Алексей Лукацкий, Positive Technologies: Грамотная программа геймификации учитывает психологический портрет человека

За последние годы даже в такой отрасли, как информационная безопасность, все активнее применяются методы работы через игру. Как это происходит, какие задачи проще решать в игровом формате и когда геймификация дает наибольший результат — об этом Cyber Media рассказал бизнес-консультант по информационной безопасности Positive Technologies Алексей Лукацкий.

Cyber Media: Когда мы говорим про геймификацию, на ум сразу приходят соревнования для специалистов по ИБ вроде capture the flag и хакатонов, фишинговые тренинги для пользователей. Какие еще есть формы геймификации в информационной безопасности?

Алексей Лукацкий: Геймификация — это инструмент, который вносит в обучение или в производственные процессы элементы игры. Поэтому она может применяться как угодно и для чего угодно. Это могут быть настольные игры про кибербезопасность: например, у Positive Technologies есть своя версия «Мафии», про хакеров. Могут быть карточные игры — тоже довольно популярный инструмент: берете привычную игру вроде подкидного дурака и помещаете ее в контекст кибербезопасности.

Есть настольные стратегии или адвенчуры для мобильных устройств; последние больше направлены на детей. Игроки могут быть хакерами и понемногу погружаться в пентест — либо выбрать сторону защитников и выстраивать защиту своего замка (читай: инфраструктуры). Есть целые виртуальные миры, которые надо защищать, выстраивая из имеющихся артефактов всестороннюю систему ИБ, «прокачивая» навыки специалистов по ИБ, «покупая» более современные технологии и решения, противостоящие атакующим.

Безусловно, не забываем про штабные киберучения, которые тоже представляют собой игру. В отличие от сapture the flag, они проверяют выстроенные процессы, умение работать в команде, реагировать на нештатные ситуации. Когда такие мероприятия проходят внутри компании, это позволяет оценить способность реагировать на инциденты. А на конференциях этот формат дает возможность отойти от обычной рекламы и скучных докладов и погрузить, пусть и не в реальные, но приближенные к ним, ситуации из жизни ИБ.

И, конечно, геймификация помогает внести живость в привычные процессы ИБ. Прошел человек тренинг, сообщил о фишинговой атаке — получил какие-то баллы, накопил на статус, корпоративный мерч или подарочную карту интернет-магазина. Это такие «ачивки», которые приходят из мира компьютерных игр и которые прекрасно воспринимаются поколением, выросшем не на «Отцах и детях» или «Взвейтесь кострами синие ночи».

Cyber Media: А у топ-менеджмента есть предубеждения против геймификации? Мол, это несерьезно, чего зря тратить время, лучше проведем настоящий суровый тренинг…

Алексей Лукацкий: Предубеждения есть, но скорее не у топ-менеджмента, а у самих специалистов, которые до этого много лет занимались серьезными вопросами кибербезопасности. Особенно если они работали в органах, где все подчиняется строгой дисциплине. Такие профессионалы могут не понять идею геймификации, саму мысль, что с людьми надо взаимодействовать. В их понимании, если есть правила безопасности — надо выполнять. А не выполняешь — наказывать. И да, они могут воспринимать геймификацию в штыки.

Но чем моложе руководитель службы ИБ, чем больше он в детстве увлекался компьютерными играми — да и сейчас, может быть, продолжает, — тем больше шансов, что для него геймификация будет нормой жизни. Он будет нормально относиться к тому, чтобы повышать осведомленность и прокачивать навыки подчиненных. Надо понимать, что геймификация – это инструмент, который имеет свою область применения и свою аудиторию. Как пожилым людям сложно пользоваться смартфонами, так и молодежь не всегда понимает, как можно читать книги на 300-400 страниц. Поэтому для донесения ИБ и используются разные форматы, подходы и инструменты.

А что до топ-менеджмента в целом, он в принципе редко погружается в вопросы информационной безопасности. Поэтому руководителям трудно быть за или против. Но если это дает результат, никто возражать не будет. Мой опыт проведения штабных киберучений показывает, что руководителям такой формат заходит гораздо лучше скучных лекций.

Cyber Media: Какие практические задачи ИБ можно решать с помощью геймификации?

