Jobs Security

Ми шукаємо досвідченого антифрод-фахівця для посилення нашої команди безпеки.

Основна задача – технічне запобігання масовій генерації невалідних лідів через форми реєстрації на наших сайтах з різних геолокацій. Ти будеш відповідати за впровадження технічних заходів для блокування фейкових реєстрацій, аналіз вразливостей та захист від автоматизованих атак, щоб забезпечити якість лідів та мінімізувати ризики для бізнесу.

Обов’язки:

•  Аналіз та моніторинг підозрілої активності в формах реєстрації, включаючи виявлення патернів з різних гео (IP-адреси, проксі, боти, VPN тощо).

•  Розробка та налаштування технічних засобів захисту: поведінковий аналіз та інтеграція антибот-систем.

•  Розслідування інцидентів, пов’язаних з фейковими лідами, включаючи аналіз трафіку, логів та даних користувачів.

•  Організація та розвиток напрямку веб-безпеки в компанії, включаючи інтеграцію з існуючими системами.

•  Формування звітів про ризики та рекомендацій щодо покращення технічних процесів запобігання фроду.

•  Співпраця з командами розробки, маркетингу та аналітики для впровадження заходів безпеки на рівні коду та інфраструктури.

Вимоги:

•  Досвід роботи в кібербезпеці або суміжних областях (веб-сек’юріті, фрод-моніторинг) від 1 року.

•  Знання інструментів для аналізу даних та безпеки.

•  Розуміння механізмів атак на онлайн-форми: боти, спам, гео-спуфінг, DDoS на рівні реєстрацій.

•  Аналітичний склад розуму, уважність до деталей та вміння працювати з великими обсягами даних.

•  Вища освіта в IT, комп’ютерних науках або суміжних областях.

Що отримуєш:
• Кар'єрне та фінансове зростання

• Нова техніка та все необхідне для ефективної роботи
• Корпоративи та тимбілдинги

• Графік 10:00 - 17:00 5/2 
• Кухня з кавою, снеками та фруктами 24/7
• Корпоративна англійська
• Команда професіоналів

Компанія: продуктова компанія, що створює сучасні хмарні сервіси та embedded-рішення. 

Основні завдання 

• Захист хмарних сервісів (AWS / GCP / Azure). 
• Побудова політик IAM, впровадження Zero Trust. 
• Налаштування захищеної мережевої архітектури (VPC, security groups, WAF). 
• Контроль конфігурацій, аудит та моніторинг безпеки. 
• Аналіз журналів, реагування на інциденти, Threat Hunting. 
• Захист даних: KMS, encryption at rest/in-transit. 
• Перевірка безпеки CI/CD та інфраструктурного коду (Terraform, Ansible). 
• Співпраця з розробниками для покращення безпеки API, мікросервісів та контейнерів. 

Необхідні компетенції

Технічні: 

• Досвід з AWS/GCP/Azure на рівні безпеки та архітектури. 
• IAM, KMS, WAF, CloudTrail/GuardDuty або їх аналоги. 
• Контейнеризація та Kubernetes Security. 
• SIEM/SOC процеси, моніторинг, реагування. 
• DevSecOps: SAST, DAST, secret scanning, IaC security. 
• Знання OWASP, MITRE ATT&CK. 

Архітектурні: 

• Проєктування безпечної хмарної архітектури згідно best practices. 
• Threat Modeling для хмарних систем. 
• Ризик-менеджмент та формування політик. 

Софт-скіли: 

• Вміння працювати з технічними командами. 
• Чітка документація та презентація результатів. 

Очікувані результати (перші 3 місяці)
1-й місяць 

• Провести аудит існуючих хмарних систем компанії. 
• Скласти перелік компонентів, як і потребують безпекової перевірки. 
• Створити протокол аудиту хмарної безпеки. 
• Провести аудит одного продукту та обговорити висновки з технічним керівником. 

2-й місяць 

• Розробити комплексний протокол безпеки для хмарних сервісів. 
• Провести аудит другого продукту. 
• Узгодити результати та підготувати рекомендації розробникам. 
• Написати методичні рекомендації щодо підвищення рівня безпеки 
• API, мікросервісів та інфраструктури. 

3-й місяць 

• Створити та задокументувати Політику безпеки хмарних сервісів. 
• Впровадити автоматичні перевірки інфраструктури (IaC scanning, misconfiguration detection). 
• Розробити річний план безпекових ініціатив.

Ми пропонуємо:

Кар'єрний розвиток: вертикальний та горизонтальний ріст, профільні курси, тренінги, технічний обмін і участь у стратегічних проєктах.

Безпека та стабільність: бронювання військовозобов'язаних співробітників із першого місяця.

