Практическое руководство по итогам анализа заявок прошлого года

Каждый год Call for Papers (CFP) на PHDays Fest собирает сотни заявок. В прошлом году их было 825 — и это хороший индикатор не только популярности фестиваля, деловую программу которого посещает несколько десятков тысяч человек, но и уровня конкуренции. При этом отклонено было более 500 заявок, а принято — лишь около трети от рассмотренных. Это означает простую вещь: качество заявки критично. Даже сильная тема может «не доехать» до сцены и быть отбракованной программным комитетом, если она плохо упакована.

Разберёмся, что именно влияет на успех заявки и как использовать опыт прошлого года себе в плюс. Тем более, что программный комитет фестиваля (люди, которые из всех присланных заявок выбирают лучшие для включения их в программу конференции) действуют вполне предсказуемым образом. Их задача — наполнить программу тем, что будет наиболее интересно и полезно слушателям.

Чтобы заявка показалась интересной — в ней должно совпасть несколько составляющих: новизна, значимость, полезность, а также правильно заполненная форма на платформе CFP. При этом последнему пункту уделяют мало внимания, забывая, что, не пройдя первичный фильтр программного комитета, до выступления дело может и не дойти.

Почему я решил написать об этом именно сейчас? Да просто именно в эту секунду идет приём заявок. Кто‑то давно хотел податься, но боится фиаско прошлых лет, кто‑то опасается делать это впервые, а кто‑то просто не уверен, что его тему ждёт аудитория фестиваля. Рассказываю, как повысить шанс попадания в список спикеров.

Что за PHDays такой

Возможно, дорогой читатель не в курсе, что за PHDays такой. Охотно расскажу. Positive Hack Days — это крупнейший и старейший российский ивент по кибербезопасности. Затеян он был давно (в 2011-м, если быть точным) как простейшие CTF‑соревнования, с тех пор проходит каждый год в Москве. В какой-то момент наш PHDays перерос статус форума и превратился в фестиваль Positive Hack Days Fest, где можно послушать умных и очень умных (другие здесь не ходят) спецов по кибербезу со всех уголков мира, поиграть, отдохнуть и понетворкать, посмотреть на знаменитую кибербитву Standoff on air, а потом — дискотека концерт с известными музыкантами на сцене. В прошлом году действо проходило в Лужниках, до этого — в Парке Горького. Пропускать такое нельзя, специалистам особенно. Скучно здесь не будет никому, тем более ещё и тепло: фестиваль проходит в мае.

Новизна

Нет смысла подавать заявку по теме, которая давно известна и описана в открытых источниках. Большинство посетителей PHDays, как правило, умеют читать, и смогут самостоятельно получить те же самые знания.

Если автор проделал большую работу по систематизации и упорядочиванию открытой информации, и хочет донести её результаты до слушателей в максимально эффективном виде — это, безусловно, благая цель, но оптимальное место для такой передачи знаний не на конференции, а в рамках обучающего курса. Ну, или можно написать серьезную статью, например, на Хабр, которую будут читать в спокойной обстановке, имея возможность в любой момент уйти в детали на любую глубину, а потом вернуться к основному тексту.

Значимость

Предположим, вы нашли 0-day (ведь найти его — это круто, да?), и хотите сделать об этом доклад в техническом треке фестиваля. У такой заявки ведь хорошие шансы попасть в программу? На самом деле — сильно зависит от объекта исследования. Потенциально им может быть практически что угодно. Но у разных объектов — очень разная значимость. Если 0-day был найден в очень популярном решении (операционной системе / браузере / мессенджере / …) — это касается миллионов людей и значимость будет большой. Если объектом исследования было что‑то редко используемое (или, вообще, специально разработанный образец, на котором удобно демонстрировать процесс и прогресс) — значимость окажется близкой к нулю. Такие исследования тоже имеют право на существование, но они опять скорее про обучение или про использование спецслужбами, а доступ к гостайне имеет очень мало посетителей PHDays.