Алексей Лукацкий: На самом деле, любые. Моделирование угроз, проектирование систем защиты, проверка навыков реагирования на инциденты или взаимодействия с внешним миром при возникновении инцидента. Или мы можем смоделировать проверку регулятора — и поучиться отвечать на непростые вопросы. Или смоделировать планирование бюджета: у меня есть такие-то задачи, набор средств защиты, ресурсы.

Серьезная задача, поданная в геймифицированной форме, позволяет отработать самые разные сценарии, оценить плюсы и минусы разных подходов (а это тоже важно для службы ИБ в любой организации). И это не надоедает; особенно если сценарий игры подразумевает вариативность.

Cyber Media: Вы говорите по большей части о масштабных проектах. А в рутинных, ежедневных задачах геймификация находит применение? Например, в работе SOC или при разработке IT-продуктов?

Алексей Лукацкий: Безусловно, здесь можно внедрять «ачивки» за те или иные результаты. Разработчиков можно обучать через игру: создать карту, по которой они будут «искать сокровища», а по сути — выполнять задания, и сдадут тест на знание безопасного программирования. Прошел задания — получил новый статус в организации. Проревьюил код коллеги, нашел уязвимость — поднялся выше в игровой иерархии. Я знаю компании, которые это реализовали.

Что касается SOC, можно раздавать баллы за оперативное разрешение инцидентов, помощь коллегам, менторство, разработку скриптов для автоматизации. А потом эти баллы, допустим, можно превратить в дополнительный выходной или купить за них подписку в онлайн-кинотеатре. Наличие доски почета, на которой в первых строках «висит» имя конкретного аналитика позволяет ему чувствовать свою значимость, что для многих людей важно; иногда гораздо важнее повышения зарплаты или похвалы от начальства. Тут тебя видят все и это ценно.

Ровно ту же идею можно реализовать среди всех сотрудников. Большинство из них хоть и не имеют прямого отношения к ИБ, но могут влиять на безопасность: сообщать о фишинге или спаме, подозрительных звонках или посторонних людях, которые пытаются проникнуть в организацию. Человек видит, что его вклад ценят, у него растет вовлеченность, он будет делиться этим с коллегами, тем самым вовлекая в процессы безопасности все больше людей. Если заставлять его просматривать часовые скучные видеолекции об опасности посещения сторонних сайтов или кликанья на незнакомые ссылки, то он будет пропускать эту информацию мимо своих ушей. Возможность вполне законно играть на работе делает процесс погружения в ИБ интересным и захватывающим, добавляет элемент соревнования с коллегами.

Cyber Media: Несколько лет назад американские ученые применили геймификацию, чтобы решить сложную задачу по биохимии. Для этого сделали специальную игру, где нужно было составлять цепочки аминокислот, и если человек подбирал оптимальную комбинацию, он получал очки. Так вот, геймеры, которые ничего не понимают в биохимии, справились с этим быстрее суперкомпьютера. Можно ли представить подобный проект в сфере кибербезопасности — подключить непрофессиональную публику к задачам, для которых у профессионалов не хватает вычислительных ресурсов?

Алексей Лукацкий: В общем-то, именно так работает криптомайнинг :) А в сфере безопасности есть примеры конкурсов на взлом систем шифрования. У современных компьютеров мощностей не хватает, а вот если объединить множество компьютеров, которые поделятся ресурсами, то подобрать ключ получается. И это доказывает, что при достаточном количестве ресурсов можно взламывать практически любые алгоритмы. Правда, здесь как таковой геймификации нет, поскольку нет победителей, церемоний награждения и так далее. Есть и негативные примеры, конечно, когда в организацию DDoS-атак вовлекают «сочувствующих» граждан, которые устанавливают на свои компьютеры специальное ПО, участвующее в скоординированных атаках. Но и это мало похоже на геймификацию, хотя многие участники таких действий воспринимают их как игру, не оценивая их последствий.

Cyber Media: Награды, конечно, составляют важную часть геймификации. Как можно мотивировать людей? Это обязательно должно быть что-то материальное или можно обойтись, например, специальной аватаркой в корпоративном мессенджере?

