Почему ВУЗы не преподают теорию игр специалистам по ИБ?

Обучение
Я календарь перевернул… в понедельник прошел день знаний и я бы хотел задаться очередным риторическим вопросом относительно нашего образования по ИБ и той странной ситуации, которая сложилось при приеме на работу, когда от соискателя требуют высшего образования по ИБ, но при этом сразу говорят ему, чтобы он забыл все, чему его учили в институте 🙂 И дело тут не в самой парадоксальной ситуации, сколько в том, что у нас действительно учат не совсем тому, а самое главное, не совсем так, как того требует жизнь. 

Когда я учился на «Прикладной математике», моя специализация по диплому была «Защита информации», но что удивительно, нам не преподавали теорию игр, которая, очень хорошо подходит для преподавания специалистам по ИБ. Сейчас я оставлю в стороне тему бизнес-направленности ИБ — ей очень трудно учить студентов технических специальностей, которые еще даже не знают, пойдут они работать в ИБ или нет. А вот теория игр подойдет, независимо от того, станет ли выпускник безопасником или пойдет искать себя на каком-либо ином поприще. В области же ИБ эта теория может найти свое достойное место, повернув процесс преподавания как от тупого пересказа преподавателями российской нормативки, в которой даже ее авторы уже путаются, так и от рассмотрения устаревших версий средств защиты, которые составляют хорошо если 10% от портфолио, с которым придется иметь дело выпускнику.

ВУЗ готовит специалиста в непонятной для меня парадигме. Либо ты учишь нормативку и твоя задача, выполнять кучу приказов, стандартов, положений и законов, которые выполняют только потому, что это якобы обязательные нормативные акты. Но насколько они нужны бизнесу, насколько они помогают бороться с современными угрозами, совершенно непонятно. Либо студенту рассказывают и показывают скриншоты отечественных средств защиты, которые могут и не отразить те атаки (а может и вовсе не увидеть), которые против них будут реализовывать злоумышленники. Теория же игр позволяет учесть нам многомерность мира современного безопасника и то, что ему приходится выбирать стратегию лавирования между хакерами и регуляторами (как минимум).
По сути речь идет о некооперативной игре с ненулевой суммой, где как минимум 3 игрока — компания, хакеры и регуляторы. Каждая из сторон имеет свою цель и некоторую стратегию, которая ведет либо к выигрышу, либо к проигрышу — в зависимости от поведения других игроков.  Вот эта зависимость от поведения других игроков отличает теорию игр от типичного преподавания ИБ в российских ВУЗах. Теория игр учитывает ресурсы игроков, их поведение и его вариативность, различные цели игроков, а также наличие определенных правил игры. Все это позволяет выстроить (или приблизиться) оптимальную стратегию деятельности своей службы. В более реалистичном примере игроков у нас становится больше — и регулятор у нас обычно не один, и хакерских групп с разной тактикой не одна, и даже сама компания представляет из себя набор разных сил с разными интересами, которые надо учитывать в ИБ, — пользователи, бизнес, ИТ… 
К сожалению, теория игр до недавнего времени не находила своего отражения не только в преподавании ИБ, но и на корпоративном рынке. Ситуация стала меняться только в последнее время, когда в ИБ стали набирать популярность подходы к геймификации, которые можно условно разделить на два основных течения — киберучения и игры. Первое позволяет моделировать различные реальные ситуации, происходящие в жизни, и смотреть, как на них будут реагировать специалисты по ИБ, которым приходится выходить за шоры своих вузовских знаний, которые часто действительно неприменимы в жизни. Я очередные киберучения буду проводить через месяц, в октябре, на Алтайском региональном ИТ-форуме в Барнауле. Второе позволяет в привычной для фанатов компьютерных или настольных игр форме, поучаствовать в кибербаталиях. В феврале я уже писал про пример одной такой игры — «Хакер».
Про игру Касперского я повторяться не буду, покажу еще парочку примеров игр по ИБ, которые основаны на теории игр (я постил их скриншоты в своем Twitter, но решил повторить и в блоге). Начну с решения Project Ares компании Circadence, которое позволяет моделировать различные ситуации и учить специалистов по ИБ реагированию на различные ситуации.

За последний год проект существенно обновился и «вырос» — появились различные варианты подписки — для ВУЗов, для корпоративных пользователей и т.п.

