів і стверджувати, що раз порт 80 закритий, то ваш продукт не вразливий до веб-атак при відкритому в світ 443. 🤯

Навіть компанії такі є (і не тільки у нас в країні) - вони навіть на таких

Навіть компанії такі є (і не тільки у нас в країні) - вони навіть на таких "пентестах" умудряються заробляти🤯

Це лише простий приклад, чого я точно не хотів би бачити в нашій країні. В нас досить немало дуже класних спеціалістів, але навчати молодь беруться одиниці. Пости в блогах тут ніяк не допоможуть - це не навчання, а більше публічний огляд окремих точкових кейсів. Курси від українських "онлайн-академій" взагалі навіть не близько до потреб ринку, ще й за якісь космічні гроші (як для початківця). Про курси "інфоциган" навіть і говорити не варто - їх обман видно за кілометри (шкода лишень, що не всім). А от розвелось їх зараз просто космос як багато - аж очі ріже 😣

Моя країна заслуговує на якіснішу підготовку кадрів, а компанії - на підготовлених спеціалістів. Яких, як мінімум, сміливо можна брати в інтренатуру на випробувальний термін. Людей, яких ми зможемо рекомендувати, а компанії - звертатись по них без місячних пошуків "саме тих маленьких алмазів". 😎

Хочу розписати про історію створення, місію та цілі створеної платформи BPS вже в наступній статті блогу. Stay tuned! 👾

Роботи над продуктом все ще дуже й дуже багато, але відступати від наміченого курсу не збираюсь! Далі - тільки більше! 

Чистого та мирного неба над головою! 💖

З повагою,
Пасюк Богдан
Founder at BPS Cyber Academy

Корисні посилання

  • Illustration

    orp.loohcspb%40spb

Created by Studio Weblium

Copyright © 2025-2026 BPS

Корисні посилання

  • Illustration

    orp.loohcspb%40spb

Created by Studio Weblium

Copyright © 2025-2026 BPS