Виктор Минин, АРСИБ: Из CTF-движения каждый год вырастают сотни специалистов по обеспечению информационной безопасности

Виктор Минин, Председатель Правления Ассоциации руководителей служб информационной безопасности (АРСИБ), рассказал порталу Cyber Media о том, как изменились CTF-соревнования, почему организация соревнований требует большого финансирования, как государство и бизнес относятся к CTF в России.

Cyber Media: Вы достаточно долгое время занимаетесь организацией и продвижением CTF в России. Как изменились соревнования и сообщество вокруг них, интерес бизнеса к такого рода активностям?

Виктор Минин: Впервые студенческие соревнования по информационной безопасности UralCTF, ставшие первым CTF-турниром в России, прошли по инициативе «Хакердома» весной 2006 года в Екатеринбурге. Тогда в них участвовали всего две команды. А уже в 2008 мы организовали всероссийские соревнования, в которых приняли участие команды из 7 российских городов. В 2009 году провели международный турнир CTF, в котором участвовали 43 команды со всего мира: из университетов России, Индии, Германии, Вьетнама, Австрии, США, Франции, Италии, Хорватии, Норвегии и Аргентины.

С этого времени каждый год количество участников росло. В прошлом году мы в седьмой раз провели Кубок CTF России. Одно из нововведений – иностранные команды смогли участвовать в полноценном зачете. На прошлом Кубке они играли в гостевом формате. В 2023 году зарегистрировались 511 команд из 7 стран мира: России, Бразилии, Беларуси, Казахстана, Киргизии, Монголии и Узбекистана.

Мы также популяризируем эту идею и в школах. За последние годы мы провели достаточно большое количество соревнований для учеников 7-11 классов. Впоследствии они часто поступают на IT и ИБ-специальности, играют активно внутри России и на различных международных турнирах, хакатонах и так далее. В итоге, к окончанию вуза студенты имеют 10-летний опыт игры в CTF.

Бизнесу CTF-соревнования интересны, потому что участники выходят уже с нужными навыками: умеют коммуницировать в команде, создавать и работать с конечным продуктом в формате продакшн, нестандартно мыслят, быстро осваивают новые языки, работают с различными интерфейсами. Кроме того, когда студенты проводят соревнования, они понимают, что продукт должен соответствовать классическим требованиям информационной безопасности: целостность, доступность, конфиденциальность. И четко понимают, что каждое соревнование их будут абьюзить, нужно быстро разбираться и исправлять ситуацию, чтобы соревнование дальше проходило в штатном режиме.

Cyber Media: В России все чаще проводятся международные CTF-соревнования, например, в рамках БРИКС. Насколько это полезный и интересный опыт, как вы оцениваете уровень российских CTF-команд в сравнении с другими странами?

Виктор Минин: В BRICS+ CTF 2024 участие приняли 103 страны, при этом только команд из России было больше 300. Соревнования изменились настолько, насколько меняются технологии и ландшафт IT-технологий — сильно усложнились. Если IT-сообщество прикладывает немало усилий для снижения порога входа молодых людей в отрасль, то с CTF все сложнее. Порог не упал, а наоборот повысился.

В CTF существует два формата: Task-Based CTF, для которого скорее нужны скиллы в сфере IT, и формат Attack/Defense, который требует знаний ИБ, — это совсем другой уровень вхождения и навыков. Это различие можно увидеть по соревнованиям, которые мы проводили. К сожалению, формат Attack/Defense умеют решать только в России и еще нескольких странах. Количество стран-участников и команд растет, интерес есть. Но, количество айтишников, которые смогли решить простые задачи, к сожалению, не увеличилось: из более чем 1200 команд, только 195 решили хоть что-то. И это не был еще Attack/Defense, это был Task-Based CTF.

Чтобы оценить уровень российских CTF-команд в сравнении с другими странами, нужно уточнить, какие параметры мы оцениваем. Если считать общее количество команд и количество команд, имеющих соответствующий рейтинг — это одна история. Если мы оцениваем, какие команды сильнее, то рейтинг топ-10 команд опубликован на ctftime.org. Если мы говорим об интегративном индексе, то нужно учитывать количество мероприятий и их уровень.

Если смотреть по BRICS+ CTF, то из России пришло больше 300 команд. Это серьезный показатель, по которому мы можем как минимум сказать, что мы не хуже.

Cyber Media: С организационной точки зрения, какие факторы сейчас препятствуют или осложняют развитие CTF-движения? С какими проблемами приходится сталкиваться?