Медичне страхування.

Офіційне працевлаштування та соціальні гарантії: відпустка, лікарняні, повний соціальний пакет.

Юридична підтримка: консультації та супровід із питань військового обліку.

Адаптація: якісний онбординг із менторською підтримкою та поетапним залученням у проєктну діяльність.

Комфортні умови: корпоративне харчування, зони відпочинку, дружня атмосфера та облаштоване укриття на території офісу.

Зручна локація: 10 хвилин пішки від метро.

Приєднуйтесь до команди, яка створює технології, що роблять Україну безпечнішою. Реальний вплив. Реальні рішення. Реальне майбутнє.

HOLYWATER — це технологічна компанія, яка створює розважальні продукти на перетині людської творчості та штучного інтелекту. Вони є прикладами ШІ-нативних платформ, що переосмислюють способи сторітелінгу та дають змогу будь-кому стати творцем. Екосистема продуктів HOLYWATER включає:
 

→ My Drama — стримінгову платформу вертикальних серіалів, № 1 серед європейських та американських компаній у ніші

→ My Passion — цифрову бібліотеку книг № 1 у понад 10 країнах світу

→ My Muse — платформу ШІ-генерованих серіалів, що відкриває нову еру сторітелінгу
 

HOLYWATER сьогодні — це:

• понад 60 млн завантажень застосунків
• стратегічне партнерство з FOX Entertainment
• х3,5 рази — щорічне зростання компанії за 2024-2025 роки
• 30+ міжнародних нагород, зокрема Muse Creative, W3, Telly, Runway AI Film Festival, Lovie
• понад 100 млн годин переглянутого та прочитаного користувачами контенту
• провідні позиції у своїх нішах на ринках США та Європи
   

Ми створюємо нові формати, історії та будуємо світ, де єдине обмеження — людська уява. І зараз шукаємо Legal Counsel, який буде зосереджуватися на комплаєнсі продуктів та маркетингу, захисті даних, ІP (інтелектуальній власності) та дотриманні законодавства у країнах Tier-1 (зокрема США, ЄС, Великій Британії).
 

Твоя місія:

• Дослідження та аналіз нормативно-правової бази та судової практики у сферах захисту прав споживачів, захисту даних та інтелектуальної власності в юрисдикціях присутності компанії (з акцентом на США та ЄС).
• Виявлення потенційних юридичних ризиків та розробка стратегій щодо їх мінімізації.
• Побудова юридичних процесів для управління ризиками в різних сферах діяльності бізнесу (захист даних, маркетинг, платежі, права споживачів тощо).
• Захист інтелектуальної власності в судах та розробка стратегій захисту прав (enforcement).
• Управління портфелем торговельних марок та об’єктів авторського права.
• Складання та редагування комерційних договорів, внутрішніх політик та інших юридичних документів.
• Інформування стейкхолдерів про зміни в регуляторному середовищі.
• Партнерство з бізнес-підрозділами задля вдосконалення системи комплаєнсу.
   

Для цього знадобляться такі навички та досвід:

• Від 3-х років у юридичних компаніях, Big 4 або провідних українських чи міжнародних компаніях.
• Вища юридична освіта, здобута в українському або закордонному університеті.
• Вільне володіння англійською мовою.
• Ініціативність та готовність працювати з широким колом юридичних питань, здатність творчо підходити до вирішення складних правових проблем.
• Орієнтованість на дії, високий рівень самоорганізації та проактивність.
• Вміння майстерно трансформувати складні юридичні питання у зрозумілі бізнес-рішення.
• Відмінні комунікативні навички.
  
   

Що отримаєш від нас:

• Швидке професійне зростання. Ми будуємо середовище, де розвиток — норма: лекції, бібліотеки, хакатони, школи. Компенсуємо профільне навчання й вивчення будь-якої мови, зокрема української.
• Формат роботи на твій вибір. Можеш працювати вдома, в офісі на київському Подолі чи у Львові (генератори, укриття, обіди, снеки — all inclusive), або ж за кордоном — маємо кілька офісів і там.
• Техніку та сервіси. Все, що треба для роботи.
• Відпочинок. 20 днів відпустки + на офіційні свята та безлімітні лікарняні.
• Турботу про тіло та ментальне здоров’я. Компенсуємо спорт, медстрахування в Україні (після випробувального), послуги корпоративного лікаря і підтримку ментального здоров’я.
  
   

Чому з нами класно?

