Журнал "Information Security/ Информационная безопасность" #6, 2025

процессе соревнований. Возвращение таких игроков в роли обычных участни- ков делает исход соревнований пред- сказуемым и снижает мотивацию осталь- ных. Поэтому для них предусмотрен переход на следующий уровень – раз- работка заданий для всех команд и соперничество с другими победителями прошлых лет. Условно это можно назвать "высшей лигой". На этом роль "высшей лиги" не закан- чивается. Она же обеспечивает инфор- мационную безопасность самих игр. CTF проводятся на специализированной онлайн-платформе, доступ к которой получают все зарегистрированные участники. Попытки атаковать эту инфраструктуру извне – явление регу- лярное, и защита платформы становится еще одним, фактически пятым этапом соревнований. Здесь уже происходит противодействие реальным злоумыш- ленникам. Таким образом, CTF моделируют прак- тическую работу специалистов по тести- рованию на проникновение, последова- тельно усложняя задачи – от анализа кода до отражения реальных атак. Несо- мненно, это интеллектуальные игры, требующие глубоких знаний в области информатики, математики и смежных дисциплин, значительно превосходящих школьный уровень. Освоить их можно только через самостоятельную работу с большими объемами информации и раз- витие практических навыков. Использо- вание ИИ как костыля здесь попросту не работает. Формат CTF резко ограничивает возможность применения ИИ. Задачи не повторяются, каждый раз они уни- кальны, что затрудняет алгоритмиза- цию решений. Да, известные уязвимо- сти могут быть описаны в открытых источниках, и теоретически ИИ может быть использован. Однако по завер- шении игры команды публично пред- ставляют жюри свои методы решения. В такой среде признание в использо- вании ИИ скорее подорвет репутацию, чем принесет очки. Сам дух CTF ори- ентирован на личную экспертизу и мышление. В состав жюри обычно входят пред- ставители подразделений ИБ крупных компаний, которые организационно и финансово поддерживают игры и используют их как инструмент под- бора кадров. Игры CTF проходят под эгидой АРСИБ – профессионального сообщества, ориентированного на обмен опытом и подготовку новой смены специалистов. Важно и то, что CTF не привязаны к конкретному ведомству или вузу. Это создает здоровую конкуренцию между школами и университетами, стимулирует обмен опытом и развитие образова- тельных методик. Финансовые сложно- сти при этом компенсируются интересом бизнеса к квалифицированным кадрам. Выводы для системы образования В последние годы возрастает риск фальсификации результатов обучения с использованием ИИ. В наибольшей степени этому подвержены традицион- ные форматы – лекции, практические занятия и особенно домашние задания. При этом действует простая закономер- ность: чем выше степень личного прак- тического участия обучающегося в моде- лируемой профессиональной деятель- ности, тем ниже возможности подмены реальных навыков средствами ИИ. В наименьшей степени фальсификации подвержены формы обучения, основан- ные на практико-ориентированной игро- вой деятельности. Не случайно гейми- фикация уже стала устойчивым образо- вательным трендом. В этой логике целесообразно сокра- щать объем лекций как формы передачи информации, сохраняя при этом опорные знания – ключевые вопросы и структуру материала, которую должен освоить обучающийся. Часть лекционного кон- тента может быть заменена самостоя- тельной работой по поиску и изучению материалов в соответствии с заданными вопросами. Принципиально важно, чтобы такая самоподготовка проходила в сте- нах учебного заведения и при участии преподавателя – для консультаций и кор- ректировки траектории обучения. В фор- мате неконтролируемых домашних зада- ний это не работает. На данном этапе использование ИИ и открытых источни- ков вполне допустимо и оправдано. Проверку усвоенных знаний логично переносить в формат практических заня- тий. Здесь оценивается полнота прора- ботки материала и формируются навыки, опирающиеся на полученные знания. ИИ может применяться и на этом этапе, но уже как инструмент поддержки, а не источник готовых ответов: ключевым становится самостоятельная деятель- ность обучающихся. Следующий уровень – погружение в модель будущей профессиональной дея- тельности. Для большинства профессий такой моделью становится практико- ориентированная игра. Ее формат дол- жен требовать максимальной самостоя- тельности и минимизировать возмож- ность подмены деятельности за счет ИИ или информации из сети. Соответственно, оценка будущего специалиста должна в большей сте- пени опираться на практические навы- ки, а не на способность воспроизвести теорию. Практико-ориентированные игры должны влиять на итоговую оцен- ку. Там, где сегодня в экзаменацион- ных билетах предусмотрены теорети- ческий вопрос и практическая задача, логично вводить третий элемент – результат участия в практико-ориен- тированной игре. Для ряда профессий достижение определенного уровня в такой игре может стать допуском к экзамену. Такой подход позволяет готовить спе- циалистов, ориентированных на реаль- ную практику. Для его реализации необходимы изменения в ФГОС ВО (федеральный государственный обра- зовательный стандарт высшего образо- вания) с закреплением роли практико- ориентированных игр в образовательных программах. Показателен и рассмотренный выше пример: ФГОС ВО для подготовки специалистов ИБ, проводящих тесты на проникновение, сегодня отсутству- ет. Причина очевидна – в реестре профессиональных стандартов Минт- руда России нет стандарта, описы- вающего соответствующие трудовые функции. Сначала требуется разра- ботка и утверждение профессиональ- ного стандарта, и лишь затем – фор- мирование ФГОС ВО и образователь- ных программ. Практическому движению в этом направлении во многом мешает избы- точная мифологизация термина "хакер" и связанных с ним ярлыков. Между тем существует легальная и востребованная профессия – специалист ИБ по тестиро- ванию на проникновение, и существуют злоумышленники, действия которых под- падают под статьи Уголовного кодекса РФ. Схожесть применяемых методов и терминов не должна вводить в заблуж- дение. Преступники учитывают похи- щенные средства, но это не ставит под сомнение профессию, например, бух- галтера. Тем более что в сфере подготовки специалистов ИБ уже накоплен значи- тельный опыт развития мышления у школьников и студентов – прежде всего через игры CTF. Этот опыт вполне может быть масштабирован и исполь- зован шире – как в системе обучения старшеклассников, так и в высшем обра- зовании. l • 73 БЕЛЫЙ ХАКЕР www.itsec.ru Рисунок: АРСИБ Ваше мнение и вопросы присылайте по адресу is@groteck.ru