Есть различные сценарии проведения игр с разным числом участников и разными заданиями.

Есть своя система рейтингов и подсчета очков, которая позволяет проводить соревнования между студенческими группами или группами специалистов по ИБ в рамках одной компании или группы компаний.

Есть в Project Ares и развлекательные компоненты, например, «пасьянс «Косынка» на тему ИБ:

или аналог «Своей игры»:

или аналог «Змейки»:

Стоит отметить, что несмотря на игровой формат, Project Ares — это не обычная компьютерная игрушка. Это целая платформа для обучения специалистов по ИБ, использующая разные техники, вплоть до искусственного интеллекта, подстраивающегося под манеру каждого игрока и меняющего задания на ходу.

Но стали появляться и компьютерные игры, доступные каждому желающему. Например, на игровой платформе Steam скоро выпустят игру ThreatGEN: Red vs Blue, которая позволит множеству игроков попробовать себя в роли хакеров или защитников, не ломая реальные сети и системы, но оттачивая свои стратегические и тактические навыки, которые можно будет применять в реальной жизни (конечно, с оговорками). 
У этой игры будет несколько версий:
  • Red vs Blue. Игра для всех желающих на платформе Steam.
  • Red vs Blue Corporate. Настраиваемые сценарии игр для корпоративных тренингов.
  • Red vs Blue CTF. Соревнования команд.
  • Red vs Blue Tabletop. Игра для проведения штабных киберучений.
  • Red vs Blue Instructor Led Training.
Несмотря на громкое название заметки, я не ставил перед собой цель написать учебник или пособие по теории игр для кибербезопасника (все-таки я учил эту дисциплину в качестве факультатива, для себя лично, уже после окончания ВУЗа, и не могу сказать, что я в ней специалист). Скорее мне хотелось показать, что сегодня, в условиях непрерывно меняющихся технологий, атак, нормативки, и постоянно устаревающих знаний, подходы к обучению (в том числе и корпоративному) должны меняться. И геймификация, построенная на теории игр, является одним из инструментов решения этой задачи.
Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. Unknown

    Могу точно сказать, что сейчас во многих университетах на специальности информационная безопасность преподают подобные теории. В частности в моё время обучения 2011-2017 у нас целый семестр был отведен под это (разные теории, под теорию игр: введение было около 2 месяцев, затем на магистратуре изучали непосредственно модели математические).

    Ответить
  2. Сергей Борисов

    Так всетаки Теорию или Практику игр?
    Теорию игр преподают. А делать образование по ИБ в игровой форме — мало где применяется — в основном CTF.

    Ответить
  3. Алексей Лукацкий

    Сергей: теорию игр применительно к ИБ. А геймификация — это просто один из форматов

    Ответить
  4. Unknown

    Представляю. Космонавтам преподают "теорию игр".

    Ответить
  5. Александр Германович

    Вообще-то вузы сами не решают, что преподавать. ФГОСы спускаются сверху, и вуз учит тому, что написано в ФГОС. Инициатива у нас, как известно, наказуема.

    Что касается бизнеса, то он практически не участвует в формировании требований к специалистам по ИБ. Бизнес не формирует спроса на специалистов с определенными знаниями/умениями. Проще говоря, бизнесу до лампочки, что знает и умеет безопасник. Ну а коли так — он получает тех, кого заслуживает.

    Ответить
  6. Алексей Лукацкий

    В ФГОСе есть 10% самодеятельности насколько я помню. И есть факультативы

    А что касается бизнеса, то как показывает опыт, он предпочитает учить сам, создавая корпоративные университеты. Все лучше, что до МинОбраза достучаться

    Ответить
  7. Konstantin Malakhov

    Учился в МИРЭА с 2003 по 2009 года по специальности Прикладная математика. Теория игр была.

    Ответить
  8. Анастасия Гайя

    Этот комментарий был удален автором.

    Ответить
  9. Алексей Лукацкий

    Константин: мне не повезло. В 90-96 в МИРЭА на Примате этого не было. Было исследование операций

    Ответить
  10. ser-storchak

    Мне понравился подход, описанный в статье https://habr.com/ru/post/286114/

    Ответить
  11. Алексей Лукацкий

    О, хорошая тема. Спасибо

    Ответить