Алексей Плешков, независимый эксперт по ИБ: Без плана любая геймификация воспринимается как внутренняя самодеятельность

Геймификация в корпоративном обучении давно перестала быть экзотикой — квесты и рейтинги стали привычной частью рабочей среды. Но когда речь заходит об информационной безопасности, игровые механики сталкиваются с принципиальным противоречием: тема слишком серьезная, чтобы превращать ее в развлечение, и слишком сложная, чтобы доносить ее как-то иначе. Граница между вовлеченностью и имитацией вовлеченности здесь особенно тонкая — и особенно дорогостоящая при ошибке. Алексей Плешков, независимый эксперт по информационной безопасности и эксперт BISA в интервью Кибер Медиа рассказал о том, какие игровые механики реально работают, почему геймификация без плана и метрик превращается в самодеятельность и чего ждать от этого направления в эпоху ИИ.

Кибер Медиа: Мы живем в эпоху, когда геймификация проникла буквально везде. Как вы оцениваете готовность российских компаний использовать этот тренд именно в обучении информационной безопасности?

Алексей Плешков: Я бы не называл ИБ-геймификацию трендом в обучении, это скорее один из полезных инструментов в арсенале любого современного CISO. Считаю, что крупные российские компании готовы, и многие даже давно и успешно применяют подходы по повышению осведомленности в вопросах информационной безопасности на основе инструментов и методов геймификации, и отдельно не выделяют этот трек из своей Security Awareness программы. Викторины, квесты, квизы, магазины корпоративного мерча за внутреннюю валюту, создание и распространение тематических стикер-паков в социальных сетях или комиксов и постеров в блогах, конкурсы по созданию иллюстраций на ИБ-тему среди работников – все это элементы классической геймификации, которые сегодня стали еще активнее применяться в кибербезопасности.

В моем представлении применение подходов по геймификации в ИБ непрерывно связано с развитием внутренней корпоративной культуры и формированием такого полноправного субнаправления, как культура ИБ. Тем не менее, для малого и среднего бизнеса в России все еще могут существовать ограничения для применения ИБ-геймификации. К подобным блокам я бы отнес: недостаточная вовлеченность в процесс руководителей компании, ограниченные ресурсы (время, энтузиазм, кадры), присутствие и влияние в коллективе скептиков-консерваторов, и, как следствие, перевод истории про ИБ-геймификацию из творческой плоскости в плоскость формального учета и кадрового управления: метрики, точное прогнозирование и оценка финансового эффекта, SLA, бенчмарки и прочее. Это как раз те вещи, которые сдерживают развитие тренда на ИБ-геймификацию в российских компаниях.

Кибер Медиа: Поколение 25–35 лет выросло на играх и соцсетях с системами наград и рейтингов. Меняет ли это принципиально подход к их обучению по ИБ — или базовые механики все равно остаются теми же?

Алексей Плешков: Вы абсолютно правы: именно этот базовый эффект – простота, понятность, близость классического игрового подхода для молодого 25-35 лет поколения работников в компании – является причиной активного применения ИБ-геймификации для доведения до непростой целевой аудитории объективно сложных требований, рекомендаций, правил и сценариев по ИБ. Через игровой подход, знакомые с детства ассоциации и механики, через прозрачное добавление в сценарии обучения, к примеру, соревновательного эффекта, прохождения одиночных заданий или командных квестов, через сознательное упрощение или якорение сложных для восприятия вещей на простой ассоциативный ряд (герои, противники, миссии, артефакты и пр.) достигается тот самый синергетический эффект (условное внутреннее удовольствие от успешного прохождения игрового задания незаметно объединяется с осознанием и пониманием заложенного «вторым слоем» ИБ-содержания). И здесь я не рекомендую останавливаться на каком-то одном инструменте, даже в случае первичной неудачи (в части вовлеченности, количества участников и обратной связи).

Кибер Медиа: Какие это могут быть инструменты?