• Реальний вплив. Усі твої рішення прямо впливають на глобальні продукти.
• Жива культура. У нас немає рамок — є команда, яка довіряє, навчається одна в одної, не боїться питати і ставити під сумнів.
• Автономність. Ми довіряємо рішенням команди: мінімум мікроменеджменту, максимум простору для ініціативи й впливу.
• Сильні люди поруч. Ми — частина екосистеми Genesis, тож буде з ким нетворкати, радитися й зростати.
• Можливо, це — твій шанс стати нашим наступним big name?

Агенція оборонних закупівель DOT — державне підприємство, що займається закупівлею техніки, боєприпасів, БПЛА, харчування, одягу, паливно-мастильних матеріалів для ЗСУ та Сил Оборони.

Наша місія: забезпечуємо Сили Оборони та розвиваємо національний ВПК задля стійкості та обороноздатності України.

Наша візія: драйвер розвитку системи забезпечення Сил оборони України за стандартами НАТО.

Зараз ми в пошуку фахівця з інформаційної безпеки (СУІБ/NIST), який допоможе нам вибудувати, впровадити та підтримувати надійну систему управління інформаційною безпекою для захисту критично важливих даних у процесах забезпечення ЗСУ.

Обов'язки на посаді:

1. Супровід та адміністрування комплексної системи захисту інформації.
2. Впровадження та підтримка КСЗІ з використанням базових та цільових профілів безпеки інформації.
3. Впровадження та експлуатація засобів та комплексів ТЗІ та КЗІ: антивірусні програми, криптографічні модулі, IP-шифратори, мережеві шлюзи.
4. Розробка та підтримка в актуальному стані нормативних документів, політик, процедур, інструкцій інформаційної безпеки.
5. Взаємодія з керівництвом та органами державної влади щодо забезпечення сталого функціонування КСЗІ.
6. Взаємодія з ІТ підрозділом, провайдерами хмарних рішень та постачальниками послуг у сфері захисту інформації.
7. Участь у групі реагування на інциденти.
8. Участь у створенні СУІБ Підприємства та побудові відповідних процесів.
9. Участь в ознайомленні співробітників з політиками та процедурами.
10. Участь у проведенні навчання співробітників.

Вимоги до кандидатів:

1. Досвід побудови КСЗІ.
2. Досвід побудови може бути додатковою перевагою досвід роботи з інформаційними системами з обмеженим доступом.
3. Знання вимог до роботи з інформацією з обмеженим доступом.
4. Досвід адміністрування засобів та комплексів ТЗІ та КЗІ.
5. Досвід побудови СУІБ на Підприємстві може бути додатковою перевагою.
6. Знання міжнародних стандартів управління інформаційною безпекою може бути додатковою перевагою: ISO27001, NIST CSF, ENISA standards.
7. Наявність сертифікацій ISO27001 Auditor/Implementor/Practitioner, NIST CSF Implementer може бути додатковою перевагою.

8. Нульова толерантність до корупції.

    

Ми пропонуємо:

• Команду, де кожен важливий: ми команда однодумців, де панує взаємоповага та підтримка.
• Прозорість та системність: чіткі цілі, зрозумілі внутрішні комунікації та системний підхід.
• Професійне зростання та навчання: ми сприяємо постійному розвитку наших працівників.
• Комфортний старт: на вас чекає структурований процес адаптації та підтримка ментора, який допоможе швидко увійти в курс справ.
• Конкурентні умови: офіційне працевлаштування, соціальні гарантії, конкурентна заробітна плата та можливість працювати над наймасштабнішими проєктами країни.
• Комфорт та умови роботи: сучасний затишний офіс у доступності до метро, обладнаний укриттям та безперебійним інтернетом.

Дізнайтесь більше про нашу діяльність та корпоративну культуру:

• Сайт
• Instagram
• Linkedin
• Facebook

Долучившись до нашої команди, ви отримаєте шанс власноруч творити фундаментальну реформу забезпечення Сил Оборони України і зробити свій внесок для перемоги України.

Готові перетворити свою експертизу на реальний внесок в перемогу? Надсилайте резюме вже зараз!

*Звертаємо увагу: надіславши своє резюме, ви надаєте автоматичну згоду на обробку ваших персональних даних згідно закону.

**Оскільки ми отримуємо велику кількість відгуків, зворотний зв’язок буде надано лише тим кандидатам, чий досвід та кваліфікація найбільше відповідають вимогам вакансії.

Наразі ми запрошуємо до команди фахівця на посаду «ІТ аудитор».

Наші очікування:

• вища освіта (за напрямом економіка / банківська справа);
• досвід роботи IT аудитором не менше 2-х років;
• знання глобальних стандартів аудиту, законодавства України та нормативно-правових актів Національного банку України з питань, що регулюють аудиторську діяльність;
• практичний досвід участі в аудиторських перевірках бізнес-процесів у сфері ІТ;
• досвід роботи з великим обсягом інформації;

• відповідальність, уважність, ініціативність.

