# Лия Калвер и Том Спаркс о безопасности стартапов, будущем подкастинга и ошибках основателей Источник: https://www.youtube.com/watch?v=im2vOo3dEwg Канал: Y Combinator Опубликовано: 05.01.2018 --- В этом выпуске подкаста Y Combinator Лия Калвер, соосновательница платформы Breaker, и Том Спаркс, эксперт по безопасности в YC, обсуждают пересечение технологий защиты данных и медиа-индустрии. Собеседники разбирают, как стартапам не «изобретать велосипед» в кибербезопасности, почему подкастинг нуждается в своей «Игре престолов» и какие ошибки в управлении капиталом чаще всего губят молодые компании. ## 🛡️ Безопасность устройств и давление государства [[JUMP:0:00]] Обсуждение начинается с вопроса о том, как пользователям и компаниям реагировать на растущее давление со стороны правительств, стремящихся получить доступ к зашифрованным данным на личных устройствах [0:00]. Том Спаркс отмечает, что хотя законодательство постоянно меняется, некоторые вендоры делают защиту приватности своим конкурентным преимуществом: * **Apple** на текущий момент является наиболее дружелюбным к потребителю брендом в плане безопасности [0:40]. * **Microsoft** проделала большую работу в этом направлении, а в прошлом лидером сегмента была компания **BlackBerry** [0:27]. * По мнению Тома Спаркса, современные методы аутентификации (отпечатки пальцев, Face ID) делают базовую безопасность доступной для всех, но юридические споры вокруг «обысков и выемок» цифровых данных остаются «серой зоной» конституционного права [1:08]. Лия Калвер признаётся в некоторой «профессиональной паранойе» и делится тактикой использования устройств [3:48]: 1. Она предпочитает Face ID или Touch ID для удобства, но знает, как быстро заблокировать биометрию. 2. Если трижды намеренно ввести неверный отпечаток или перезагрузить телефон, система потребует пароль, который юридически сложнее заставить выдать, чем приложить палец к сенсору [4:13]. 3. Она рекомендует добавлять в систему только один палец, чтобы в экстренной ситуации иметь возможность симулировать ошибку считывания другими пальцами до полной блокировки устройства [4:25]. ## 🏗️ Безопасность на уровне стартапа: кейс Breaker [[JUMP:4:54]] Лия Калвер подчеркивает, что разработчики несут этическую и юридическую ответственность за данные пользователей (PII — личность идентифицирующая информация). В Breaker следуют стандартным практикам веб-сервисов [4:54]: * **Использование Keychain:** Лия Калвер категорически против хранения приватных данных в локальных файлах (например, `NSUserDefaults` или `info.plist`) на iOS, так как директорию приложения можно легко распаковать и просмотреть [5:08]. * **Прозрачность:** Опыт Лии Калвер в **Dropbox** показал важность публикации отчетов о прозрачности (transparency reports), где компания ежегодно раскрывает количество и характер правительственных запросов на выдачу данных [6:28]. Том Спаркс добавляет, что для стартапа на ранней стадии «изобретать собственный велосипед» в области безопасности — худшее решение [15:24]. Он рекомендует: * Аутсорсинг авторизации (использование OAuth, Facebook Auth), так как крупные компании уже решили большинство проблем безопасности на своем уровне [15:50]. * Использование готовых фреймворков и систем непрерывной интеграции (CI) с автоматической проверкой кода на уязвимости [16:42]. * Внедрение VPN и строгих код-ревью как базовый гигиенический минимум [14:07]. ## 🔑 Эволюция технологий аутентификации [[JUMP:7:10]] Брейди Симпсон из аудитории спрашивает, почему технологии авторизации меняются каждые несколько лет — от физических ключей (YubiKey) до Face ID [7:10]. Том Спаркс иронично замечает, что идеи одноразовых паролей (OTP) зародились ещё в 1880-х годах, так что технологии не новы, меняется лишь их доступность [7:50]. Он полагает, что в будущем мы можем увидеть «химическую» или ДНК-идентификацию, так как сенсоры становятся всё меньше и дешевле [9:11]. Лия Калвер классифицирует факторы аутентификации на три типа [9:41]: 1. **То, что вы знаете** (пароль). 