Лоуренс Миллер, технический директор (CTO) компании Wilshire, прошел путь от квант-аналитика JP Morgan до управления технологической стратегией фирмы с активами под консультированием более чем в $1 трлн. В этом материале он детально разбирает опыт ликвидации последствий крупной кибератаки, принципы построения гибких инженерных команд и объясняет, почему современный искусственный интеллект — это «новый Excel» для финансистов.
👨💻 Путь от физика до CTO Wilshire 1:45
Лоуренс Миллер начал свою карьеру с фундаментального образования в области физики и компьютерных наук . Не закончив диссертацию, он перешел в JP Morgan в конце 1990-х на роль квант-аналитика, где занимался созданием финансовых моделей и систем ценообразования для фронт-офиса облигационных десков . Этот опыт заложил фундамент понимания того, как строятся инженерные организации в рамках крупных финансовых институтов.
В начале 2000-х Миллер присоединился к BlackRock, став частью подразделения BlackRock Solutions. Там он работал над платформой Aladdin — одним из самых известных коммерческих ИТ-продуктов в мире финансов . По его словам, работа над коммерческим софтом кардинально отличается от внутренней разработки: в Enterprise-среде пользователи «пленены» ИТ-отделом, тогда как в SaaS-модели (Software as a Service) клиенты могут уйти, что диктует более жесткие требования к срокам и качеству поставки .
Во время работы в BlackRock Миллер участвовал в технологической интеграции двух крупнейших слияний в истории управления активами:
По мнению Миллера, эти проекты показали неразрывную связь технологий и операционных процессов: невозможно внедрить новую систему, не изменив фундаментально то, как бизнес обрабатывает данные .
После BlackRock он занимал пост директора по безопасности (CSO) в финтех-стартапе Symphony и работал в фармацевтической отрасли в Signant Health, где поддерживал технологическую базу для испытаний вакцин против COVID-19 . В середине 2022 года Миллер вернулся в финансы, возглавив технологическое направление Wilshire .
🛡️ Кризис как точка входа: ликвидация ransomware-атаки 6:12
Назначение Миллера в Wilshire совпало с критическим инцидентом — компания подверглась атаке вируса-вымогателя (ransomware) . Его наняли в качестве консультанта в ту самую пятницу, когда профессиональные киберпреступники взломали сеть организации.
Миллер выделяет несколько ключевых шагов, которые позволили Wilshire успешно преодолеть кризис:
- Немедленная остановка систем. Компания приняла смелое решение — полностью отключить инфраструктуру, чтобы остановить продвижение атакующих . По мнению гостя, это требует большого мужества от руководства, так как парализует бизнес, но это единственный способ «заморозить» ситуацию для анализа.
- Прозрачность. Wilshire сразу уведомила регуляторов и клиентов о случившемся . Миллер утверждает, что стратегия замалчивания — худшая из возможных, так как правда все равно вскроется, а доверие будет подорвано безвозвратно.
- Отказ от выкупа. По словам Миллера, компания принципиально не платила выкуп хакерам . Это не только этический вопрос, но и доказательство того, что системы бэкапов (резервного копирования) действительно работают.
- Чистое восстановление. Вместо того чтобы пытаться «вычистить» злоумышленников из существующих систем (в чем никогда нельзя быть уверенным до конца), Wilshire выбрала радикальный путь — полную пересборку инфраструктуры в облаке с использованием чистых резервных копий .
📑 Новая архитектура кибербезопасности 12:35
После инцидента Миллер занял пост CTO и первым делом сменил главу информационной безопасности (CISO). Команда провела полную ревизию политик, опираясь на стандарты NIST и новые требования SEC .
Ключевые принципы операционализации безопасности в Wilshire:
- Линейное взаимодействие. В компании создан виртуальный комитет, куда входят не топ-менеджеры, а руководители среднего звена (операционные лидеры), которые ежедневно сталкиваются с исполнением процессов .
- Устранение разрыва с руководством. Миллер отмечает, что совет директоров и CEO обычно больше обеспокоены рисками ИБ, чем средний менеджмент, который сфокусирован на дедлайнах текущих проектов . Задача CTO — перевести технические метрики на язык бизнес-рисков для правления.
- Глубокое тестирование (Pentests). По мнению Миллера, ценность тестирования на проникновение не в списке найденных багов, а в оценке общей эффективности системы контроля . Качественный тест должен включать сценарии, когда хакеру уже предоставлен доступ внутрь сети, чтобы проверить концепцию «эшелонированной обороны» (Defense in Depth) .
🏗️ Стратегия Build vs Buy и владение данными 19:17
Wilshire управляет сложным стеком технологий, сочетая собственные разработки с покупными решениями. Миллер придерживается дисциплинированного подхода к выбору:
- Собственная разработка (Build): применяется там, где у компании есть уникальное преимущество или где стороннее решение избыточно сложно интегрировать . Иногда построить свое проще, чем упрощать громоздкий вендорский продукт .
- Вендорские решения (Buy): используются в зрелых областях, где продукт стороннего поставщика явно превосходит внутренние возможности.
Критически важным Миллер считает наличие «стратегии выхода» (Exit Strategy) для любого поставщика. При внедрении системы нужно заранее понимать, как извлечь из неё данные и перенести их на другую платформу через 5–10 лет . Также он подчеркивает сложность прав на интеллектуальную собственность (IP) в финансах: владение рыночными данными и производными от них — это отдельная юридическая дисциплина, которая может ограничить развитие бизнеса в будущем .
👥 Инженерная культура и «невыполнимые» тесты 33:23
При найме программистов Миллер использует необычную методику: он просит кандидата написать функцию, в спецификации которой заведомо содержится логическая ошибка . Цель теста — не в коде, а в реакции: Миллер ищет людей, которые не побоятся сказать лидеру, что он неправ и задача невыполнима .
Для поддержания гибкости в Wilshire практикуется ротация инженеров между проектами. Это дает два преимущества:
- Кросс-обучение: идеи из одной области переносятся в другую .
- Масштабируемость: возможность быстро перебросить ресурсы на приоритетное направление в случае аврала .
🤖 Искусственный интеллект как демократичный инструмент
[[JUMP:38:11] ]
Лоуренс Миллер призывает демистифицировать ИИ. Он считает, что маркетинговый «хайп» Кремниевой долины создает ложное впечатление невероятной сложности технологии, отпугивая бизнес-пользователей .
Его основные тезисы об ИИ:
- Демократичность. В отличие от классического машинного обучения, где нужны были ученые-математики, с большими языковыми моделями (LLM) можно общаться на обычном английском языке .
- Аналогия с Excel. Миллер сравнивает появление ChatGPT с революцией электронных таблиц в 1980-х. Spreadsheets стали мощным инструментом не потому, что люди понимали, как работает компьютер, а потому, что каждый мог их создавать .
- Внутренняя экспертиза. Вместо найма дорогих консультантов Wilshire обучает сотрудников промпт-инжинирингу внутри компании . Модель можно купить у стороннего поставщика, но умение ею пользоваться должно быть внутренним навыком .
💡 Советы для операционных лидеров 42:07
В завершение беседы Миллер дал две рекомендации для руководителей:
- Изучите программирование. Даже если вы не собираетесь писать код, прохождение базового курса (например, по Python) позволит вам понимать язык разработчиков и задавать правильные вопросы .
- Читайте первоисточники. Миллер критикует привычку полагаться на краткие резюме (Executive Summaries) или интерпретации юристов. Будь то техническая документация или новое постановление SEC — чтение оригинального текста дает глубину понимания, которую невозможно получить через фильтры чужого мнения .
