Например, ИБ-игрушка Security Parashoot, которая является не просто «стрелялкой» или «арканоидом», а позволяет легко донести правильные вещи в области парольной политики на предприятии, лучших практик, техник атак, защиты узлов, юридических вопросов и др. А набор баллов добавляет в игру соревновательность и желание набрать как можно больше очков. Такая игра может быть внедрена как один из элементов программы повышения осведомленности рядовых сотрудников.
 |
| Игра Security Parashoot — http://game.inverra.com |
Другой пример — известная игра «Phishing Phil«, которая была разработана при Университете Карнеги Меллона. Задача игры — научить пользователей распознавать фишинговые ссылки. Первая версия игры свободно доступна в Интернете, а вот ее навороченный вариант вошел в состав коммерческой платформы для обучения вопросам ИБ, разработанной компанией Wombat Security.
 |
| Игра Phishing Phil |
Кстати, Wombat Security, — не единственная компания, которая специализируется на новых технологиях обучения вопросам ИБ. Есть еще одна компания, специализирующаяся в области геймификации ИБ — Apozy.
Пример более стратегической игры — Net Invaders. Кто играл на iOS или Android в Tower Defense (я часто коротал в нее время; особенно в самолетах), тот знает, что в этой игре задача защитить башню от стремящейся к ней врагов, выставляя различные виды оружия на их пути. Неправильный выбор оружия приводит к тому, что враги проникают в башню и захватывают ее.
 |
| Игра Net Invaders |
В Net Invaders таже идея, только вместо башен надо защитить ЦОД, офис и мобильное рабочее место, а вместо пушек, скорострельных луков и «морозилок» нужно использовать средства защиты — МСЭ, средства борьбы с вредоносным кодом и т.п. Эта игра уже больше рассчитана на изучение различных инструментов защиты в зависимости от исходящей угрозы. Полученные баллы можно потратить на новую защиту или подключение облачных сервисов Threat Intelligence.
 |
| Игра Net Invaders |
Что дают такие игры? Немало. Мотивацию, обучение, укрепление команды (для командных игр), стимуляцию развиваться, лояльность, изменение поведения… Все это то, что обычно так не просто получить в рамках традиционного обучения вопросам ИБ.
Приведенные выше примеры интересны, но есть и свои «Олимпы» в этой области. Например, инновационная игра CyberCIEGE для изучения концепций сетевой и компьютерной безопасности. По сути это комбинация SimCity и ИБ. Вы симулируете реальную жизнь — покупаете железо и софт, конфигурируете его, продаете, следите за бюджетом. А ваши пользователи при этом совершают ошибки, попадают на удочку хакеров… Ваша задача — защитить свою виртуальную компанию от различных «кибер-напастей». В игре присутствуют различные заранее подготовленные сценарии, которые облегчают вашу игру и позволяют тренировать те или иные навыки в области ИБ.
 |
| Игра CyberCIEGE |
Почему это работает? Причин много. От банальных «прикольно», «что-то новое» до «мне нравится соревнование», «люблю challenge», «мне нужна мотивация». У каждого человека своя причина, но результат один — вовлеченность с последующим получением нового знания и нового опыта. Именно поэтому, по версии Gartner, свыше 70% глобальных компаний из Топ2000, должны уже иметь хотя бы одно приложение-игру.
«Парашют», «Фил», «Захватчики сети»… Это интересно, но это не командные игры. Они рассчитаны на одиночек, которые будут играть по своим мотивам. В корпоративной же среде, особенно когда сотрудников много, нужны немного иные методы стимулирования работников играть, играть и еще раз играть. У нас в Cisco выделили несколько таких стимулов, которые заставляют сотрудников стремиться играть и выигрывать:
- переход на новые уровни
- строка достижений
- награды
- виртуальная валюта
- репутация
- таблицы лидеров
- доска почета.
Когда все вокруг видят, что ты «крут», то это стимулирует тебя поддерживать свой уровень, а других «догнать и перегнать». Именно этот принцип позволил нам обучить свыше 20 тысяч инженеров и разработчиков Cisco по вопросам информационной безопасности. Данная программа, получившая название «Cisco Security Ninja», позволила быстро внедрить процесс безопасного программирования в жизненный цикл разработки ПО Cisco (CSDL). Для этого было создано виртуальное додзё, то есть место для проведения тренировок и аттестаций в области ИБ.
 |
| Додзё безопасности Cisco |
Додзё — это японский термин, используемый в боевых искусствах Японии, в том числе при подготовке ниндзя. Как и в настоящих боевых искусствах, каждый прошедший определенную программу обучения и сдавший экзамен, получает «пояс» (их пять), который олицетворяет статус сотрудника. Этот статус можно продемонстрировать по-разному — получить соответствующий бейдж, включить в подпись e-mail соответствующую иконку, включить иконку в корпоративный справочник и т.п.
Но я не буду сейчас глубоко погружаться в программу Cisco Security Ninja. Во-первых, заметка носит обзорный характер, а, во-вторых, я планирую более подробно написать про нашу программу геймификации вопросов ИБ — там есть, чему поучиться. А пока…
Еще один жанр, видео-квест от TrendMicro http://targetedattacks.trendmicro.com/rus/index.html Интересно, есть ли что-то подобное для реального обучения ИБ? И насколько это эффективно?