Встречаются случаи, когда объект изучения сравнительно редкий (например, ПО для управления транспортом, энергетикой, связью), но предназначен не для персонального использования. И хоть число инсталляций в мире может измеряться десятками единиц или даже единицами, значимость темы для аудитории, вероятно, будет большой, ведь нарушение работы даже одной атомной электростанции может очень сильно повлиять на миллионы людей. Хотя в этом случае куратор трека точно поинтересуется, где вы изучали способы выведения из строя АЭС, и вам надо быть готовым ответить на этот вопрос. Значимость может оцениваться не только «в человеках», но и в деньгах. Ошибка в коде для устройства, существующего в единственном экземпляре, но летящего к Венере, вполне может обойтись в миллионы долларов… Так что подумайте об этом перед подачей заявки.

Полезность

Некоторые доклады (и статьи) построены так, что главной их целью оказывается демонстрация крутизны докладчика в духе «смотрите, какие крутые штуки я умею делать!». Такой подход ожидаемо вызывает вау‑эффект у неискушенной публики (аналогичное вызывает спортсмен, который может пробежать стометровку меньше, чем за 10 секунд). Но знание о рекорде никак не помогает нам его повторить. Поэтому на практических (не рекламных) конференциях принято рассказывать не «что» докладчик может делать, а «как» он это делает.

Даже если рассказать про найденный вами 0-day в Google Chrome (разумеется, после того как вендор закроет уязвимость, мы же за Responsible Disclosure!), и продемонстрировать работающий эксплойт, многому ли это научит слушателей? Аудитории гораздо интереснее будет узнать, каким путем исследователь шел к своей находке, какие тупиковые идеи он проверил до того, как нашел верный путь. Потому что попытаться повторить путь — вполне реально. А вот пытаться повторить результат, не понимая пути — почти без шансов… И да, вспоминать про обезьяну, которая может написать «Войну и мир» не нужно; мы эту байку тоже знаем.

Выбор трека – важнее, чем кажется

Одна из самых частых ошибок — выбор «удобного» или «модного» трека, а не подходящего по сути. По статистике прошлого года, а у нас было около 20 параллельно идущих треков:

  • Самыми перегретыми оказались треки AI Track, Defense, Offense, Fast Track и «Другое» — там процент отклонений доходил до 80–97%.

  • Наоборот, треки «ИТ‑инфраструктура», «Архитектура ИБ», «Devices & Technologies», «Школа CISO», «OpenSource&OpenSecurity» показали высокий процент принятия — от 63% до 84%. 

Практический совет. Если ваша тема допускает разные трактовки, попробуйте сформулировать её через архитектуру, инфраструктуру, практику внедрения или управленческий опыт, а не просто зачитайте «очередной доклад про ИИ или атаку». Например, не «Использование ИИ для обнаружения атак», а «Архитектура SOC с использованием ML: что реально работает в проде».

Формат имеет значение: Fast Track – не «короткий доклад»

Многие воспринимают Fast Track как «облегчённый вход». На практике это не так. По итогам проведенного анализа всех прошлогодних заявок оказалось, что Fast Track имел существенно более низкие средние оценки, чем классические доклады. Доклады на 50 минут принимались заметно чаще (около 37%) по сравнению с 15-минутными (около 22%).

Практический совет. Если у вас есть глубокий материал, кейс или исследование — выбирайте полноценный доклад. Fast Track стоит рассматривать только если у вас:

  • очень чёткая, ёмкая идея;

  • понятный вывод;

  • практический takeaway без необходимости долгих объяснений.

Кстати, в этом году мы решили отказаться от названия Fast Track, предложив всем участникам CFP три варианта длительности доклада — 15, 30 и 50 минут. Это, по мнению программного комитета (ПК), должно убрать сложившийся образ «скорострельных» докладов.

