4.9.19

Почему ВУЗы не преподают теорию игр специалистам по ИБ?

Я календарь перевернул... в понедельник прошел день знаний и я бы хотел задаться очередным риторическим вопросом относительно нашего образования по ИБ и той странной ситуации, которая сложилось при приеме на работу, когда от соискателя требуют высшего образования по ИБ, но при этом сразу говорят ему, чтобы он забыл все, чему его учили в институте :-) И дело тут не в самой парадоксальной ситуации, сколько в том, что у нас действительно учат не совсем тому, а самое главное, не совсем так, как того требует жизнь. 

Когда я учился на "Прикладной математике", моя специализация по диплому была "Защита информации", но что удивительно, нам не преподавали теорию игр, которая, очень хорошо подходит для преподавания специалистам по ИБ. Сейчас я оставлю в стороне тему бизнес-направленности ИБ - ей очень трудно учить студентов технических специальностей, которые еще даже не знают, пойдут они работать в ИБ или нет. А вот теория игр подойдет, независимо от того, станет ли выпускник безопасником или пойдет искать себя на каком-либо ином поприще. В области же ИБ эта теория может найти свое достойное место, повернув процесс преподавания как от тупого пересказа преподавателями российской нормативки, в которой даже ее авторы уже путаются, так и от рассмотрения устаревших версий средств защиты, которые составляют хорошо если 10% от портфолио, с которым придется иметь дело выпускнику.

ВУЗ готовит специалиста в непонятной для меня парадигме. Либо ты учишь нормативку и твоя задача, выполнять кучу приказов, стандартов, положений и законов, которые выполняют только потому, что это якобы обязательные нормативные акты. Но насколько они нужны бизнесу, насколько они помогают бороться с современными угрозами, совершенно непонятно. Либо студенту рассказывают и показывают скриншоты отечественных средств защиты, которые могут и не отразить те атаки (а может и вовсе не увидеть), которые против них будут реализовывать злоумышленники. Теория же игр позволяет учесть нам многомерность мира современного безопасника и то, что ему приходится выбирать стратегию лавирования между хакерами и регуляторами (как минимум).

По сути речь идет о некооперативной игре с ненулевой суммой, где как минимум 3 игрока - компания, хакеры и регуляторы. Каждая из сторон имеет свою цель и некоторую стратегию, которая ведет либо к выигрышу, либо к проигрышу - в зависимости от поведения других игроков.  Вот эта зависимость от поведения других игроков отличает теорию игр от типичного преподавания ИБ в российских ВУЗах. Теория игр учитывает ресурсы игроков, их поведение и его вариативность, различные цели игроков, а также наличие определенных правил игры. Все это позволяет выстроить (или приблизиться) оптимальную стратегию деятельности своей службы. В более реалистичном примере игроков у нас становится больше - и регулятор у нас обычно не один, и хакерских групп с разной тактикой не одна, и даже сама компания представляет из себя набор разных сил с разными интересами, которые надо учитывать в ИБ, - пользователи, бизнес, ИТ... 

К сожалению, теория игр до недавнего времени не находила своего отражения не только в преподавании ИБ, но и на корпоративном рынке. Ситуация стала меняться только в последнее время, когда в ИБ стали набирать популярность подходы к геймификации, которые можно условно разделить на два основных течения - киберучения и игры. Первое позволяет моделировать различные реальные ситуации, происходящие в жизни, и смотреть, как на них будут реагировать специалисты по ИБ, которым приходится выходить за шоры своих вузовских знаний, которые часто действительно неприменимы в жизни. Я очередные киберучения буду проводить через месяц, в октябре, на Алтайском региональном ИТ-форуме в Барнауле. Второе позволяет в привычной для фанатов компьютерных или настольных игр форме, поучаствовать в кибербаталиях. В феврале я уже писал про пример одной такой игры - "Хакер".

Про игру Касперского я повторяться не буду, покажу еще парочку примеров игр по ИБ, которые основаны на теории игр (я постил их скриншоты в своем Twitter, но решил повторить и в блоге). Начну с решения Project Ares компании Circadence, которое позволяет моделировать различные ситуации и учить специалистов по ИБ реагированию на различные ситуации.