Виктор Минин: Недопонимание, особенно чиновников о том, что происходит. Очень меняется мир и технологии, а образование отстает. И многие люди не стремятся что-то менять. Я считаю, что в образовании должна быть неизменной классика подготовки, а практика — адаптируемой к современности.

Сложный момент: мир сильно меняется, но это не значит, что нужно отбросить классические образовательные технологии и переключиться только на новое. Но новые технологии нужно адаптировать, чтобы получить больший эффект. Например, раньше школьникам и студентам были доступны эксперты только из их образовательной организации. Появление интернет-технологий дает возможность детям познакомиться с уроками других педагогов. Это бесит тех учителей, кто не хочет расти и развиваться.

Дети гораздо гибче, поэтому быстрее осваивают технологии, получают доступ к материалам, в том числе на иностранных языках. Педагоги, которые не знают английский язык, не могут дать ученикам эту информацию. Конечно, в интернете не все уроки качественные, поэтому можно собрать лучшее на отдельной платформе, чтобы у всех детей был одинаковый доступ к знаниям.

Это проблематика ключевая, когда мы даем альтернативный вид образования, который никак не связан с преподаванием и наличием лицензии. Если мы говорим с точки зрения образования, то дети получают удивительный навык — самообразование. И когда этот навык формируется в отношении CTF, то они используют его и в других науках. Этим дети-участники CTF отличаются от других школьников.

Cyber Media: Почему организация крупных CTF-соревнований требует немалых средств?

Виктор Минин: С каждым годом наши задания усложняются, в том числе и с учетом появления новых технологий. Для подготовки соревнований требуются специалисты все с более высокой квалификацией и соответствующей оплатой их работы. Это совсем другой уровень, поэтому соревнования требуют немалых средств.

Не думаю, что наши соревнования отличаются от других с точки зрения финансовой емкости. Соревнования в регионах — небольшие по стоимости, потому что объем работ и количество участников меньше. Крупные соревнования стоят дорого. Помимо заданий, мы сильно заранее к ним готовим визуализацию и легенду. Визуализация помогает людям со стороны понять, что такое CTF. Подготовка занимает около девяти месяцев, и на это время вовлекается вся команда. Это финансово емко.

В стоимость входит и вся дополнительная работа. Мы готовим мерч, ведем прямые трансляции с каждого кубка, готовим видеоролики. Это по 20 часов прямой трансляции в год с профессиональными ведущими и нашими партнерами.

Наше соревнование отличается от всех остальных. На других соревнованиях присутствует субъективный фактор: одновременно одной и той же команде разные судьи могут поставить и один балл, и пять баллов. У нас по-другому. Когда у нас заканчиваются соревнования, победители известны, потому что ответы — эталонные, и командам их нужно найти. Когда бывают какие-то ответвления, то у нас есть профессиональные жюри на Кубке России, которые отслеживают, как участники решают задачу. И уже могут сравнивать не только сам результат, но и пути решения. Здесь будет присутствовать субъективный фактор, но в меньшем объеме.

Cyber Media: В чем специфика организации и проведения соревнований формата CTF?

Виктор Минин: Для каждого соревнования готовятся новые задания. Они никогда не повторяются, потому что после проведения CTF мы выкладываем решение. Только в России с 2006 года было проведено больше пятисот различного рода соревнований. Задания по ним можно найти на Github и прорешать. Собрана огромная база заданий, на которых можно тренироваться и посмотреть, как менялся мир за эти годы, появлялись новые разделы и рос уровень сложности.

После VII Кубка CTF России, RuCTF и BRICS+ CTF 2023 мы провели Gold CTF 2024. Мы решили собрать лучшую десятку команд России и разыграли среди них 200 граммов золота. Битва была жесточайшая. Мы использовали самые современные уязвимости из CVE. Соревнование решили сделать открытым и получился международный турнир: помимо тех десяти команд, которые играли на платформе и боролись за приз, пришли более ста команд со всего мира, чтобы просто попробовать свои силы.

Cyber Media: Как меняется интерес к спонсированию таких соревнований со стороны государства и бизнеса?

Виктор Минин: Важно выделить новый тренд, который раньше не был заметен: Минцифры в своих субъектах начинают проводить такие соревнования. Например, это Воронежская область — министр стал председателем оргкомитета, Дагестан — провели Кубок Дагестана, и замминистра был председателем. В Татарстане — замминистра был председателем оргкомитета GoCTF — это всероссийское соревнование среди СПО, которое мы раньше проводили в Москве. В Оренбурге министр цифры активно развивает это направление без нашего участия.