Алексей Плешков: Например, для молодого 25-35-летнего поколения работников любой российской компании может не дать существенного (массового) эффекта написание и выпуск статьи в корпоративной газете с разбором требований по ИБ к какому-либо внутреннему процессу, системе, продукту. Тогда как создание и запуск мобильного игрового приложения со сценариями по последовательному обходу некорректно установленных параметров безопасности, с заданием выбрать и исправить заранее заложенные в квесты логические ошибки, продемонстрировать свою ИБ-осознанность, будет воспринято гораздо позитивнее и привлечет намного больше молодых работников. Здесь работает внутреннее желание молодого поколения просто рассказать, обсудить, показать свое корпоративное приложение кому-то вовне, скачать, запустить, попробовать сыграть и достичь базового уровня. Важно помнить, что не всегда с первого раза получается подобрать инструменты по ИБ-геймификации для сложной целевой аудитории и адаптировать его с учетом имеющегося у Вас в начале пути опыта, форматов, содержания. Однако, чем больше различных подходов Вы заложите и попробуете реализовать, тем с большей вероятностью нащупаете именно тот инструмент ИБ-геймификации, который окажется максимально эффективным для вашей целевой аудитории.

Кибер Медиа: Какие конкретные механики геймификации вы считаете наиболее эффективными для формирования устойчивых навыков кибергигиены — баллы и рейтинги, сюжетные сценарии, соревнования между командами?

Алексей Плешков: Чтобы объективно сравнивать механики ИБ-геймификации по эффективности (имея в наличии метрики и применяя общепринятую методику), их нужно как минимум знать и регулярно применять в работе. Я не буду говорить, что за предшествующий период я изучил, освоил и применил на практике все существующие механики ИБ-геймификации — это неправда. Я могу сравнить только те механики и инструменты, которые попробовал или которые регулярно пользуюсь в работе (т.к. субъективно могу оценить их эффект). Назову две принципиально отличающиеся в плане сложности, проработанности и методики оценки эффекта механики, которые первыми пришли мне на ум:

1. Диалоговая карточная механика: распечатанные двусторонние карточки с иллюстрациями и описанием кейсов (в моем случае - кейсов с мошенничеством различного типа в различных каналах). Я узнал об этой механике и начал накапливать карточки и кейсы еще в COVID. Сейчас у меня этих карточек уже больше сотни с различными кейсами из моей практики на выбор (под аудиторию – сотрудники ИТ/ИБ, руководители, бизнес-пользователи, подростки, представители силовых структур и пр.). Простой инструмент, но объединенный с базовыми техниками фасилитации и применяемый в групповых очных сессиях, эти карточки, как способ повышения интереса к теме ИБ, вовлечения или начала диалога со сложной аудиторией, каждый раз приводят меня к неожиданным результатам. Минимум реквизита и времени на подготовку — максимум результата, это то, что я могу назвать эффективной игровой механикой.
2. Групповые бизнес-симуляции (естественно, не по продажам, а по информационной безопасности): со сложной нелинейной игровой механикой, с объединяющим или наоборот конфронтирующим участников сценарием на основе реальных кейсов, с разделением на команды, выделением и описанием ролей, с параметризованными инструкциями и этапностью, с элементами теории вероятности и внешними факторами влияния на участников принятия решений. Не совру, если скажу, что очень мне нравится создавать и применять подобные игровые механики. Создание подобных игр — это не быстрая и каждый раз очень творческая история. Как эксперта по кибербезопасности с одной стороны, и как автора игровых сценариев с другой, меня внутренне мотивирует к созданию подобных игровых симуляций то, что я вижу неподдельный интерес со стороны участников на протяжении всей игры и даже после. Если бизнес-симуляция хорошо продумана, то игровая механика и повороты сценария (это «первый слой») находят резонный отклик у всех участников. А на рефлексии после игры я могу наблюдать эффект в моменте, когда без лишних вопросов получается вывести группу игроков на правильные, в плане ИБ, выводы и мысли.

Кибер Медиа: Есть ли риск, что игровой формат снижает серьезность восприятия темы ИБ — и как этот баланс правильно выстроить?

