Перевірка кандидата в defence tech

Перевірка кандидата в defence tech: де закінчується безпека і починається параноя

Як ставлення засновника оборонної компанії до спецперевірок “дозріває” разом із компанією – і коли воно “повертає” не туди

Оберіть розмір тексту

A
Маленький
A
Середній
A
Великий
8 хв
Анна Король, CEO та засновниця CORE Team / Світлина: CORE Team

Для роботи в оборонній галузі недостатньо лише професійних якостей — потрібно переконати роботодавця, що новий співробітник не несе безпекових ризиків. Тому кандидатів тут перевіряють значно серйозніше, ніж в інших сферах. Втім, іноді засновники та менеджери компаній заходять аж надто далеко.

В другій статті спецпроєкту Arming with Talents, присвяченому рекрутингу в defence tech, засновниця і CEO CORE Team Анна Король розповідає про: 

  • Чотири стадії ставлення фаундерів до спецперевірок;
  • Два перегини, що можуть підкосити компанію на кожній зі стадій;
  • Три рівні перевірки кандидатів;
  • Чотири блоки питань, що лежать в основі безпекових перевірок.

Питання, чи потрібні спецперевірки в Defence Tech, давно знято з порядку денного. Залишилося складніше: як виглядає правильна перевірка саме для вашої компанії і саме зараз. 

На першому році роботи компанії вона зазвичай звучить так: “Він класний інженер, ми його знаємо особисто”. На п’ятому: “Проведіть його через поліграф і психодіагностику”. Між цими точками лежить історія дорослішання засновника в безпековому питанні – і ціна її проходження.

Як ставлення “дозріває” разом із компанією

Практика роботи CORE Team з командами у сфері Defence Tech вказує на певну закономірність. В еволюції свого ставлення до спецперевірок засновник проходить через чотири стадії, кожна з яких характерна для певного етапу розвитку компанії. Проблеми починаються, коли компанія вже перейшла на наступну стадію, а сприйняття засновника – ні.

Стадія 1. До 10 людей у команді. Усі один одного знають особисто: спільні чати, спільні вихідні, спільна історія. Безпека не на радарі, і це нормально. Довіра є основною формою перевірки, бо доступів мало, інформації небагато, ризик концентрований у самому засновнику. Проблема не в самій стадії, а в тому, що в голові засновника вона “затримується” довше, ніж насправді триває.

Стадія 2. До 30 людей у команді. З’являється перший найм поза особистими зв’язками засновника. CTO привів свою людину, тімлід найняв за рекомендацією, на цікаву позицію відгукнувся хтось сторонній. Часто тут приходить перше незручне відчуття: “Я не знаю про цю людину нічого, окрім CV і двох співбесід”. Безпека з’являється у списку питань, але без чіткого процесу. Перевіряють ситуативно: дзвонять знайомим, переглядають соцмережі. Інколи не перевіряють зовсім.

Стадія 3. 30–100 людей у команді. Тут укладається перший системний контракт із вимогами безпеки. Хтось пішов, і виявилося, що взяв із собою те, на що не мав права. Або новий партнер вимагає підтверджень безпеки, яких у команді ще не існувало. Безпека стає темою обговорень на C-level. Найчастіша помилка тут: процес безпекової перевірки запускається як разова HR-процедура, без системного підходу. Перевіряємо нових, не питаючи себе, що з тими, хто вже всередині.

Стадія 4. 100+ людей. Доступи стратифіковані, ролі диференційовані, ведеться облік інцидентів. На цій стадії або є система, або у вас уже є проблема – ви її просто ще не побачили. Без системи ви або втрачаєте швидкість найму через надмірні перевірки, або наражаєтеся на ризики, які масштабуються разом із компанією. Часто – і те, і інше.

Закономірність проста: ставлення до безпеки дорослішає на пів стадії пізніше, ніж сама компанія. Завдання засновника —  скоротити цей розрив.