Алексей Лукацкий: Это зависит от возраста, психологического портрета работника: разным людям важны разные варианты признания. Кому-то достаточно называться «главным джедаем», для чего ему нужно пройти длинный путь в игровой иерархии. Кому-то важно получать скидки, подарочные карты или корпоративный мерч, который выпущен лимитированным тиражом и в обычной жизни его не достать. Кому-то хочется, чтобы его публично похвалили на корпоративном созвоне или разместили фото во внутренней рассылке. Правильная программа геймификации учитывает все эти аспекты и нюансы. Я был участником всех этих схем и могу сказать, что в разное время срабатывают все из них. В свое время я был одним из четырех первых Security Champion в компании на 70000 человек. Наши имена отлили в металле и повесили на стене в здании службы ИБ. Заходя в него было приятно видеть признание своего вклада в обеспечение ИБ работодателя.

Cyber Media: Проводились ли какие-то исследования в этой области именно в ИБ?

Алексей Лукацкий: В нашей стране — не особо, а вот на Западе их было довольно много. Психологи изучали, как на мотивацию в сфере безопасности влияют возраст, пол, религиозные воззрения или культурные предпочтения. Например, такие исследования активно проводит Университет Карнеги-Меллона в США, Азиатский Университет, Южнокитайский технологический университет и Университет Северной Дакоты, Масариков университет в Брно и т.п. Многие из этих исследований представляются на различных специализированных мероприятиях, среди которых одной из основных является ежегодная конференция американской ассоциации тренеров и учителей по ИБ в госорганах США FISSEA.

Cyber Media: У Positive Technologies есть большой опыт по части геймификации — я говорю про Standoff, который проходит уже в десятый раз. Можете ли вы выделить какие-то тренды? Как меняются предпочтения участников, принципы формирования команд?

Алексей Лукацкий: Кибербитва Standoff появилась в 2016 году, как соревнования между командами атаки и защиты, и с тех пор правила и IT-инфраструктура полигона непрерывно совершенствовались и усложнялись. Сначала для исследования на проникновение «красным» предоставлялись отдельные виртуальные объекты, однако вскоре они превратились в целые отрасли, появились межотраслевые взаимодействия, как в настоящем государстве. 

Мы каждый год придумываем что-то новое, добавляем новые сценарии, которые нападающие, они же хакеры, должны реализовать, а защитники — предотвратить. И если раньше эти сценарии были связаны с отдельными событиями ИБ, то сейчас мы внедряем кросс-отраслевые недопустимые события. Например, из-за остановки энергоснабжения перестают ходить поезда или банкоматы в городе начинают раздавать деньги. Это тренд, который мы видим в реальной жизни, потому что действия злоумышленников начинают затрагивать не одну организацию, а все больше отраслей.

В моем детстве были популярны немецкие игрушечные железные дороги, разнообразные сложные конструкторы, потом стали появляться и отечественные аналоги. И наш Standoff воплощает в реальность детскую мечту о собственном городе, привязывая ее к кибербезопасности. Можно не только поиграть в хакеров и защитников, но и наглядно продемонстрировать, во что выливаются киберинциденты. Безопасники видят, что может произойти в реальном мире, если хакер добьется своей цели и реализует недопустимое событие: произойдет взрыв, короткое замыкание, сброс воды в дамбе.

Традиционно кибербитва длилась несколько дней, однако со временем стало понятно, что этичным хакерам не хватает времени, чтобы применить все возможные стратегии. Команды защитников тоже могли бы извлекать больше пользы, если бы противостояние длилось дольше. Поэтому мы решили перенести площадку в онлайн и сделать ее доступной для исследователей безопасности 24/7/365. А чтобы заинтересовать специалистов не только амбициозными задачами, но и денежным вознаграждением, появилась платформа Bug Bounty.

Так появилась онлайн-платформа Standoff 365 — это кибербитва, онлайн-киберполигон и платформа Bug Bounty.

Cyber Media: А как шла эволюция с точки зрения технологий?

Алексей Лукацкий: Полигон представляет из себя огромный макет условного Государства F, в котором на сегодня есть три отрасли: черная металлургия, нефтегазовая промышленность и электроэнергетика. Каждый инфраструктурный элемент макета является многократно уменьшенной копией реального прототипа. Но для управления ими используются настоящие промышленные контроллеры и SCADA.

В архитектурном плане Standoff представляет собой виртуальную инфраструктуру, состоящую из множества виртуальных машин, сетей и подсетей, а также промышленный сегмент: систему управления, также размещенную на виртуальных машинах и подключенную к настоящим контроллерам, используемым для управления промышленным оборудованием. Такие контроллеры эксплуатируются предприятиями во всем мире в реальных отраслях транспорта, добычи ресурсов и т. д.