Алексей Плешков: Без всякого сомнения — такой риск есть. Я бы даже сказал, что это не риск (в вероятностном плане, т.к. он реализуется в 100% случаев), а один из сценариев, который важно учитывать и пытаться купировать на входе. Насколько он повлияет на эффективность выбранного инструмента ИБ-геймификации — это вопрос предварительного обсуждения, корректной реализации игровой механики, пилотирования и тиражирования конкретных инструментов ИБ- геймификации на целевую аудиторию в компании.

Отклик от интернет-маркетинга станет выше, если каждой участнице за прохождение кроссворда гарантировать получение подарочного сертификата в «Золотое Яблоко»

Кибер Медиа: Могли бы привести какой-то пример?

Алексей Плешков: Если для молодых 20-25 лет работниц из отдела Интернет-маркетинга создать, опубликовать и предложить разгадать на скорость кроссворды с терминами по ИБ, установив в качестве мотивации подписку на Литрес, то отклик по такой инициативе будет небольшим, а полученный эффект крайне спорным. И общее ощущение участниц от данного упражнения будет из серии «не серьезно», «не особо увлекательно», «для меня это не уместно». Хотя в этой примере выбрана механика (кроссворд по ИБ) не самая проигрышная, я бы сказал. Отклик от интернет-маркетинга станет выше, если каждой участнице за прохождение кроссворда гарантировать получение подарочного сертификата в «Золотое Яблоко». Еще вариант повышения эффективности такой механики — это создание мобильного игрового приложения или чат-бота с аналогичным ИБ-контентом (кроссворд). Но это история в долгую и существенно более ресурсоемкая, чем базовая механика — ИБ-кроссворд на бумаге/в газете. При этом, если ту же базовую механику (ИБ-кроссворд плюс подписка на Литрес) предложить и реализовать для работников склада, для ночных охранников, для работников 50+, проводящих много времени в общественном транспорте на пути в офис, или еще интереснее – анонсировать во внутрикорпоративном сообществе ИТ-гиков с целью повышения вовлеченности (погружения) в ИБ-тематику, то процент участников подобной активности можно сильно поднять, а плановые показатели или эффекты по освоению ИБ-терминологии достичь и перевыполнить, даже не меняя мотиватор или формат. И здесь та же игровая механика будет восприниматься максимально уместно без оговорок про несерьезность.

Кибер Медиа: Есть ли принципиальная разница в том, как геймификацию по ИБ воспринимают в крупном и в среднем бизнесе?

Алексей Плешков: Ответ — да, разница есть. Разница в восприятиями ИБ геймификации такая же, как и восприятие любых изменений в корпоративной культуре в крупном бизнесе и в небольшой компании. Всегда будут скептики, будут недовольные, будут те, кто станет демонстративно отрицать любые достигнутые для себя с применением геймификации в ИБ эффекты. Геймификация в ИБ — это один из инструментов, не единственный и не самый эффективный, если подходить глобально для любого типа бизнеса/размера компании. Применять только геймификацию для повышения ИБ-осведомленности — это изначально некорректный тупиковый путь. Мы не в детском саду, чтобы все правила этого мира рассказывать через игру и объяснять на кубиках. Но вот адаптировать и использовать элементы и инструменты ИБ-геймификации вместе с другими подходами на этапе формирования и поддержания интереса, вовлечения, упрощения и фасилитации тех или иных сложных ИБ - тем, вот тут геймификация вполне применима. Тут главное — не переборщить с игропрактиками, постоянно отслеживать обратную связь от целевой аудитории и сбалансировать геймификацию альтернативными? более «традиционными» и понятными скептикам инструментами.

Применять только геймификацию для повышения ИБ-осведомленности — это изначально некорректный тупиковый путь

Кибер Медиа: Фишинговые симуляции — это уже своего рода геймификация. Насколько этот инструмент сегодня реально работает, и как его правильно встроить в более широкую программу?