За последний год проект существенно обновился и "вырос" - появились различные варианты подписки - для ВУЗов, для корпоративных пользователей и т.п.


Есть различные сценарии проведения игр с разным числом участников и разными заданиями.


Есть своя система рейтингов и подсчета очков, которая позволяет проводить соревнования между студенческими группами или группами специалистов по ИБ в рамках одной компании или группы компаний.


Есть в Project Ares и развлекательные компоненты, например, "пасьянс "Косынка" на тему ИБ:


или аналог "Своей игры":


или аналог "Змейки":


Стоит отметить, что несмотря на игровой формат, Project Ares - это не обычная компьютерная игрушка. Это целая платформа для обучения специалистов по ИБ, использующая разные техники, вплоть до искусственного интеллекта, подстраивающегося под манеру каждого игрока и меняющего задания на ходу.


Но стали появляться и компьютерные игры, доступные каждому желающему. Например, на игровой платформе Steam скоро выпустят игру ThreatGEN: Red vs Blue, которая позволит множеству игроков попробовать себя в роли хакеров или защитников, не ломая реальные сети и системы, но оттачивая свои стратегические и тактические навыки, которые можно будет применять в реальной жизни (конечно, с оговорками). 

У этой игры будет несколько версий:
  • Red vs Blue. Игра для всех желающих на платформе Steam.
  • Red vs Blue Corporate. Настраиваемые сценарии игр для корпоративных тренингов.
  • Red vs Blue CTF. Соревнования команд.
  • Red vs Blue Tabletop. Игра для проведения штабных киберучений.
  • Red vs Blue Instructor Led Training.
Несмотря на громкое название заметки, я не ставил перед собой цель написать учебник или пособие по теории игр для кибербезопасника (все-таки я учил эту дисциплину в качестве факультатива, для себя лично, уже после окончания ВУЗа, и не могу сказать, что я в ней специалист). Скорее мне хотелось показать, что сегодня, в условиях непрерывно меняющихся технологий, атак, нормативки, и постоянно устаревающих знаний, подходы к обучению (в том числе и корпоративному) должны меняться. И геймификация, построенная на теории игр, является одним из инструментов решения этой задачи.

11 коммент.:

Unknown комментирует...

Могу точно сказать, что сейчас во многих университетах на специальности информационная безопасность преподают подобные теории. В частности в моё время обучения 2011-2017 у нас целый семестр был отведен под это (разные теории, под теорию игр: введение было около 2 месяцев, затем на магистратуре изучали непосредственно модели математические).

Сергей Борисов комментирует...

Так всетаки Теорию или Практику игр?
Теорию игр преподают. А делать образование по ИБ в игровой форме - мало где применяется - в основном CTF.

Алексей Лукацкий комментирует...

Сергей: теорию игр применительно к ИБ. А геймификация - это просто один из форматов

Unknown комментирует...

Представляю. Космонавтам преподают "теорию игр".

Александр Германович комментирует...

Вообще-то вузы сами не решают, что преподавать. ФГОСы спускаются сверху, и вуз учит тому, что написано в ФГОС. Инициатива у нас, как известно, наказуема.

Что касается бизнеса, то он практически не участвует в формировании требований к специалистам по ИБ. Бизнес не формирует спроса на специалистов с определенными знаниями/умениями. Проще говоря, бизнесу до лампочки, что знает и умеет безопасник. Ну а коли так - он получает тех, кого заслуживает.

Алексей Лукацкий комментирует...

В ФГОСе есть 10% самодеятельности насколько я помню. И есть факультативы

А что касается бизнеса, то как показывает опыт, он предпочитает учить сам, создавая корпоративные университеты. Все лучше, что до МинОбраза достучаться

Konstantin Malakhov комментирует...

Учился в МИРЭА с 2003 по 2009 года по специальности Прикладная математика. Теория игр была.

Анастасия Гайя комментирует...
Этот комментарий был удален автором.
Алексей Лукацкий комментирует...

Константин: мне не повезло. В 90-96 в МИРЭА на Примате этого не было. Было исследование операций

ser-storchak комментирует...

Мне понравился подход, описанный в статье https://habr.com/ru/post/286114/

Алексей Лукацкий комментирует...

О, хорошая тема. Спасибо