   

Основні завдання:

• аудит ІКТ-процесів; 
• перевірка процесів ідентифікації, оцінки та управління ІКТ-ризиками; 
• аудит ІКТ-середовища (системи, політики, налаштування, логи); 
• перевірка доступів, налаштувань безпеки, процедур логування; 
• аудит ІКТ-закупівель, перевірка контрактів та умов співпраці; 
• контроль процедур оновлення ПЗ; 
• аудит виконання умов SLA/OLA; 
• перевірка аварійного відновлення BCP/DRP; 
• аналіз відповідності вимогам ЗУ «Про захист персональних даних», НБУ, ISO/IEC 27001, PCI DSS тощо; 

• формування звітів за результатами проведених аудиторських перевірок, контроль виконання рекомендацій.

   

Ми пропонуємо:

• роботу у інноваційній компанії в сегменті FinTech;
• можливість працювати гібридно або віддалено;
• турботу про твоє ментальне та фізичне здоров’я (медичне страхування, консультації психолога, корпоративні спортивні спільноти);
• навчання та розвиток (заняття з англійської мови, курси та тренінги для професійного зростання);
• зустрічі з відомими спікерами у Корпоративному клубі;
• програму наставництва та підтримку кожного нового співробітника;
• можливість проявити свої таланти (ми цінуємо творчу ініціативу і підтримуємо її).

Шукаємо IT-аудитора для роботи в Києві.

Основними обов'язками буде оцінка адекватності системи управління ІТ-ризиками, в т.ч. внутрішній ІТ-контроль (COBIT), перевірка ефективності ІТ-процесів (ITIL), аналіз порушення чинного законодавства, нормативних актів НБУ та вимог Групи (ISO 27k, НБУ № 95).

Що компанія пропонує:
• 24 дні відпустки + 4 додаткові day offs;
• Медичне страхування (включно з дітьми) та страхування життя;
• 13-та зарплата;
• курси англійської;
• офіс у центрі Києва — світлий лофт із терасою, садом, тенісним столом і душовими.

Важливо: досвід проведення IT-аудитів, базові знання кібербезпеки і процесів розробки ПО, базові знання нормативних актів по кібербезпеці, розмовна англійська.

Бажані знання SQL та інструментів аналізу даних.

Ми шукаємо досвідченого та мотивованого спеціаліста з інформаційної безпеки, який буде відповідальний за управління інформаційною безпекою в нашому стартапі. Ваша роль буде забезпечувати захист інформації, систем та мереж компанії, розробляти та впроваджувати стратегії безпеки, а також забезпечувати дотримання стандартів та вимог щодо конфіденційності, цілісності та доступності даних.

Обов'язки:

- оцінка та моніторинг ризиків
- моніторинг та реагування на інциденти безпеки
- моніторинг та реагування на події DLP
- моніторинг та реагування на події SIEM / SOAR
- моніторинг та реагування на події CF WAF
- сканування мережі
- налаштування правил DLP
- налаштування правил в SIEM / SOAR
- налаштування правил CF WAF

Вимоги:

* Мінімум 2 роки досвіду в інформаційній безпеці, включаючи практичний досвід в технологічних компаніях.

* Глибокі знання процесів, стандартів та методологій забезпечення інформаційної безпеки, таких як ISO 27001, NIST, OWASP.

* Високий рівень технічного розуміння мереж та систем, включаючи знання сучасних технологій захисту, розробки безпечного програмного забезпечення та інструментів кібербезпеки.

* Аналітичні та проблемно-орієнтовані навички, здатність розрізняти критичні проблеми та приймати ефективні рішення.

* Практичний досвід роботи з рішеннями класу SIEM та SOAR у якості адміністратора;
* Поглиблені знання про рішення інформаційної безпеки (VM, Firewall, AV та інше);
* Поглиблені знання про процес та принципи логування інформаційних систем;
* Поглиблені знання про принципи роботи мережі (OSI model, LAN, WAN, IPS\IDS, VPN та інше);
* Поглиблені роботи та адміністрування операційних систем на базі Linux та Windows;
* Поглиблені знання про принципи роботи та типи баз даних. Знання SQL буде додатковим плюсом;
* Поглиблені знання про принципи роботи LDAP, DNS, SMTP, NAT, PKI;
* Threat Investigation — можливість розслідування спрацювань (alerts, інциденти) за створеними правилами та знаходження Root-Cause;
* Розробка та впровадження сценаріїв автоматизації на мові Python/JavaScript/Bash.
* Відповідальність і уважність до деталей.