Аннотация и описание: не длина, а ясность

Иногда присланные заявки упоминают какой‑нибудь оригинальный и интересный предмет исследования, но совершенно не несут информации о том, что именно было сделано, и насколько детальным планируется рассказ. Условно, в заявке может быть написано «Расскажу о влиянии поэзии Евтушенко на производительность труда лесорубов Заполярья». А что именно будет рассказано? Как долго велись наблюдения? Сколько лесорубов участвовало в исследовании? Да и есть ли, вообще, в Заполярье лесорубы (ведь там не очень хорошо с лесами)? Если в заявке (а значит, и у программного комитета) нет ответов на эти вопросы — очень трудно будет принять положительное решение…

Но и распространённый миф: «чем длиннее описание, тем лучше» не работает; статистика это не подтверждает. Что реально работало:

  • Аннотация 150–300 символов, где чётко обозначена проблема и понятно, что слушатель унесёт с собой.

  • Описание 400–800 символов, структурированное, без «воды».

Не работали (и совсем не удивительно, почему):

  • маркетинговый язык;

  • абстрактные формулировки;

  • длинные тексты без фокуса (члены программного комитета — тоже люди и они ценят свое время).

Если автор понимает, чем именно его доклад обогатит слушателей, — пусть смело указывает это в заявке. Люди радостнее идут слушать доклад, если точно знают, чем он им будет полезен. А если четко сформулировать ценность для внешней аудитории автор не в состоянии… может, такую заявку, вообще, не надо подавать? Хотя желание включить в свое резюме выступление на PHDays понятно

Хороший пример логики аннотации:

«В докладе разберём, как мы строили защиту Kubernetes‑кластера в крупной распределённой инфраструктуре, какие архитектурные решения оказались ошибочными и что реально снизило количество инцидентов„.“»

Учитывайте новые тенденции в ИТ и ИБ

По сравнению с прошлым годом, при оценке заявок ПК всё больше внимания обращает на:

  • практику использования ИИ в реальных процессах, а не «магические возможности»;

  • устойчивость инфраструктуры и архитектурные решения;

  • secure by design, supply chain, open source‑риски;

  • управленческие и экономические аспекты ИБ, например, что можно сделать без денег и без профильных людей и что из этого критично;

  • почему ИБ нужна не всегда, а иногда проще заплатить, и почему (особенно актуально в бизнес‑треке для малого и среднего бизнеса). 

Это не значит, что все остальное будет отсеяно членами программного комитета. У каждого из них свое видение курируемых ими треков и тем, которые должны быть там отражены. Просто помните, что хорошо заходят доклады, где есть:

  • реальные ограничения, которые удалось обойти;

  • ошибки и неудачи;

  • как устроено;

  • выводы, применимые за пределами одной компании.

Глубина важнее популярности темы

Популярные темы — SCADA/OT, Mobile Security, AI/ML Security, Cloud Native — собрали в прошлом году больше всего заявок. Но это не значит, что они автоматически выигрывают. Анализ показал, что более высокая заявленная сложность (главное, адекватно оценивать этот показатель) коррелировала с более высоким средним баллом.

Доклады на одну и ту же тему могут иметь совершенно разную глубину погружения в детали, требовать умения работать с абстракциями разной сложности, а также наличия предварительных знаний в разных областях. Чем точнее эти нюансы будут отражены в описании доклада, тем больше шансов, что пришедший на доклад слушатель досидит до конца, а не уйдёт со словами «ничего не понятно» или «что за материалы уровня детского сада мне тут рассказывают»...

Наличие дополнительных материалов (черновик презентации, код, демо, репозиторий) повышало шансы. Строго говоря, добавление презентации не является обязательным для подачи заявки на PHDays. Но наличие презентации — это всегда плюс (с точки зрения эффективности оценки). Ну и идеальный случай — это комбинация из детального плана и презентации. Эксперт, оценивающий такую заявку, не испытывает необходимости гадать, «что хотел сказать автор», и сможет сразу определить новизну, значимость и полезность.

Биография спикера — это не формальность

Одна из самых болезненных точек прошлого CFP — биографии. Что реально происходило? Пустые или формальные биографии резко снижали шанс принятия. Около трети принятых заявок имели развёрнутые биографии, среди отклонённых — лишь около 20%. Часто встречались плейсхолдеры вроде «добавлю позже» (мало кто добавлял) — и это почти гарантированный минус.

