Каждый год все сотрудники Министерства обороны США проходят обязательное обучение по кибербезопасности. На практике это просто еще одна скучная формальность: пролистал, прокликал «далее», получил галочку - и пошел дальше работать.
Но если не спешить и пристально присмотреться к тому, что именно предлагает это обучение, можно найти много интересного, странного и нелогичного. Перед тобой вдруг появляется полноценная… игра. Очень специфическая игра. Со странным сценарием, запоминающимися персонажами и с большим количеством несостыковок. Давайте разбираться.
Для чего вообще проводят такие тренинги?
Военные, бюрократы и айтишники - всё это сотрудники Department of Defense (DoD). Многие из них имеют доступ к защищённым системам, секретным базам и важным сетям. Поэтому крайне важно, чтобы каждый из них знал базовые правила цифровой гигиены - от грамотного обращения с почтой и ссылками, до защиты паролей и критичного отношения к подозрительным действиям на рабочем месте.
На практике человеческий фактор - одна из главных причин утечек, взломов и фишинговых атак.
Согласно исследованию, до 74% кибератак происходят из-за человеческого фактора - а не исключительно из-за уязвимостей кода или систем. Исследования показывают, что многие инциденты - это результат фишинга, социальной инженерии, случайных кликов, слабых паролей и невнимательности, а не «дыр» в софте. Ошибка обычного сотрудника может обернуться гораздо хуже, чем баг в программном обеспечении. Такой подход - попытка снизить реальные риски через массовое повышение киберграмотности.
Регулярные тренировки и повторное обучение (security awareness training) значительно снижают риск: в долгосрочном исследовании, участники, которые проходили повторные simulated-атаки и тренировки, вдвое реже становились жертвами фишинга через шесть месяцев.
Дисклеймер
Материал основан на публичной версии DoD Cyber Awareness Challenge (2013–2018) и видео-разборе Justin Taylor "The Government's Confusing Cyber-Fantasy Lore".
Перейдем же к самой игре.
Ты играешь за слегка странного мужчину, который приходит на свой первый рабочий день в правительственную организацию. Твой персонаж никогда не говорит, поэтому, за молчаливого протагониста, сразу минус в копилку геймдизайнеру.
В начале, голос в твоей голове объясняет, как пользоваться HUD, который, видимо, встроен в сетчатку твоего глаза. Или же это Apple Vision Pro.
Несмотря на то, что это твой первый рабочий день, на компьютере уже пять файлов с одинаковым названием FOUO - второй минус геймдизайнеру, в Windows нельзя назвать файлы в одной папке одинаково. А сама идея называть папки просто FOUO (For Official Use Only), и не обозначить хоть минимальное назначение файлов, выглядит как будто их создал психопат.
Ты узнаешь, что правительство в последние месяцы столкнулось с ростом кибератак, и тебе нужно убедиться, что эти "неопределенно названные файлы" точно не попадут в руки злоумышленников. Голос в твоей голове представляет первого NPC - Джеффа, твоего босса (или же Security Point of Contact).
Далее игра знакомит тебя с первой механикой подсчета очков: если ты делаешь выбор, который помогает защититься от кибератак, дают очки синего цвета, а плохие решения помогают таинственным хакерам в масках (почему-то без вырезов для глаз) зарабатывать свои очки - красные. Если вы профессионал своего дела и на все предложенные челленджи ответите правильно, то сможете набрать 3550 очков - третий минус геймдизайнеру - это просто произвольное число, которое меня очень раздражает.
После этого тебе дают памятку, как этично использовать свой государственный компьютер!
Мне не очень понятно, почему "играть в игры в нерабочее время можно только если вам разрешила организация", но при этом пустить всю зарплату в казино, мне запрещено в принципе. Но не суть, зап��ет подключения USB-подогревателя кофе сразу дал понять, что мы в literally 1984.
Затем нас резко прерывает новый NPC - Тина, которая, как хороший коллега, приветствует тебя, нового сотрудника и сообщает, что в офисе любят слушать музыку через MyTunes, и ты тоже должен это делать. Игра дает два варианта диалога, и варианты даже хуже, чем в Fallout 4:
Либо сразу скачать MyTunes, либо вежливо отказать, причем оба варианта не подразумевают ответ на приветствие.
«Привет, новый коллега, хочешь послушать музыку?» - и ответ «Нет, спасибо».
Безумный диалог, но мне такое нравится.
Если вы послушный гражданин и не будете ничего скачивать - получите 25 очков. Тина же возвращается с предложением сыграть в игру, которую разработал Марк - ваш коллега. Надеюсь там можно будет грабить корованы - подумал я.
Но ты помнишь памятку и играть тебе не разрешали - вежливо отказываем. Еще 25 очков у нас в кармане. Да еще и трофей дали, огонь!
Вдруг звонит телефон, ты всматриваешься и видишь, что номер звонящего - скрыт. Человек в телефоне представляется как Кевин из IT, что активирует твое паучье чутье.
После чего Кевин просит твой IP - но ты не дурак и сразу звонишь и докладываешь об этом Джеффу и получаешь еще 50 очков!
Затем слышен громкий стук в коридоре: солдат забыла свой ID и просит впустить ее. Что ты делаешь? Конечно же звонишь и сообщаешь об этом Джеффу и возвращаешься обратно за стол. Она пусть подождет. Еще 50 очков в кармане.
Какой-то моряк поднимает, рядом с твоим рабочим местом, диск и спрашивает не твой ли он. Вместо нормального ответа, ты отвечаешь: "Я отказываюсь запускать этот диск на своем рабочем компьютере!". Эх, Дядя Сэм может гордиться тобой, солдат.