Обов`язки:

-Розробка політики безпеки та нормативної документації

-Участь в проєктах аудиту за стандартом PCI DSS, PCI PIN Security, PCI 3DS, ISO 27001, SWIFT

-Участь у комплексних проєктах аудиту з кібербезпеки

Очікування від кандидата:

-Вища технічна освіта

-Досвід роботи від 2-х років на позиціях пов'язаних з проведенням аудитів у сфері інформаційної безпеки

-Знання основних стандартів в галузі ІБ: ISO 27001/27002, PCI DSS, SWIFT, НБУ №95

-Базові знання основ мереж, операційних систем, баз даних, архітектури додатків

-Знання найбільш поширених рішень, щодо забезпечення інформаційної безпеки

-Грамотне мовлення та написання текстів українською та англійською мовами

-Хороші комунікативні та презентаторові навички

-Англійська мова - рівень intermediate

Перевага надається кандидатам, що мають:

-Розуміння OWASP, ITIL, NIST CSF, GDPR

-Досвід розробки нормативних документів (політик, правил, інструкцій)

-Досвід роботи з запереченнями та скаргами

-Досвід налагодження продуктивних комунікацій зі "складними" клієнтами

-Досвід проведення аналізу ризиків ІБ ISO 27001, CISSP, CISM, CISA, QSA

- Освіту в галузі кібербезпеки, ІТ

Ми пропонуємо:

-Гнучкий графік роботи

-Процеси без бюрократії

-Професійний розвиток

-Медичне страхування

-Дружню атмосферу в колективі

Ми формуємо команду, яка забезпечує безпеку та ефективність цифрової інфраструктури держави. Наш відділ організації доступів — це ключовий елемент у побудові надійної та централізованої системи управління доступами для всіх державних цифрових сервісів та внутрішніх систем.

Наші цінності:
Ми віримо в інакШОмислення, що дозволяє нам створювати інноваційні рішення для складних викликів цифрової безпеки. Наша клієнтоцентричність проявляється у розробці зручних та надійних систем доступу для користувачів. Ми цінуємо кооперацію та відкритість, працюючи на перетині різних департаментів для досягнення спільної мети. Доброчесність та наполегливість — це основа нашої роботи з конфіденційною інформацією та постійного вдосконалення систем безпеки.

Ваша основна місія:
Ваша місія - бути щитом цифрової України. Ви будете виявляти, аналізувати та атрибутувати найскладніші кіберзагрози, надаючи критично важливу розвідувальну інформацію для захисту національної інфраструктури. Ваша робота безпосередньо вплине на здатність країни протистояти кібератакам та забезпечить безпеку мільйонів громадян у цифровому просторі.

У фокусі роботи:
– аудит та оптимізація існуючих облікових записів і прав доступу;
– технічна реалізація та підтримка рольової моделі доступу (RBAC) у системах;
– налаштування автоматизації процесів надання (provisioning), зміни та блокування доступів;
– технічна інтеграція нових та існуючих систем з єдиним Identity Provider;
– впровадження та контроль дотримання політик безпеки доступу.

Від вас очікуємо:
– вища освіта;
– готовність працювати в офісі (5/2);
– 3+ роки в Information Security або IT-адмініструванні з фокусом на IAM/PAM;
– експертизу в Microsoft Entra ID (Azure AD): глибоке розуміння адміністрування користувачів, груп, налаштування SSO та Conditional Access;
– розуміння протоколів: знання принципів роботи SAML, OIDC, OAuth 2.0 для підключення застосунків;
– досвід з RBAC: практичний досвід налаштування прав доступу та створення груп.

Буде плюсом:
– досвід роботи у великих корпоративних структурах;
– знання специфіки роботи державного сектору;
– досвід роботи з PAM-системами (PIM, CyberArk тощо);
– розуміння гібридних інфраструктур (On-premise + Cloud);
– досвід менеджменту команди або управління проєктами.

Ми шукаємо талант, який:
– має системне мислення та вміє бачити "велику картину";
– здатен трансформувати складні технічні концепції у зрозумілі бізнес-рішення;
– проявляє ініціативу та самостійність у плануванні та виконанні завдань;
– вміє ефективно комунікувати з різними стейкхолдерами та департаментами.

Ми пропонуємо:
– можливість створити передову систему управління доступами державного масштабу;
– роботу з найсучаснішими технологіями у сфері кібербезпеки;
– професійний розвиток та участь у трансформаційних проєктах;
– конкурентну заробітну плату;
– офіс з генератором та безперебійним інтернетом;
– бронювання працівників за умови актуального військового обліку.

Готові до виклику?
Якщо ви готові очолити революцію в управлінні доступами та зробити значний внесок у цифрову безпеку держави, приєднуйтесь до нашої команди! Ваша експертиза та лідерство стануть ключовими у створенні надійної та інноваційної системи, яка захищатиме цифрову інфраструктуру України.

