В прошедшую субботу, 28 ноября, в Петербурге проходил финал необычного и непривычного соревнования — кейс-чемпионата по информационной безопасности, который организовал RISC — Russian Information Security Club. Кейс — это, грубо говоря, пример из какой-либо сферы деятельности, для которого либо уже имеется готовое решение (лучшая практика), либо есть понимание о том, каким решение может быть, либо же это решение ещё нужно найти. Кейсовый подход (case-study) крайне распространён в бизнесе, разработке, дизайне, на нём построено огромное количество деловой литературы и обучающих семинаров. Можно сказать, что кейс — дитя своей эпохи, требующей быстрого поиска достойных решений и оперативный обмен ими между членами определённого профессионального сообщества.
Студенческий чемпионат по информационной безопасности в формате case study проходит уже второй год, и если в прошлом году участие приняло 38 команд из вузов России, то в этом — уже 101. Проходит чемпионат при поддержке Университета ИТМО и таких компаний как Acronis, «Альтирикс Системс», «ОКБ САПР», Deiteriy и других компаний.
Энтузиасты, организовавшие товарищество специалистов по информационной безопасности и профессиональные соревнования для студентов, рассказали нам, почему кейсы могут стать ответом на постоянно углубляющуюся пропасть между запросами рынка и знаниями, полученными в вузе. Это идеолог чемпионата и основатель RISC Мария Сидорова и член организационного комитета Михаил Орешин.
Всё началось с того, что к нам подошли студенты и спросили, можно ли в принципе совместить в соревновании бизнес-опыт и обучение. Когда мы эту идею приняли, мы совершенно не представляли, как это будет выглядеть в итоге — над самим форматом мы начали работать уже в процессе подготовки к чемпионату.
Да и сама жизнь подсказала необходимость такого формата. Во многих вузах есть кафедры, которые обучают информационным технологиям. Возьмём в качестве примера информационную безопасность. Это смежная специальность на стыке нескольких дисциплин, и многие студенты жалуются на то, что учат их одному, а когда они приходят уже работать, им не хватает практики. Вот как раз кейсы и дают возможность сориентироваться в запросах реальной жизни.
Кстати, составителям кейсов в этом году нужно отдать должное — они специально заложили несколько «мин», таких вопросов, которые совершенно не относятся к сфере информационной безопасности, и рассчитаны на то, чтобы студент сумел отделить область своей ответственности. Например, специалист по информационной безопасности совершенно не обязан заниматься учётом рационально используемого времени, это сфера ответственности HR. Или ещё пример: один из кейсов был построен вокруг киностудии. А что такое киностудия? Это, как правило, коллектив творческих людей, к которым совершенно неприменимы принципы субординации, которым учат в вузе. Такой кейс — напоминание о том, что технический специалист работает вовсе не с техническими средствами, не с антивирусами какими-то и системами защиты, а в первую очередь с людьми. Во вторую очередь — с процессами. И только в третью — с техническими средствами. И это ошибка всех команд — все они в первую очередь решают проблемы технического характера.
Наверняка именно потому, что их этому учат?
Михаил: Во-первых, потому что их этому учат. А в целом это большой вопрос ко всем игрокам рынка информационной безопасности. Студенты не должны впитывать весь тот маркетинговый мусор, которым производители корпоративных продуктов кормят заказчика. Это производителю нужно напугать закачзика как следует, чтобы он убедился в необходимости такого продукта. Студентам нужно учиться фильтровать эти презентационные речи, рассчитанные на конкретную целевую аудиторию; студентам нужно знать, что всё, что рассказывают на каких-то официальных мероприятиях по информационной безопасности — это совсем не то, с чем им придётся потом работать.
Хороший комикс о том, что технические средства часто проигрывают.
Источник: xkcd.ru
А давайте поговорим подробнее про кейсы этого чемпионата?
Мария: Финальный кейс был один — как раз про киностудию. Просто кто-то обращал внимание на специфику заказчика в кейсе, а кто-то это пропустил.