Алексей Плешков: Фишинговые симуляции — если речь идет про внутреннюю программу повышения ИБ осведомленности и/или сценарии киберучений - это часть обязательных комплексных мероприятий, позволяющая в моменте понять уровень осознанности в компании в части ИБ и точечно (персонально) с учетом реакции на фишинг спланировать дальнейшие шаги по повышению ИБ-грамотности. Симуляциями фишинговых рассылок, при наличии инструмента в компании и формализованного процесса его применения, а также полученными метриками, помимо внутренних ИБ-служб, активно пользуются аудиторы, пентестеры, представители регуляторов и некоторые другие службы. Если смотреть на фишинговые рассылки с негативными последствиями, как на болезнь, то симуляции рассылок — это способ формирования иммунитета у пользователей к подобного рода угрозе. Соглашусь, что симуляцию фишинговых рассылок внутри компании можно назвать ИБ-геймификацией, но считать и управлять эффектом такого инструмента можно только тогда, когда вокруг этих рассылок выстроен полноценный процесс: планирование; выбор целевой аудитории; согласование сроков; творческая подготовка и обновление целевых рассылок; поэтапная рассылка; регулярное повторение рассылок; получение и анализ обратной связи; назначение дополнительного обучения для работников (внутренние и внешние курсы, программы и пр.) с учетом регулярности их откликов на фишинг; взаимосвязь с другими инструментами повышения ИБ-осведомленности.

Кибер Медиа: Общество геймифицируется стремительно. Не притупляет ли это со временем эффект — когда человек уже просто "собирает значки" без реального вовлечения?

Алексей Плешков: Это не самый плохой исход. Тот факт, что человек без усилий будет «собирать значки», накапливать баллы при прохождении квестов, квизов и заданий во внутренних игровых ИБ-активностях может свидетельствовать и том, что все упакованные внутри темы по ИБ этому человеку знакомы, он знает правильные ответы, он умеет на автомате отличать хорошее от горячего, он научился проявлять критическое мышление, он знает базовые ИБ-требования и содержание инструкций, памяток по ИБ в компании. А разве не этого эффекта для всех работников в компании мы хотим достичь в самом начале планирования Security Awareness программы? Нет ничего страшного в том, что осознанный в плане ИБ работник без особых усилий срывает развешанные «морковки». В терминах ИБ-геймификации это означает, что он просто перешел на новый уровень. А специалистам по кибербезопасности стоит задуматься о применении для него альтернативных инструментов повышения ИБ-осведомленности и об обновлении контента.

Нет ничего страшного в том, что осознанный в плане ИБ работник без особых усилий срывает развешанные «морковки»

Кибер Медиа: Можете привести пример программы геймификации по ИБ, которая дала измеримый результат — снижение инцидентов, рост осведомленности? Как измеряли эффект?

Алексей Плешков: Начну своей ответ с того, что скажу – любой инструмент ИБ-геймификации, любая инициатива или программа по повышению ИБ-осведомленности в компании должна задумываться с учетом или на основе метрик, позволяющих в любом момент измерить результат и обозначить статус. В 2026 году Security Awareness в целом, и ИБ-геймификация, как составная часть – это уже не просто внутрикорпоративная история про культуру, творчество или положительные эмоции. Это проектная деятельность с планом, сроками, этапами, промежуточными результатами, ответственными лицами, входными/выходными метриками, методикой и источниками для получения этих метрик, аналитической составляющей, командой, бюджетом и, к сожалению, так бывает в корпоративных войнах со сторонниками и блокерами. Чтобы далеко не ходить в поиске примеров, возьмем ранее озвученный кейс с симуляциями фишинговых рассылок. Здесь в качестве обоснования для старта инициативы достаточно составить грамотное фишинговое письмо, со ссылкой, с вложением, разослать его на целевую аудиторию и посчитать количество и вариативность реакций сотрудников на получение данной рассылки (без предупреждения, без предварительного обучения).

Кибер Медиа: Как это эту проанализировать аналитику?