Два перегини, які ростуть разом із вами

На кожній стадії компанія ризикує скотитися в одну з двох крайностей.

Перша – перегин знецінення. Класичний для ранніх стадій розвитку компаній і команд із цивільним бекграундом. “Він же класний інженер — які можуть бути питання?”. “Ми не того масштабу, щоб перевіряти всіх”. “У нас стартап, нам не до того”. Спецперевірка здається необов’язковою лише до першого інциденту, який показує її справжню ціну.

Друга – перегин параної в інтерпретації відповідей кандидата. “Свіжіше” і небезпечніше явище, особливо в командах, які щойно пережили перший інцидент або мають сильний безпековий бекграунд без цивільного балансу. На інтерв’ю кандидат перестає бути людиною і стає підозрюваним. “Він довго думав перед відповіддю, точно щось приховує”. “Вона не зробила зорового контакту, підозріло”. “Відповів занадто чітко, явно готувався. Що саме він приховує?”. Виглядає як ретельність, а насправді отруює процес. Через такі фільтри відсіюються не агенти ворога, а нормальні професіонали, які хвилюються на співбесіді.

Між цими двома перегинами лежить професійна перевірка. Не як золота середина або компроміс, а як інша система координат: структурна, методична, пропорційна ролі.

Що ми перевіряємо насправді

Перевірка кандидата в Defence Tech відбувається на трьох рівнях.

Перевірка фактів. Чи збігається легенда у CV з реальністю. Освіта, місця роботи, ролі, проєкти. Без цієї бази решта рівнів втрачає сенс.

Скринінг кандидата. Ілюстрація згенерована за допомогою ШІ-інструментів

Визначення мотивації. Чому ця людина хоче працювати саме в Defence Tech, саме в цій компанії (якщо ми її можемо назвати) та саме зараз? Що для неї означає ця робота, окрім фінансової винагороди? Наскільки усвідомленою, автентичною та стійкою є ця мотивація? Чи витримає вона зіткнення з реальністю роботи в Defence Tech з високою невизначеністю та великою відповідальністю?

Визначення вразливостей. Тут вразливість — не вирок або підстава для відмови, а карта ризиків. Які фактори можуть бути важелями впливу на цю людину, хто може ними скористатися та наскільки вона стійка до такого впливу. 

Питання не в довірі. Питання в наявності повної картини. Довіру не можна перевірити. Загальну картину про людину можна.

Чотири блоки, які ми проходимо з кожним кандидатом

Три рівні — це філософія. На практиці вона розкладається на чотири конкретні блоки запитань, які ми відпрацьовуємо з кожним кандидатом. У кожного блоку своя ціль і своя глибина “копання”.

Безпека і зовнішні впливи. Найчутливіший блок, який засновники з цивільних галузей часто пропускають або проходять формально. Тут чесні питання про географію контактів за останні роки. 

  • Чи відвідували Крим після 2014 року? 
  • Чи були поїздки до російської федерації або білорусі, і якщо так, коли і з якою метою? 
  • Чи має кандидат громадянство, паспорт або посвідку на проживання у рф або білорусі? 
  • Чи є родичі першої лінії (першого ступеня спорідненості), які проживають на території рф або працюють у державних установах рф, чи підтримується регулярний зв’язок? 
  • Чи є фінансові або юридичні зобов’язання, пов’язані з людьми на тимчасово окупованих територіях? 

Ці питання звучать жорстко лише до моменту, коли ви розумієте, що ставите їх не для дискваліфікації, а для побудови карти вразливостей.

Конфіденційність і досвід роботи з безпековим середовищем. 

  • Чи працювала людина з конфіденційною інформацією раніше: даними клієнтів, внутрішніми процесами, чутливими контактами? 
  • Чи мала досвід проходження спецперевірок? 
  • Чи був у її кар’єрі контакт зі спецслужбами? 

Це не показники “хорошої” чи “поганої” біографії. Це — індикатор того, наскільки людина знає правила гри в індустрії, для якої ви її наймаєте.