Михаил: Да, и те, кто пропустил, дошли в своих решениях до цитирования федеральных законов, и им пришлось напоминать, что они находятся не в условиях суровой промышленной компании, не с майорами-полковниками работают, что нужно смотреть, что критично и важно именно для этой организации.
Отсюда возникали и стандартные решения, неприменимые в случае кинокомпании. Например, почти все команды рекомендовали отрубить в целях безопасности все социальные сети. В современной кинокомпании это невозможно — им нужно скидывать ролики и трейлеры, работать со своей аудиторией, очевидно, что невозможно им запретить социальные сети. Или вот ребята из Зеленограда, которых учат защищать режимные объекты вроде атомных электростанций, предложили и мобильные телефоны запретить. Пришёл-сдал-ушёл-получил. Прикольное, конечно, решение, но от жизни весьма далёкое. Работа киностудии просто встанет от таких безопасников.
А кто придумывал вам кейс?
Мария: В онлайне у нас проходил отборочный тур для команд. Кейсы для него, как и для финального, составляли действующие директора по информационной безопасности крупных компаний…
Михаил: Причём из самых разных сфер — и розничной торговли, и интернет-компаний, и банков, и промышленного сектора. И вот благодаря тому, что собрались такие практики, в финале их стараниями и получился такой живой кейс из реальной жизни с подводными минами.
А много кто из ребят обнаружил эти мины?
Михаил: Пока ни один не смог.
Почему задачи решаются в течение такого ограниченного времени — 45 минут?
Михаил: Сложно назвать это ограничением. 45 минут — даже многовато, с запасом. Ведь что там нужно сделать: сесть, внимательно прочитать условия, подумать, обсудить со своими коллегами по команде, распределить роли. Всё-таки цель финального тура — смоделировать реальный запрос от заказчика и необходимость работы в условиях дедлайна, когда тебе никто не даст времении на особые раздумья и нужно умение взаимодействовать в коллективе.
Мария: Вообще время на решение распределяется примерно так: 5-7 минут на обсуждение, остальное — создание презентации. На отборочном этапе, где на решение кейсов выделяется три дня, есть время на глубокую проработку. Здесь же этого не нужно.
Можете ли вы громко заявить, что студентов учат не тому, чему нужно?
Михаил: Нет. Учат их тому и учат их нормально, просто не хватает реальной практики.
Мария: А практику мы сделали краеугольным камнем нашего чемпионата. Кейсы составлялись действующими безопасниками. В жюри сидят исключительно безопасники. Студентов судят именно те люди, которыми они хотят стать в будущем.
Михаил: В целом российское образование, даже очень хорошее, славится своей теоретизированностью. Даже в Бауманке как любят прочитать целую лекцию, а потом уже, где-нибудь ближе к концу, сказать пару слов о том, где это всё можно применить. Нужно иметь шизофрению достаточно тяжёлой формы, чтобы из этого огромного материала что-то вычленить реально работающее. Это вообще всех вузов и всех специальностей касается, не только информационной безопасности.
И что с этим делать? Ведь просто так ситуацию не исправить, требуется серьёзное переформатирование всего образовательного процесса в высшей школе.
Мария: Самый очевидный выход — привлекать специалистов в вузы. Мы проводим в качестве эксперимента открытые лекции в вузах. Просто приходим и говорим: а давайте мы у вас открытое занятие проведём?
Михаил: В одном из московских вузов в прошлом году был первый набор на кафедру информационной безопасности — государственная система предотвращения и обнаружения кибератак. Кафедра работала совместно с ФСБ. У всего потока было два куратора — один от вуза, второй от ФСБ. ФСБ как раз и выполнял роль того, кто лучше знает, какие специалисты им нужны. Понятно, что не каждая компания может себе позволить работать в такой тесной связке с будущими кадрами, но в принципе такая работа заказчика с вузами возможна.
Кейсы — тоже возможность. Один кейс отрешал, второй кейс отрешал, десятый, получил отклик от жюри — и ты уже имеешь представление о том, что на самом деле нужно в жзни.
А каковы принципы составления хорошего кейса?