Что должно быть в биографии, чтобы поднять шансы на успешное прохождение базовых фильтров программного комитета:

  • роль и зона ответственности;

  • релевантный опыт;

  • контекст, почему именно вы можете об этом рассказать. 

Не нужно писать резюме на две страницы, но 2–4 содержательных абзаца — это must have. Иногда именно они могут склонить чашу весов в пользу «Да» вашему докладу, чем длинное и бессвязное описание в заявке.

Если у вас есть опубликованные статьи или доклады по близкой теме (особенно важно это для технических треков) — хорошо бы дать ссылки на ресурсы, где эти публикации можно изучить. В крайнем случае сгодятся точные выходные данные (год, мероприятие, название публикации). «Автор трёх CVE» и «спикер крупнейших конференций» — не очень информативно. Может, автор выступал на конференции по микробиологии, а заявляется с докладом про взлом iPhone… Разумеется, если имя докладчика Брюс Шнайер или Нассим Талеб, предыдущие публикации и выступления можно не указывать:)

Время подачи заявки — не так критично, как кажется

Интересный вывод прошлого года: корреляции между датой подачи и средним баллом «нет». Да, пики заявок приходились на:

  • конец января (после первого напоминания);

  • конец февраля — начало марта (после продления сроков).

При этом поздние заявки даже принимались чуть чаще, вероятно, потому что авторы уже лучше формулировали свои идеи. Поэтому не стоит спешить с сырой идеей «ради ранней подачи». Лучше подать заявку чуть позже, но хорошо проработанную. С момента объявления CFP прошел уже месяц, так что можно и поторопиться

Чего лучше избегать

  • Канцеляризмы и наукообразие. Слишком формальный и/или слишком научный язык — это «минус». Нормальные люди так не общаются, а мы делаем мероприятие для людей.

  • Вульгарность и панибратство. Противоположности в духе «браток, сейчас я расскажу, как отпупырить Пентагон» — тоже «минус». Они подходят только для весьма специфической аудитории, а слушатели PHDays очень разные… А вдруг нас посетят сотрудники Пентагона?

  • Прямая и скрытая реклама продуктов и услуг. Если кто‑то планирует рассказать, как классно решил какую‑то проблему при помощи продукта X компании Y — это выглядит как «джинса», и в сетку докладов такая заявка“ скорее всего“ не пройдёт. Если автор заявки работает в компании Q, специализирующейся на развитии технологии N, и хочет рассказать «о самых последних достижениях» в этой области — это тоже разновидность скрытой рекламы. Почти наверняка описания всех этих «достижений» можно найти в маркетинговых материалах компании Q, а значит, никакой новизны в них быть не может…

  • Написание заявки при помощи ИИ. Если ИИ может придумать красивое описание доклада, вряд ли такой доклад содержит что‑то уникальное… И, скорее всего, другой ИИ сможет подсказать программному комитету, что «описание составлено при помощи ИИ». Наивно считать, что в программном комитете мероприятия, в котором есть и треки по ИИ, сидят глупые люди.

Краткий чек-лист перед отправкой заявки

Перед нажатием кнопки «Отправить» задайте себе вопросы:

  • Я точно выбрал правильный трек?

  • Понятно ли из аннотации, о чём доклад и зачем на него идти?

  • Это действительно интересно хотя бы нескольким сотням человек (залы у нас большие)?

  • Есть ли в описании конкретика, а не общие слова?

  • Выглядит ли моя биография живой и осмысленной?

  • Понимаю ли я, чем мой доклад отличается от десятков похожих? 

Если на все вопросы вы отвечаете «да» — шансы у заявки хорошие.

PHDays Fest — это не конкурс красивых формулировок. Это отбор идей, опыта и практики, которые действительно двигают индустрию вперёд. И хорошо оформленная заявка — первый шаг к тому, чтобы этот опыт оказался на сцене.

Call For Papers в самом разгаре — торопитесь! И удачи!