Безопасность информационных технологий

УДК 004.056.53, 004.8, 37.03

https://dx.doi.org/10.26583/bit.2026.1.16

https://elibrary.ru/bmfoyi

КАК ОБУЧАТЬ «ДЕТЕЙ АЛИСЫ»?

Аннотация. Данная статья касается деятельности специалистов информационной безопасности по проведению тестов на проникновение и методов их подготовки в рамках высших учебных заведений. Используя опыт многолетнего обучения таких специалистов с применением игр CTF делается вывод на необходимость усиления практической направленности обучения. Показана одна из основных проблем формирования практических навыков у людей, обучающихся на специалиста информационной безопасности по проведению тестов на проникновение – использование систем искусственного интеллекта. Сформировано предложение, как снизить негативное влияние искусственного интеллекта на формирование практических навыков у обучаемых. Предложены способы использования искусственного интеллекта для повышения эффективности обучения по данной специальности. При этом обращено внимание на препятствие к организации их обучения – отсутствие стандарта для данной профессии. Предложена последовательность организационных мероприятий по законодательному оформлению профессии специалистов информационной безопасности по проведению тестов на проникновение.

Ключевые слова: тест на проникновение, хакер, искусственный интеллект, стандарт профессии, образовательный стандарт, игры, геймификация.

Введение

Президент Российской Федерации Владимир Путин на Международной конференции «Путешествие в мир искусственного интеллекта» сказал, что «надо выработать такой подход к обучению, чтобы ребенок задачи решал и возможности искусственного интеллекта использовал. Как это сделать?»^[1] Действительно, при применении традиционных занятий в ВУЗе и школе, обучаемые могут достигать формального результата с использованием ИИ, без усвоения тех знаний, на которые эти занятия нацелены [1, 2].

1. Фальсификация обучения с использованием искусственного интеллекта

В наибольшей мере фальсификации с использованием ИИ подвержены домашние задания. Если раньше вместо нерадивых чад домашние задания делали их родители, то сегодня их из этого процесса все чаще вытесняет ИИ. Практика (учебная, производственная, преддипломная и т.п.), если организация, в которой она проводится не заинтересована в качестве практиканта (не ожидает его к себе на работу) может стать формальным отчетом, написанным ИИ.

Следующее место в этом рейтинге занимают лекции и школьные уроки, на которых преподаватель рассказывает материал, показывает примеры. Интернет изобилует учебниками и видеозанятиями, что снижает интерес к лекциям – с ИИ можно легко получить краткое изложение материала.

Относительно меньше возможностей для фальсификации процесса усвоения знаний с помощью ИИ дает самостоятельная деятельность обучаемых: семинары (диалог обучаемых), практические занятия (самостоятельное решение задач), лабораторные занятия (проведение экспериментов и опытов), проверочные работы (контрольная, тест, коллоквиум, экзамен), производственная практика (на месте будущей работы). Все эти формы занятий проводятся с участием преподавателя (руководителя производственной практики) и степень использования ИИ зависит от их «принципиальности».

При этом, почти не поддаются фальсификации с использованием ИИ знания, получаемые в процессе проведения интеллектуальных практико-ориентированных игр. Здесь мы имеем в виду полноценные обучающие игры с высоким уровнем мотивации и вовлеченности обучаемых в практическую деятельность, а не отдельные элементы геймификации перечисленных выше видов занятий^[2]. И вопрос здесь не в степени контроля со стороны жюри (судей), а в сути этой деятельности, стимулах, которыми руководствуется при этом обучаемый [3].

2. Практико-ориентированные высокоинтеллектуальные игры CTF

Пример практико-ориентированной высокоинтеллектуальной игры – игра CTF^[3] в сфере информационной безопасности (ИБ). Здесь команды состязаются в умении быстрее других проанализировать и найти уязвимости в программном коде, «сражаются» между собой, пытаясь атаковать другую команду (проникнуть в ее систему, нанести ей ущерб) и защититься от атак иных команд. Суть игры CTF в точности моделирует практическую работу специалистов ИБ, по проведению тестов на проникновение^[4] [4, 5, 6].

