Геймификация в информационной безопасности

Геймификация в ИБ... Насколько возможно вообще скрестить такие, казалось бы несовместимые вещи? Если вспоминать вчерашние высказывания Франклина и Конфуция, то это не только вполне реализуемо, но и может дать очень хорошие плоды. В 2009-м году я уже писал статью про нестандартный маркетинг в области ИБ и в качестве нескольких примеров приводил именно игры, которые позволяли с одной стороны развлечься, а с другой - в игровой форме донести нужную информацию или продвинуть какую-то идею или продукт. И вот еще парочка свежих примеров.

Например, ИБ-игрушка Security Parashoot, которая является не просто "стрелялкой" или "арканоидом", а позволяет легко донести правильные вещи в области парольной политики на предприятии, лучших практик, техник атак, защиты узлов, юридических вопросов и др. А набор баллов добавляет в игру соревновательность и желание набрать как можно больше очков. Такая игра может быть внедрена как один из элементов программы повышения осведомленности рядовых сотрудников.

Игра Security Parashoot - http://game.inverra.com

Другой пример - известная игра "Phishing Phil", которая была разработана при Университете Карнеги Меллона. Задача игры - научить пользователей распознавать фишинговые ссылки. Первая версия игры свободно доступна в Интернете, а вот ее навороченный вариант вошел в состав коммерческой платформы для обучения вопросам ИБ, разработанной компанией Wombat Security.

Игра Phishing Phil

Кстати, Wombat Security, - не единственная компания, которая специализируется на новых технологиях обучения вопросам ИБ. Есть еще одна компания, специализирующаяся в области геймификации ИБ - Apozy.

Пример более стратегической игры - Net Invaders. Кто играл на iOS или Android в Tower Defense (я часто коротал в нее время; особенно в самолетах), тот знает, что в этой игре задача защитить башню от стремящейся к ней врагов, выставляя различные виды оружия на их пути. Неправильный выбор оружия приводит к тому, что враги проникают в башню и захватывают ее.

Игра Net Invaders

В Net Invaders таже идея, только вместо башен надо защитить ЦОД, офис и мобильное рабочее место, а вместо пушек, скорострельных луков и "морозилок" нужно использовать средства защиты - МСЭ, средства борьбы с вредоносным кодом и т.п. Эта игра уже больше рассчитана на изучение различных инструментов защиты в зависимости от исходящей угрозы. Полученные баллы можно потратить на новую защиту или подключение облачных сервисов Threat Intelligence.

Игра Net Invaders

Что дают такие игры? Немало. Мотивацию, обучение, укрепление команды (для командных игр), стимуляцию развиваться, лояльность, изменение поведения... Все это то, что обычно так не просто получить в рамках традиционного обучения вопросам ИБ.

Приведенные выше примеры интересны, но есть и свои "Олимпы" в этой области. Например, инновационная игра CyberCIEGE для изучения концепций сетевой и компьютерной безопасности. По сути это комбинация SimCity и ИБ. Вы симулируете реальную жизнь - покупаете железо и софт, конфигурируете его, продаете, следите за бюджетом. А ваши пользователи при этом совершают ошибки, попадают на удочку хакеров... Ваша задача - защитить свою виртуальную компанию от различных "кибер-напастей". В игре присутствуют различные заранее подготовленные сценарии, которые облегчают вашу игру и позволяют тренировать те или иные навыки в области ИБ.

Игра CyberCIEGE

Почему это работает? Причин много. От банальных "прикольно", "что-то новое" до "мне нравится соревнование", "люблю challenge", "мне нужна мотивация". У каждого человека своя причина, но результат один - вовлеченность с последующим получением нового знания и нового опыта. Именно поэтому, по версии Gartner, свыше 70% глобальных компаний из Топ2000, должны уже иметь хотя бы одно приложение-игру.

"Парашют", "Фил", "Захватчики сети"... Это интересно, но это не командные игры. Они рассчитаны на одиночек, которые будут играть по своим мотивам. В корпоративной же среде, особенно когда сотрудников много, нужны немного иные методы стимулирования работников играть, играть и еще раз играть. У нас в Cisco выделили несколько таких стимулов, которые заставляют сотрудников стремиться играть и выигрывать:

• переход на новые уровни
• строка достижений
• награды
• виртуальная валюта
• репутация
• таблицы лидеров
• доска почета.

Когда все вокруг видят, что ты "крут", то это стимулирует тебя поддерживать свой уровень, а других "догнать и перегнать". Именно этот принцип позволил нам обучить свыше 20 тысяч инженеров и разработчиков Cisco по вопросам информационной безопасности. Данная программа, получившая название "Cisco Security Ninja", позволила быстро внедрить процесс безопасного программирования в жизненный цикл разработки ПО Cisco (CSDL). Для этого было создано виртуальное додзё, то есть место для проведения тренировок и аттестаций в области ИБ.

Додзё безопасности Cisco

Додзё - это японский термин, используемый в боевых искусствах Японии, в том числе при подготовке ниндзя. Как и в настоящих боевых искусствах, каждый прошедший определенную программу обучения и сдавший экзамен, получает "пояс" (их пять), который олицетворяет статус сотрудника. Этот статус можно продемонстрировать по-разному - получить соответствующий бейдж, включить в подпись e-mail соответствующую иконку, включить иконку в корпоративный справочник и т.п.

Но я не буду сейчас глубоко погружаться в программу Cisco Security Ninja. Во-первых, заметка носит обзорный характер, а, во-вторых, я планирую более подробно написать про нашу программу геймификации вопросов ИБ - там есть, чему поучиться. А пока...

GAME OVER!!!