Шукаємо досвідченого DevSecOps/SRE техліда, який допоможе вивести інфраструктуру на новий рівень - від розпилу моноліта на мікросервіси до забезпечення стабільної роботи під навантаженням 10k+ одночасних користувачів

Що потрібно робити

• Проектувати архітектуру переходу від моноліту до мікросервісів
• Будувати та підтримувати інфраструктуру для high-load системи
• Масштабувати Kubernetes кластери під зростаюче навантаження
• Налаштовувати CI/CD pipelines та автоматизувати розгортання
• Впроваджувати моніторинг, observability та incident response
• Оптимізувати продуктивність PostgreSQL, Redis, WebSocket з‘єднань
• Проектувати для fault tolerance та disaster recovery

Обов’язкові вимоги

• 5+ років досвіду в DevOps/SRE/Platform Engineering
• Практичний досвід міграції моноліту на мікросервіси - розуміння патернів декомпозиції, service boundaries, data splitting
• Глибокий досвід з Kubernetes - production clusters, scaling, networking, troubleshooting
• Docker та container orchestration
• PostgreSQL - replication, performance tuning, connection pooling (PgBouncer)
• Redis - clustering, pub/sub, caching strategies
• Message brokers - Kafka або аналоги
• Моніторинг - Prometheus, Grafana, distributed tracing
• IaC - Terraform або Pulumi
• CI/CD - GitLab CI, GitHub Actions або Jenkins
• Досвід з WebSocket scaling та load balancing strategies
• Linux на рівні впевненого адміністратора
• Cloud platforms - AWS
• Англійська - Upper-Intermediate+

Буде перевагою

• Досвід роботи з платформами на 10k+ concurrent users
• GitOps підхід (ArgoCD, Flux)
• Service mesh (Istio, Linkerd)
• Event-driven architecture
• Node.js 
• Розуміння базових практик безпеки (OWASP).

Ми пропонуємо:

• Заробітну плату відповідно до кваліфікації та досвіду;
• Офіційне працевлаштування;
• 21 робочий день оплачуваної відпустки;
• 14 днів оплачуваних лікарняних;
• Роботу над складними веб-застосунками для клієнтів з усього світу (Північна Америка, Європа, Австралія, Азія).

Вакансія передбачає службу у технічно-експериментальному підрозділі у складі Сил Оборони України.

Обов’язки:

• Розробка та модифікація шкідливих артефактів для Red Team-операцій: payload'и, droppers, beacon'и, loaders тощо;
• Аналіз технік захисту (EDR, AV, sandboxing, behavioral detection) та розробка обхідних рішень;
• Проведення реверс-інжинірингу захисних механізмів (EDR клієнтів, AV-движків, sandbox-детекцій) з метою визначення точок обходу;
• Підтримка інфраструктури для C2 / Red Team-операцій: CI/CD пайплайни, кастомні build-сервери, ізольовані середовища;
• Автоматизація генерації варіантів шкідливого ПЗ з урахуванням evasion-технік (obfuscation, encryption, process injection);
• Співпраця з Offensive Security інженерами та участь у симуляції APT-атак на замовлення;
• Вивчення нових атак з реального світу (APT-загрози) та адаптація інструментів Red Team під актуальні TTP.

Вимоги до кандидатів:

• Досвід розробки та модифікації шкідливих payload'ів (C/C++, Python, Assembly, PowerShell, Nim, Rust – буде плюсом);
• Глибоке розуміння технік обходу EDR/AV: API unhooking, direct syscalls, process hollowing/injection, shellcode encryption;
• Практичні навички реверсу: IDA Pro, Ghidra, x64dbg, аналіз захисного ПЗ та системних бібліотек;
• Досвід роботи з C2-платформами: Cobalt Strike, Sliver, Mythic, Havoc або кастомні фреймворки;
• Навички DevOps-автоматизації: CI/CD пайплайни, Docker, Git, Python або Bash scripting;
• Досвід аналізу malware з Red Team перспективи: AV-evasion, custom beaconing, obfuscation pipelines;
• Знання TTP на рівні MITRE ATT&CK, здатність реалізувати симуляції під APT-загрози;
• Навички роботи з WinApi та/або Linux ядром;
• Розуміння відомих методів обходу UAC.