В задачах первого этапа могут использоваться известные уязвимости информационных систем и это, наверное, единственное место, где технически возможно применение ИИ. На втором этапе, все зависит только от имеющихся знаний и умения применять их на практике. В качестве жюри на играх CTF выступают члены Ассоциации руководителей служб информационной безопасности (АРСИБ), возглавляющие подразделения ИБ крупных, именитых компаний, которые подбирают себе новых специалистов на играх CTF. У участников игр CTF имеется очевидный мотив показать свои знания. Т.к. на играх CTF жюри состоит из членов АРСИБ, представляющих крупные компании, здесь практически отсутствует отрицательная сторона геймификации, когда игроки в борьбе за очки и баллы забывают суть игры² [3, 7. 8].

Ориентация CTF игр на практическую деятельность столь велика, что ее результат (место) весьма затруднительно фальсифицировать, в том числе с применением ИИ. Почему же тогда роль практико-ориентированных интеллектуальных игр в образовательном процессе так недооценена? Почему не появляются другие всероссийские игры, подобные CTF? Может, потому что у них нет «хозяина»? Практико-ориентированные интеллектуальные игры – это и спорт, это и обучение, это и предметная область деятельности [9, 10,11]. Так, игры CTF касаются компетенции Минобрнауки России, Минпросвещения России, Минспорта России и тех органов государственной власти, на которые возложены функции регулирования деятельности по защите информации.

Игры CTF для подготовки специалистов ИБ, по проведению тестов на проникновение, организовало профессиональное объединение – АРСИБ – а финансируются игры CTF за счет спонсоров, подбирающих себе молодые и талантливые кадры на играх CTF. Можно взглянуть на игры CTF, как на наставничество и вспомнить о «Всероссийском общественном движении наставников детей и молодёжи «Наставники России». В целом приходится констатировать, что вопрос с организацией практико-ориентированных интеллектуальных игр есть. Хотя в каждой игре CTF принимает участие несколько тысяч человек, говорить о широком распространении подобных игр, пока, преждевременно.

3. Геймификация обучения специалистов по информационной безопасности

Вернемся к содержательной сути игр. На позитивную роль игр в образовательном процессе мы вышли из негативного влияния ИИ на этот процесс. Но отрицать ИИ при современном уровне развития технологий просто глупо. Предлагаем не сопротивляться неизбежному, а подумать, как сделать ИИ другом, а не врагом в образовании будущего поколения.

В связи с этим, предлагаем задуматься над снижением количества лекций, в форме предоставления фактического материала, и заменить их (частично) самостоятельными заданиями по поиску и изучению необходимого материала (в соответствии с опорными вопросами). Для этого можно заменить часть лекций практическими занятиями в форме самоподготовки в стенах учебного заведения и с участием преподавателя (для ответов на вопросы). При этом обучаемые могут в полной мере использовать ИИ и сведения из сети Интернет.

На семинарах и практических занятиях можно проводить проверку (полноты и достоверности) самостоятельно полученных знаний, а на лабораторных занятиях формировать навыки и умения, основанные на этих знаниях. При этом также можно использовать ИИ и сведения из сети Интернет, но целью является уже не получение информации, а самостоятельный поиск путей достижения результатов практической деятельности.

Более полное погружение обучаемых в «модель» предстоящей им профессиональной деятельности целесообразно осуществлять в рамках практико-ориентированной игры. Формат такой игры должен требовать от обучаемых максимальной самостоятельности и минимизировать возможность «фальсификации» результатов игры с использованием ИИ или информации из сети Интернет. Результат участия в игре должен учитываться в проверочных работах различного уровня, например, в итоговой оценке по предмету или стать допуском к экзамену [3, 12].

Заключение

Для реализации изложенного подхода необходимо внести соответствующие изменения в Федеральные государственные образовательные стандарты высшего образования (ФГОС ВО), предусмотрев в них место для практико-ориентированных игр, и изложив путь от получения знаний по профессии из уст преподавателя и самостоятельно (с использованием ИИ и из сети Интернет), к формированию навыков и использованию их при «погружении» в профессию – сначала в форме практической деятельности, а потом в игре, со все большим замещением помощи со стороны преподавателей и ИИ, личными знаниями и умениями.