Михаил: Кейс — это интересная и неоднозначная вещь; как раз потому, что это вещь из жизни. В кейсе очень мало нужных условий, необходимой информации в нём не хватает. При этом в нём полно лишних, отвлекающих внимание деталей. Как в жизни это происходит? Вызвал директор, сказал: «Так, давай устрой тут, чтобы всё было безопасно, свободен, иди разбирайся». Вот и делай что хочешь в такой ситуации.
Мария: Конечно, в кейсе даётся та информация, без которой кейса не решить — информация о штате компании, роде её деятельности, структуре подразделений.
Ещё раз обращу внимание на то, что очень наши студенты любят техническую составляющую. В прошлом году студенты выходили защищать свои решения, и все они выглядели примерно так: нужно обязательно DLP, потом антивирусник, VPN, куда же без него. А мы так ждали, что кто-то скажет о внедрении лучших практик, о том, как организовать процессы, как при этом подумать о потребностях людей, работающих в штате… Мы их спрашиваем: ну установили вы тут всё, а как же рабочие-то процессы? Как люди? А они: «А что, мы же тут всё перекрыли, все входы-выходы, дело сделано!».
Б = Безопасность
Источник: pikabu
Вот типичная проблема информационной безопасности в компании — мотивировать пользователя блокировать свои устройства, когда они покидают свои рабочие места. Можно и просто в инструкции прописать, но это не работает. Можно использовать токены — ключи безопасности, которые нужно вытаскивать, когда тебе нужно выйти из-за компьютера. Но и это точно так же не сработает, человеческий фактор — беспощадная вещь. А я на своей практике столкнулась с очень элегантным решением такой проблемы. В одной компании сотрудник, выходя в туалет, постоянно забывал вытащить токен из своего компьютера. Тогда мы поставили считыватель на выходе из туалета. Будьте уверены — хоть раз оказавшись в такой безвыходной ситуации без токена, человек впредь не будет забывать его забирать с собой. Конечно, такое решение реализуемо в крупной компании, где есть финансы на подобные эксперименты.
А студенты сами что думают о таком формате чемпионата?
Мария: Основное из понравившегося, что отмечают ребята — это общение с практиками. Обычно же так просто не подойдёшь к безопаснику крупной фирмы, не поговоришь, а тут они целый день тебе посвящают. Кому такое не понравится?
Михаил: Да и, в общем говоря, это же студенты, им в целом круто здесь — приехали в Питер, погуляли, потусили, делом занялись…
В целом кейсы — очень полезная вещь. В процессе обучения в университете получаешь много теоретических знаний, а вот практического опыта не хватает. Здесь то и приходят на помощь подобные кейс-чемпионаты. Они дают бесценный опыт, который важен для любого специалиста. Единственный на мой взгляд минус — это время, отведённое на решение. 45 минут хватало, но для более детальной проработки решения и подготовки к его презентации я бы добавил еще 15 минут.
А уровень по России очень разный? Или всё же зависит от конкретной кафедры в конкретном месте?
Михаил: Всё-таки зависит от кафедры, а не от географического расположения и не от престижности вуза. В Екатеринбурге, например, сильная кафедра, в Новосибирске. Так что нет такого — мол, Москва и Петербург впереди планеты всей.
Мария: Да что говорить, первый наш чемпионат выиграла команда из Удмуртии. Не Москва и не Питер. Сами ребята из команды после победы говорили, что приехали, как говорится, на мир посмотреть, и не ожидали даже тягаться со столичными командами. А победа дала студентам уверенность в своих знаниях, в своём университете.
Если сравнивать результаты даже отборочного тура этого года и прошлого, можно увидеть, что те команды, которые прошли в финал в прошлом году, в этом году не прошли. В чём дело? Выборка увеличилась с 38 команд до 101 — нашлись те, кто решает лучше.
Команда победителей: TeamVolk (ИТМО)
Источник: RISC
Пока что нельзя сказать, что решение кейсов стало обычной практикой в образовательном процессе. Но олимпиады, чемпионаты и конкурсы — хорошая ниша для такого подхода, который, возможно, со временем придёт и в вузы и изменит ставшую традиционной фундаментальность российского образования и оторванность его от реальной практики.