BRICS+ CTF вошел в топ-100 идей Форума «Сильные идеи для нового времени». АСИ нам активно помогал в продвижении на территории всей России. Можно сказать, что государство таким образом поддерживает. Мы начинаем активно готовиться к следующему году. В этом году меня удивил Омск, мы провели с ними мероприятие в апреле, а затем они организовали масштабные OM FEST 2024. Теперь хотят, чтобы у них проводились соревнования CTF, по масштабу и формату сравнимым с Кубком России: трехуровневые, с визуализацией, с легендой.

Если говорить о федеральном уровне, то ситуация сложная. Например, мы десять лет подряд подавали заявки на президентский грант и получили его всего один раз. Вероятно, это можно связать с тем, что принимающие решения чиновники слабо информированы о том, что такое CTF. Хотя мы стараемся в заявках рассказывать все максимально подробно.

Cyber Media: В CTF-соревнованиях зачастую участвуют совсем юные хакеры — школьники и студенты. Как вы считаете, какая поддержка нужна таким молодым талантам, чтобы они продолжили свое развитие в сфере кибербезопасности?

Виктор Минин: Скорее всего, нужна обеспеченность инструментами для самих соревнований. Я говорю про регионы. Если у школьника кнопочный телефон, а компьютер только в школе, то этого недостаточно, конечно. Сейчас ведется работа по компьютеризации, по наличию интернета в школах. По сравнению с другими странами, у нас условия лучше: интернет есть в школах даже в маленьких деревнях, в детских летних лагерях.

Мы стараемся как можно больше проводить соревнований и популяризировать их. Например, в Казани провели CTF нулевого уровня, в одну из смен в летнем лагере, чтобы ребят заинтересовать. Как говорили кураторы, которые там работали, школьников было не оторвать от решения задач. Ребятам нужно вовремя показать, что есть CTF и концентрировать на этом, тогда они не будут жечь время на TikTok. Да, они могут играть в Counter-Strike, но никаких навыков, кроме умения пользоваться мышкой и быстро находить в команде друг друга, это занятие не дает, нейронные сети не развивает. А сложные задачи, к категории которым CTF и относится, формируют новые нейронные связи.

Если посмотреть на рейтинг на BRICS+ CTF, то мы увидим всего 70 команд, которые решили 3 и более задач. А все остальные решили в лучшем случае одну задачу. А если говорим про десятку, то там совсем другой уровень: самое минимальное — 50, а самое максимально, что решила команда из Китая — 3,5 тысячи. Когда мы даем ребятам решать сложные задачи, мы видим этот показатель. И мы видим, какой результат это дает, и как такие навыки ценятся в бизнесе. Если зайти на HeadHunter и написать CTF, то можно увидеть, что ключевые компании очень благожелательно относятся к опыту участия в CTF, соответственно, стоимость у такого соискателя совсем другая.

Cyber Media: В этом году АРСИБ будет проводить восьмой Кубок CTF России. Расскажите, что нам стоит ожидать от мероприятия в этом году?

Виктор Минин: Традиционно готовим особенное в части легенды. В предыдущие годы визуализацию мы делали по большей части для тех, кто не играет, чтобы можно было через интернет посмотреть и понять, что происходит. В этом году стараемся интегрировать таким образом, что легенда у нас объединит все предыдущие легенды в одну. По легенде можно догадаться, по нашему текущему оформлению сайта. И мы опять усложняем задания. У нас есть отборочный этап, полуфинал и финал. И есть еще суперфинал, когда мы делим команды по две и эти команды в своем зачете будут биться.

Раньше вручался только один кубок, но ковид нам показал, что надо давать участникам возможность профессионального роста, стимулировать. Мы расширили количество номинаций и придумали формат CTF нулевого уровня. Если бы мы этого не сделали, то количество игроков снизилось бы на несколько лет. С прошлого года мы вручаем три кубка в трех номинациях: школьники, студенческие команды из одной образовательной организации и смешанный формат. Смешанный формат подразумевает, что участники могут быть из разных образовательных организаций, в том числе и школьники со студентами. В прошлом году мы дали возможность зарубежным командам из ближнего зарубежья (Беларусь и Казахстан) играть в смешанный формат.

В этом году мы повысили возраст участников до 27 лет в смешанном формате. Будем рассылать письма в организации, чтобы CTF-игроки уже взрослые могли сформировать команду в своей компании и поучаствовать в Кубке России.