Алексей Плешков: Статусы и метрики для аналитиков тут самые разные: от полного игнора рассылки на стороне получателя, до пересылки сообщения коллегам/руководителям/себе на внешний ящик, от звонка в поддержку или в службу безопасности после неудачного открытия вложения, до утаивания факта поступления от всех вокруг. Все эти реакции для внимательного и опытного CISO могут характеризовать наличие в компании проблемы. Далее дело за малым – собрать и посчитать цифры/метрики, нарисовать аналитическую презентацию, дополнить ее данным с рынка по фишинговым угрозам, по громким кейсам с применением фишинговых рассылок в начале кибератаки, если уже есть информация/слухи от партнеров/конкурентов – приложить ее, как превентивный ответ на вопрос «а как с этим вопросом дела у …. ?». Финальный шаг CISO: вынести материалы на решение внутреннего коллегиального органа или лица, принимающего решения в компании. В самом плохом случае CISO получит письменное решение о принятии ИБ-рисков и/или поручение внедрить комплекс организационно-технических компенсирующих мер в компании, что стратегически очень даже неплохо.

Кибер Медиа: Что чаще всего идет не так, когда компании пытаются внедрить геймификацию в ИБ-обучение самостоятельно?

Алексей Плешков: Что-то, в плане применения геймификации для ИБ обучения, чаще всего гарантировано пойдет не так, как оно представлялось с самого начала, в том случае, если не учитывать/игнорировать/не обсуждать ключевые для любой Security Awareness нюансы. Кратко расскажу только про базовые ТОП-5 из них. На самом деле их намного больше, в формате интервью все детали уместить сложно.

1. Начало применения ИБ-геймификации должно быть предварительно согласовано на уровне руководства компании. У CISO/команды, реализующей Security Awareness, на руках должно быть письменное одобрение от руководителя компании/коллегиального органа, уполномоченного принимать стратегические решения.
2. Как я уже писал выше, ИБ-геймификация – это стратегическая не одномоментная история, предполагающая наличие формальной стороны: планирование, сбор и оценка метрик, этапность, отчетность и пр. Без плана любая геймификация, в том числе в части ИБ, воспринимается как внутренняя самодеятельность.
3. Security Awareness программы и ИБ-геймификация, как ее часть – это затратная (не бесплатная) деятельность, на которую (после подтверждения эффекта на старте) необходимо закладывать регулярный бюджет. Если сама программа, подходы и инструменты для ИБ-геймификации регулярно применяются, расширяются и тиражируются, то и бюджет на их реализацию не может снижаться.
4. Установление источников, регулярный поиск и обновление метрик для оценки эффекта от применения геймификации в ИБ, актуализация методов и способов их получения/доказательства – это то, о чем часто забывают, когда программа стартовала и базовый бюджет уже выделен. В ином случае эффект от применения предложенных на старте инструментов будет неумолимо снижаться со временем.
5. На реализацию любой творческой задачи в компании должны быть выделены ресурсы, в первую очередь – людские. На энтузиазме 1-2 человек, пусть даже уровня руководителей, ИБ-геймификация долго не протянет.

Кибер Медиа: Как вы видите развитие этого направления в ближайшие 2–3 года — с учетом роста ИИ-инструментов, иммерсивных технологий и того, как меняется сама культура безопасности в российских компаниях?

Алексей Плешков: Вопрос с одной стороны содержит в себе часть ответа, с другой – звучит, как отдельная тема для исследования и отчета со сравнением экспертных мнений. Я постараюсь кратко обозначить три основных тезиса, которые на мой взгляд будут актуальными в ближайшие годы при реализации программ Security Awareness с применением инструментов ИБ-геймификации.

1. Активное применение ИИ-инструментов: при создании контента, форматов, при проведении активностей в цифровых каналах. Уже сегодня ИИ-помощники и боты активно тестируются крупными компаниями, как инструменты для снижения накладных расходов при реализации рутинных трудоемких задач.
2. Контекстно-ориентированный подход. Универсальным ИБ-курсам на смену придет персонифицированный подход, гибко адаптированные под потребность конкретной компании механики и сценарии образования. Тогда как для корпоративного ИБ-обучения и повышения осведомленности CISO будут применять инструменты с подтвержденной эффективностью, учитывающие предыдущий опыт компании.
3. Микрообучение vs инъективность. Темп жизни в крупных компаниях постоянно ускоряется. Времени на самообразование у работников остается все меньше. Поэтому у целевой аудитории продолжает формироваться потребность на дозированное получение новой информации в тех каналах, в том виде, в том объеме, которые не «вызывают аллергию».