Перевірка кандидата на поліграфі. Фото: Національна асоціація поліграфологів України

Добросовісність і відповідальність. 

  • Як кандидат поводився з бюджетами, закупівлями, доступом до ресурсів у попередніх компаніях? 
  • Як забезпечував прозорість, чи мав на це окремі процедури, чи справа трималася на чесному слові? 
  • Чи доводилося стикатися із ситуаціями, де порушувалися внутрішні правила, і що кандидат робив у цей момент? 

Цей блок дає більше за всі інші, бо тут видно справжній характер. Не як людина говорить про правила в теорії, а як з ними поводиться “в полі”.

Особисті звички і спосіб життя. Шкідливі звички, вживання заборонених речовин, азартні ігри, інші патерни, які створюють фінансову залежність або вразливість до зовнішнього впливу. Цей блок викликає найбільший дискомфорт у засновників, які звикли до “м’якого” найму, де такі питання не ставлять. Не питати про це в Defence Tech – означає закрити очі на один із найпростіших каналів тиску, який тільки існує.

Логіка чотирьох блоків виглядає доволі простою та прозорою. Але саме на тому, як засновник реагує на відповіді з першого з них, видно ще один тип ризику, з яким стадія розвитку компанії має мало спільного.

Сліпа пляма цивільного мислення

Цей ризик живе в голові засновника на будь-якій стадії розвитку компанії, якщо туди не зазирнути спеціально.

Типова сцена. Фінальне обговорення кандидата на роль CTO. Сильні скіли, гарне інтерв’ю. У розмові випливає: мати кандидата залишилась у Маріуполі, не змогла виїхати в 2022-му. Безпековий партнер каже, що це треба ретельно обговорити. ІТ-фаундер реагує щиро здивовано: “Ну і що? Він же сам не в Маріуполі. У чому взагалі питання?”.

Не вигаданий діалог, а майже стандартна сцена в командах із цивільних галузей. Поясню механізм. Ворог не використовує “ваших людей”. Ворог використовує їхні вразливості. Родич на тимчасово окупованих територіях — це не доказ нелояльності кандидата, а канал тиску, який існує об’єктивно, незалежно від волі людини. Через цей канал можна шантажувати, переконувати, підставляти. Чим вище доступ людини в компанії, тим інтенсивніше канал може бути активований.

Це не означає автоматичну відмову, бо вона — інша сліпа пляма, дзеркальна до першої. Сказати “будь-який зв’язок з ТОТ? До побачення” означає закрити двері перед мільйонами українців, які платять високу ціну цій війні.

Професійний підхід та оцінка — інші. Не відсіюємо, а розуміємо контекст. Питаємо відкрито, відверто обговорюємо з кандидатом усі моменти, оцінюємо співвідношення доступу і ризику, плануємо заходи зі зменшення вразливості. Часто саме кандидат ініціює таку розмову. 

А далі ми йдемо на експеримент

Усе описане вище, — рамка, у якій “живуть” конкретні інструменти спецперевірок: OSINT, перевірка рекомендацій, поліграф, психодіагностика. Кожен із них — окреме мистецтво. Більшість засновників знають їх за назвами, але мало хто бачив у дії, особливо в комбінації.

Аби додати практики до цієї теорії, в наступній частині спецпроєкту Arming with Talents головний редактор Defender Media поділиться власним досвідом проходження нашої спецперевірки. 

Поліграф, психодіагностика, OSINT, перевірка рекомендацій — усі чотири інструменти у режимі реального міні-дослідження. З результатами і поясненням, як “читати” їх правильно. Чесний жест: ми не пишемо про те, що не пройшли самі.

А поки тримайте в полі зору дві сліпі плями. Перша, яка наївно пускає ризики всередину. Друга, яка з підозри робить процес перевірки ворогом найму. Між ними — не золота середина, а система, яка “дорослішає” разом із вами.


Анна Король

CEO та засновниця CORE Team