25.7.18

Тест "Кобаяси Мару" при приеме безопасника на работу

Помните вселенную "Звездного пути" (Star Trek), в которой курсантам Звездного флота предлагали пройти тест "Кобаяси Мару", который моделировал изначально проигрышную ситуацию, которая должна была показать характер и качества курсантов? Так вот когда я готовился к киберучениям для сочинского "Кода ИБ. Профи", которые пройдут уже в эту пятницу, мне вспомнился этот тест. Но немного в другом контексте. Почему бы его не модифицировать под информационную безопасность и не использовать при приеме на работу?


По сюжету «Кобаяси Мару» является космическим гражданским кораблем, который находясь в нейтральной космической зоне расы клингонов, оказался поврежден. У клингонов с людьми идет длительное конфликт и поэтому вмешательство тестируемого курсанта может негативно сказаться на развитии событий. Если попытаться спасти пассажиров «Кобаяси Мару», нарушив нейтралитет с клингонами, то это спровоцирует их на агрессию и возможно военный конфликт. Если выбрать невмешательство, то это значит дать гражданскому судну погибнуть. Это классическая дилемма с двумя безвыходными и негативными сценариями развития событий и надо выбрать из них только один. При этом в фильме компьютер, который и моделирует данную игру с курсантами, запрограммирован на проигрыш курсанта.

Вот мне и пришла в голову мысль, почему бы не использовать эту идею при приеме на работу специалистов по кибербезопасности. Вместо проверки знаний числа уровней модели OSI, нормативных документов ФСТЭК, рынка кибербезопасности и тому подобной чепухи, мало нужной в реальной работе безопасника, стоит задавать сценарии и проверять, по какому пути пойдет кандидат. Например, такой сценарий: "Осень. Вы планируете бюджет отдела ИБ на следующий год и среди прочего перед вами встает вопрос - заложить ли деньги на выполнение закона "О персональных данных" в размере 7 миллионов рублей, которые будут потрачены на аудит текущей ситуации приглашенным лицензиатом ФСТЭК, разработку проекта защиты ПДн и приобретение средств защиты информации?

Вопрос достаточно простой на первый взгляд и он рано или поздно встает почти перед каждым безопасником (разница только в сумме). Вы можете пойти по традиционному пути и заложить эти деньги по принципу "так положено". А можете пойти по принципу "а вдруг" и договориться, что деньги будут выделены, если организация попадет в перечень плановых проверок РКН (но тогда причем тут лицензиат ФСТЭК и защита ПДн?). А можно пойти по бизнес-сценарию и принять как данность, что даже в худшем сценарии развития событий сумма штрафа составит на порядок меньшие деньги заложенных в бюджет и можно принять риск несоответствия, потратив деньги на более реальные бизнесу нужды. Причем тут нет правильного ответа (все как в тесте "Кобаяси Мару"). В любом случае вы что-то теряете - деньги бюджета на бесполезное приведение себя в соответствие или репутацию в случае прихода регулятора и сумму штрафа? Что выберет кандидат? На выбор будет влиять его бизнес- или compliance-ориентированность, которая и может стать предметом анализа в рамках данного теста.

Чем не идея? Среди других тестов "Кобаяси Мару" в ИБ может быть проверка дилемм "отечественное или зарубежное средство защиты", "open source vs коммерческое ПО", "своя система защиты vs аутсорсинг"...

ЗЫ. В фильме Джеймс Кирк проходит этот тест (единственный курсант в оригинальной вселенной "Звездного пути") просто "взломав" компьютер и изменив программу. Это позволяет проверить если не характер, то оригинальность мышления кандидата, что тоже может быть одной из задач теста.

8 коммент.:

Georgiy Kuznetsov комментирует...

2012 год, в западных вызах как минимум обсуждали возможность использования подобных тестов для студентов https://siliconangle.com/blog/2012/06/15/learning-the-lesson-of-the-kobayashi-maru-cybersecurity-thinking-like-the-enemy-and-big-data/

Dmitry комментирует...

Идея не плохая. давно используем в том или ином виде..

Алексей Лукацкий комментирует...

Отлично

SK комментирует...

Здравая мысль. :)

Unknown комментирует...

Тестирование это отлично...про 7 миллионов тест конечно смешной....

Сергей комментирует...

Тест "Прозорова-Емельянникова": По какому ПП защищать бухгалтерию в госоргане-по 21 или 17? )))

Target комментирует...

Ищу кандидата на должность руководителя направления безопасности объектов КИИ. Тест для кандидата: как выгодно подтверждать соответствие средств защиты информации и подсистемы безопасности объекта КИИ: использовать сертифицированные СЗИ, проводить испытание, проводить приемку?

Unknown комментирует...

Поддерживаю полностью. Энциклопедические знания это хорошо, но гораздо интереснее как рассуждает кандидат на должность.
Причем это проходит не только на руководящие должности, но и на инженерные. Вопрос с сценариях.