2. **То, что у вас есть** (устройство, YubiKey, приложение-аутентификатор). 3. **То, кем вы являетесь** (биометрия). Главный риск биометрии, по мнению Лии Калвер, заключается в невозможности её смены. Если кто-то украдет слепок вашего лица или отпечаток, вы не сможете их «перевыпустить», в отличие от пароля или физического токена [10:32]. ## 🎧 Будущее подкастинга: поиск «Игры престолов» [[JUMP:26:44]] Обсуждая рынок подкастов, Лия Калвер отмечает, что индустрия всё ещё находится в зачаточном состоянии. Несмотря на популярность, годовой доход от рекламы в подкастах составляет всего около 250 миллионов долларов, что Лия Калвер считает «крошечной цифрой» для такого охвата [36:33]. Ключевые тезисы Лии Калвер о развитии Breaker: * **Эпизоды важнее шоу:** В Breaker фокус сделан на поиске конкретных интересных эпизодов, а не целых каналов. Это похоже на то, как люди смотрят отдельные вирусные клипы SNL [37:38]. * **Социальный слой:** В отличие от стандартного приложения Apple Podcasts, Breaker позволяет видеть, что слушают друзья. Это создает механизмы пассивного обнаружения контента [26:57]. * **Оригинальный контент:** Лия Калвер считает, что подкастингу нужен свой «Game of Thrones» или «House of Cards» — шоу такого качества и масштаба, которое заставит людей массово переходить на новые платформы [39:08]. При этом производство качественного подкаста в 100 раз дешевле производства телешоу [40:16]. Том Спаркс добавляет, что ему не хватает узкоспециализированных подкастов о безопасности, где обсуждались бы технические детали «железа», хотя он понимает, что такой контент сложно подавать без визуального ряда [28:44]. ## 📈 Ошибки основателей и культура стартапа [[JUMP:29:37]] Собеседники делятся опытом своих предыдущих проектов. Том Спаркс, занимающийся стартапами с 15 лет, вспоминает примеры нерациональных трат в эпоху бума [29:51]: * Офисы со стенами из ковролина «шэг» (shag carpet). * Покупка целых компаний (например, Napster) просто ради статуса [30:17]. * «Игра в стартап»: трата времени на вечеринки и покупку дорогих мониторов вместо работы над продуктом [31:10]. Лия Калвер, напротив, всегда придерживалась бережливости (frugality), но признает своей главной ошибкой неумение просить о помощи в начале пути [31:50]. Она также отмечает важность отказа от стереотипного образа «основателя как Илона Маска или Стива Джобса» [33:32]. По её словам, быть интровертом-разработчиком и руководить компанией — вполне жизнеспособная стратегия [33:45]. Для тестирования продукта Breaker сейчас использует: * **Buglife** — инструмент для отправки баг-репортов через скриншоты в приложении [34:23]. * **Mixpanel** — для анализа поведения пользователей, построения воронок и оценки удержания (retention) [34:37]. ## ⛓️ Криптовалюты и блокчейн [[JUMP:21:34]] Том Спаркс считает, что основные проблемы безопасности в криптосфере связаны не с технологией, а с «человеческим фактором» [21:34]. Он видел кошельки, хранящиеся на публичных FTP-серверах с паролем «1» [22:40]. Лия Калвер рассматривает блокчейн как попытку децентрализации интернета, который в последние годы стал слишком централизованным вокруг гигантов вроде Facebook [24:19]. Она упоминает риск «социальных атак» в ICO, когда мошенники крадут аватары создателей в Slack и публикуют фейковые адреса кошельков за минуту до старта продаж [26:05]. В качестве образовательного ресурса Лия Калвер рекомендует серию выпусков **«Hash Power»** в подкасте «Invest Like the Best» [23:38].