Моряк, как любой нормальный человек отвечает, что тогда просто оставит диск на твоем столе, вдруг тот кто его уронил найдется. Но ты сразу же звонишь Джеффу и зарабатываешь еще 25 очков.
Теперь, Джефф вызывает тебя в офис, где очень убеждающий график показывает рост кибератак, и твоя задача - их остановить.
Ты возвращаешься на свое рабочее место, напомню, что к этому моменту было выполнено 0 рабочих задач. И твоя коллега зовет тебя на ланч! Срабатывает паучье чутье?...
Из вариантов я попробовал все. Я ее игнорировал. Затем снова попытался позвонить Джеффу и сообщить ему - "Женщина говорит со мной!", но тут уже четвертый минус геймдизайнеру, есть только один выход. И игра заставляет меня идти на ланч.
В кафе странный мужчина в модном свитере просит одолжить телефон, чтобы проверить свою почту - ты коллегам по работе доверять не можешь, а тут какой-то парень. Конечно ты отказываешь и получаешь еще 50 очков.
Вместо того чтобы душевно пообщаться за приемом пищи с коллегой, ты как истинный айпад-кид сразу же включаешь видосик под который будешь кушать. Жизненно.
Настолько интересный ролик, что ты не замечаешь, как мужик спер твою мобилу! Вместо того, чтобы встать и как нормальный человек решить вопрос раз на раз, ты сидишь втыкаешь в стол и продумываешь свой следующий шаг.
Какой у нас есть выход из этой ситуации - звоним Джеффу, конечно же. Мужик в итоге ушел с нашим телефоном.
После этого ты возвращаешься за свое рабочее место и вместо хоть какой-то рабочей деятельности, идешь играть в пародию на кто хочет стать миллионером и какую то визуальную новеллу про трех поросят и большого кибер-волка
После чего тебе дают поиграть в point-and-click игру, где тебе нужно на заваленном всякими вещами столе найти предметы, предоставляющие угрозу безопасности, по подсказкам.
Тебя наконец возвращают за твой стол и весь остаток дня ты проводишь отвечая на миллион звонков от женщин пытающихся заполучить информацию о тебе и, распознавая скам письма.
Затем Джефф зовет тебя в офис и говорит, что уровень кибератак на минимуме! Снова очень впечатляющий график.
Также Джефф показывает тебе новость о том, что благодаря твоим действиям (нагрубить Тине и посидеть в айпаде на ланче) задержали крупного киберпреступника.
Но меня смущает одна деталь. Обратите внимание на ссылку откуда Джефф показывает нам эту новость. Он использует http вместо https. Наш глава отдела безопасности, который сам говорит не переходить по ссылкам без https, в наш первый же рабочий день нарушает правила. Что-то тут явно не так, но я не могу этого доказать...
Нас телепортирует домой, и мы сразу же садимся за компьютер. Как реалистично.
Игра сообщает нам, что нам необходимо зарегистрироваться на конференцию, которая состоится уже завтра! Мы вбиваем в поиск DC Security Office и переходим по первой же ссылке...
Мало того, что кнопка регистрации с неотцентрированным текстом и несколькими восклицательными знаками - что явно не внушает доверия. Так мы снова сидим на странице без https!
Но не переживайте, зато нам дадут целых 50 очков, за то что мы откажемся им давать данные куки и свою кредитную карту!
После этого, голос в голове открывает новость - из за того, что мы смогли остановить крупного киберпреступника, военный дрон армии США смог выполнить свою миссию!
Если приглядеться к дате новости, можно увидеть, что она датирована 18 октября 2013 года. Если посмотреть реальные новости за эту дату, то мы можем найти материал о том, что именно в этот день дрон ЦРУ совершил атаку, которая привела к жертвам среди гражданского населения.
Что-то явно тут не то, но ладно.
На этом обучение заканчивается и ты получаешь свой заветный сертификат об успешном прохождении!
В итоге это обучение оставляет ощущение, будто тебя целый день бросало между странными диалогами, абсурдными сценариями, подозрительными NPC, графиками и возможностями не делать рабочие дела.
Формально - да, ты прошёл кибербез тренажер. Неформально - ты участвовал в каком-то эксперименте по геймификации рабочего дня, где твое главное оружие - кнопка «позвонить Джеффу».
Но главная проблема этого тренажёра - не в странных NPC и не в абсурдных ситуациях. Иногда это даже весело.
Он учит одной универсальной реакции: не думать, а эскалировать. Любая ситуация: звонок, диск, коллеги, ланч - решается одинаково: «позвони Джеффу».
В реальной жизни такой подход не формирует киберграмотность, а заменяет её зависимостью от авторитета. И если «Джефф» в какой-то момент ошибется (а судя по его нарушению собственных правил, он уже ошибся) вся система рассыпается.
Справедливости ради, идея «учить через игры» сама по себе хорошая. Реализация оставляет желать лучшего, но наверное какие-то полезные выводы после прохождения такого обучения сделать можно.
Это версия игры использовалась с 2013 по 2018 год. Затем вышла новая - если вам понравится материал, обязательно сделаю вторую часть.
Спасибо за прочтение!
Статья поддерживается командой Serverspace.
Serverspace — провайдер облачных сервисов, предоставляющий в аренду виртуальные серв��ры с ОС Linux и Windows в 8 дата-центрах: Россия, Беларусь, Казахстан, Нидерланды, Турция, США, Канада и Бразилия. Для построения ИТ-инфраструктуры провайдер также предлагает: создание сетей, шлюзов, бэкапы, сервисы CDN, DNS, объектное хранилище S3.
IT-инфраструктура | Удвоение первого платежа по коду HABR