Умови:

• Можливість працювати з командою, яка вражає об’єкти глибоко на території ворога;
• Служба в Києві в сучасному штабі (з кавою та печивом);
• Гібридний графік роботи (можливість поєднання роботи з офісу та роботи з дому за умови територіального перебування в Києві);
• Повне забезпечення підрозділу;
• Відсутність раптових переведень;
• Служба за контрактом;
• Можливість переведення для обмежено придатних;
• Можливість переведення для чинних військовослужбовців НГУ та військовослужбовців з тилових частин ЗСУ;
• Можливість мобілізації за контрактом;
• Грошове забезпечення від 22 000 до 70 000 грн; 
• Забезпечення житлом за необхідності (м. Київ);
• Обов’язкове проходження перевірки з допомогою поліграфу.

AMО APPS — українська продуктова IT-компанія, яка допомагає мільйонам людей у всьому світі змінювати життя завдяки здоровим звичкам. Ми впевнені, що турбота про здоров’я може бути простою та доступною, тому створюємо зручні digital-інструменти, які полегшують шлях наших користувачів до омріяних результатів.

Наші мобільні застосунки — MadMuscles, Harna та Unimeal — надають експертну підтримку в харчуванні, тренуваннях і відновленні, допомагаючи досягати нових висот і почуватися краще кожного дня.

Шукаємо Middle DevSecOps Engineer, який підсилить нашу команду та долучиться до розвитку security-напрямку в компанії.

В цій ролі буде можливість:

• Впливати на розвиток і масштабування security-підходів у продуктах з великою аудиторією та високими вимогами до надійності;
• Працювати з інженерними командами в партнерському форматі, беручи участь в обговоренні архітектурних і продуктових рішень;
• Разом з командою вибудовувати security-напрямок у компанії, де багато підходів ще формуються і є простір для технічних ініціатив.

Твої ключові задачі:

• Налаштування та впровадження IAM політик (Least Privilege, CIEM) і hardening AWS сервісів;
• Забезпечення мережевої безпеки AWS та Kubernetes;
• Технічна реалізація заходів із захисту Kubernetes кластерів, контейнерів та container images;
• Впровадження та підтримка Infrastructure as Code (IaC) і Security as Code (SaC) підходів;
• Інтеграція та підтримка security-сканерів SAST, SCA, DAST, IAST у CI/CD pipeline;
• Робота з CSPM / CIEM та Cloud Security Controls для управління ризиками та відповідністю;
• Захист WEB Application за допомогою AWS WAF та інших сервісів;
• Проведення security reviews архітектури, CI/CD pipeline та коду;
• Участь у реагуванні на security-інциденти (triage, mitigation, post-mortem);
• Співпраця з командами розробників, тестувальників та DevOps інженерами;
• Документування security-процедур та створення практичних інструкцій для команд розробки.
   

Ключові вимоги:

• Глибоке розуміння SDLC, та досвід інтеграції безпеки на всіх етапах розробки;
• Практичний досвід з інструментами автоматизації та мовами програмування: Terraform / Terragrunt, Pulumi, Bash, Python, Go;
• Практичний досвід з DAST, SAST, SCA, SBOM та управління вразливостями;
• Досвід роботи з SIEM, системами логування та алертингу (ELK / EFK Stack, Splunk, Datadog, Prometheus);
• Практичний досвід GitOps, IaC, SaC;
• Глибоке розуміння безпеки при використанні контейнеризації та оркестрації з k8s;
• Розуміння принципів та підходів Zero Trust, Least Privilege, Shift Left Security, Defense in Depth, Immutable Infrastructure, etc.
   

Буде плюсом:

• Сертифікації: AWS Solutions Architect, AWS Security Specialty, CKA / CKS, OSCP;
• Досвід  аудиту та підготовки інфраструктури згідно ISO 27001, GDPR, NIST, etc;
• Досвід роботи з WIZ Cloud/ PaloAlto PrismaCloud або аналогами;
• Практичний досвід впровадження Zero Trust security моделей у cloud-середовищах.

В AMO ми створюємо умови, що дозволяють поєднувати професійне зростання із турботою про себе, і пропонуємо:

• Відпочинок та баланс. Найкращі результати досягаються в гармонії з особистим життям, тому ми надаємо 20 робочих днів відпустки на рік і двічі на рік — додаткові оплачувані канікули для перезавантаження. У разі хвороби — необмежені оплачувані лікарняні, щоб зосередитися на відновленні.
• Здоров’я та спорт. Повністю покриваємо медичне страхування з першого робочого місяця. Для підтримки активного способу життя організовуємо корпоративні тренування з йоги, боксу та функціональних вправ в офісі, додатково також кожен спеціаліст має власний бюджет на компенсацію вартості абонемента чи спортивного обладнання. В офісі на тебе щоденно чекають сніданки та обіди, щоб ти міг/могла зосередитися на роботі.
• Розвиток та навчання. Твій розвиток — це інвестиція у твоє майбутнє та майбутнє компанії. Ми складаємо індивідуальні плани розвитку та проводимо регулярну оцінку перформансу. Компанія покриває більшу частину витрат на зовнішні курси, а також надає можливість покращувати знання англійської через корпоративного провайдера або в зовнішній школі.
   

Рекрутмент процес: Інтерв’ю з рекрутером — Технічне інтерв’ю з DevSecOps Team — Фінальне інтерв’ю з Chief Cloud Officer.

Зацікавила вакансія? Давай поспілкуємось:)

Ми шукаємо SecOps-спеціаліста, який бере на себе end-to-end відповідальність за технічну безпеку організації. 
Це не compliance-роль і не аудит, а інженерна позиція, орієнтована на реальне закриття Critical / High security-ризиків у production-системах. 

Зони відповідальності

• Identity & Access Management (IAM) 
• Secrets & Key Management 
• Backup / Restore / Disaster Recovery 
• Logging / Monitoring / Detection 
• Incident Response 
• Vulnerability & Configuration Control 

Що кандидат має знати і розуміти (ключове) 

1. Identity & Access Management (IAM) 

Кандидат повинен: 

• розуміти різницю між human users і service accounts; 
• вміти будувати MFA без винятків; 
• працювати з принципом least privilege; 
• розуміти сценарії privilege escalation і як їх запобігати; 
• вміти розмежовувати доступи між production / non-production середовищами. 

2. Secrets & Key Management 

Кандидат повинен: 

• розуміти повний lifecycle секретів (створення → зберігання → ротація → ревокація); 
• знати, чому секрети не можуть зберігатись у коді, CI/CD, логах; 
• вміти організовувати регулярну ротацію ключів; 
• розуміти, як діяти при компрометації секретів. 

3. Backup / Restore / Disaster Recovery 

Кандидат повинен: 

• розуміти різницю між “backup існує” і “backup реально працює”; 
• вміти організовувати restore-tests; 
• розуміти RPO / RTO і їхній вплив на бізнес; 
• вміти будувати сценарії відновлення після зламу або втрати доступів, а не лише після технічних збоїв. 

4. Logging / Monitoring / Detection 

Кандидат повинен: 

• розуміти, які події критично логувати (доступи, зміни прав, помилки, security-події); 
• вміти працювати з централізованими логами (infra / app / audit); 
• розуміти принципи кореляції подій; 
• забезпечувати forensic-readiness (можливість відтворити інцидент постфактум). 

5. Incident Response 

Кандидат повинен: 

• розуміти повний цикл реагування: 
  detection → isolation → credential rotation → recovery; 
• вміти створювати та підтримувати incident runbooks; 
• знати, як обмежувати blast radius; 
• проводити post-incident analysis і впроваджувати зміни після інцидентів. 

6. Vulnerability & Configuration Control 

Кандидат повинен: 

• розуміти, що більшість інцидентів виникає через misconfiguration, а не zero-day; 
• вміти працювати з vulnerability management; 
• розуміти поняття configuration drift; 
• пріоритезувати Critical / High ризики, а не “все одразу”. 

Обовʼязковий практичний досвід: 

• Досвід роботи як SecOps / Security Engineer / Cloud Security Engineer. 
• Практичний досвід роботи з AWS / Azure / GCP. 
• Досвід захисту production-систем, а не лише тестових середовищ. 
• Розуміння CI/CD та SDLC з точки зору безпеки. 

Технічний стек (очікуваний рівень):

• IAM: AWS IAM / Entra ID / Azure AD. 
• Cloud security services: Defender, GuardDuty, AWS Config, Intune (залежно від платформи). 
• Логи та аудит: KQL / cloud logs / SIEM-подібні підходи. 
• Автоматизація: PowerShell / Bash / Python (хоча б одна мова). 
• Serverless / policy automation: Azure Functions / AWS Lambda — як плюс. 

Додатково:

• Розуміння ISO / NIST / GDPR як рамок і орієнтирів, а не основної роботи. 
• Вміння пояснювати security-ризики нетехнічній аудиторії. 
• Самостійність, системне мислення, відповідальність за результат. 
• Сертифікації — плюс, але не заміна практичного досвіду. 

Ключове про роль:

Це не роль “контролювати інших”. 
Це роль технічного власника security-контурів, який: 

• сам розуміє, як усе працює; 
• бачить систему безпеки цілісно; 
• відповідає за реальне зниження Critical / High ризиків. 

Що ми пропонуємо:

• Конкурентна зарплата з прив’язкою до валютного курсу.  
• Роботу, яка безпосередньо впливає на перемогу України.
• Професійну, зрілу команду та системні процеси. 
• Комбінований формат роботи (в офісі та віддалено).