Полагаем, что именно так можно будет ответить на поручение Президента России В.В. Путина учить детей в школах самостоятельно мыслить¹.

СПИСОК ЛИТЕРАТУРЫ:

1.   Костенко, В.В., Козачок В.И. NEET-молодежь и ее участие в протестной деятельности как фактор возможных "цветных революций". Социальная политика и социальное партнерство. 2020, № 6, c. 40–49. DOI: https://doi.org/10.33920/pol-01-2006-05.

2.   Минаев, В.А.; Дворянкин, С.В. Обоснование и описание модели динамики информационно-психологических воздействий деструктивного характера в социальных сетях. Безопасность информационных технологий. [S.l.], т. 23, № 3, с. 35–48, 2016. ISSN 2074-7136. URL: https://bit.spels.ru/index.php/bit/article/view/16 (дата обращения: 30.09.2025).

3.   Волкова Т. Г., Таланова И. О. Геймификация в образовании: проблемы и тенденции // Ярославский педагогический вестник. 2022. № 5 (128). С. 26-33. http://dx.doi.org/10.20323/1813-145X-2022-5 128-26-33. https://elibrary.ru/hggytn

4.   Грэм Д. Этичный хакинг. Практическое руководство по взлому. Санкт-Петербург: Издательство «Санкт-Петербург:», 2025. – 384 с. – ISBN 978-5-4461-1952-3.

5.   Сланова А.В. Белый хакер и чёрный хакер // Аллея науки. 2019. Т. 1. № 1 (28). С. 949-954.

6.   Галиева Л.Д., Аюпова А.Р. Что такое "pentest" и для чего он нужен? // Достижения и приложения современной информатики, математики и физики. Материалы VII Всероссийской научно-практической заочной конференции. 2018. С. 562-567.

7.   Павлычев А.В., Стародубов М.И. Формирование набора данных в задаче обнаружения компьютерных атак с использованием методов машинного обучения. Современное образование: интеграция образования, науки, бизнеса и власти. Трансформация образования, науки и производства-основа технологического прорыва. 2023, c. 161–166. URL: https://elibrary.ru/item.asp?id=51907642 (дата обращения: 18.09.2025).

8.   Нашивочников Н.В. Выявление отклонений в поведенческих паттернах пользователей корпоративных информационных ресурсов с использованием топологических признаков. Вопросы кибербезопасности. 2023, № 4(56), с. 12–22. DOI:10.21681/2311-3456-2023-4-12-22. – EDN: ULXVTM.

9.   Шнайдер Б. Взломать все. Как сильные мира сего используют уязвимости систем в своих интересах. Москва: Издательство «Альпина», 2025. – 353 с. – ISBN 978-5-9614-8310-9.

10. Голубов Н. А., Косов Н. А. Внутренние угрозы: Разнообразие и профилактика инсайдеров в организациях. – 2023.

11. Косов Н. А., Голубов Н. А. Способы защиты от инсайдерских атак // Инновационные решения социальных, экономических и технологических проблем современного общества. – 2021. – С. 149-151.

12. Сизых Д.С., Сизых Н.В. Формирование однородных групп обучающихся методом кластерного анализа с целью повышения эффективности процесса обучения. Чувашский республиканский институт образования Минобразования Чувашии: издательский дом «Среда» 2022, c. 49–77.DOI: 10.31483/r-103748.

REFERENCES:

[1]    Kostenko, V.V., and Kozachok, V.I. NEET-Youth and Their Participation in Protest Activities as a Factor in Possible Color Revolutions. Social Policy and Social Partnership. 2020, No. 6, pp. 40–49. DOI: https://doi.org/10.33920/pol-01-2006-05.

[2]    Minaev, V.A.; Dvoryankin, S.V. Justification and Description of the Model of the Dynamics of Destructive Information and Psychological Impacts in Social Networks. Information Technology Security. [S.l.], vol. 23, no. 3, pp. 35–48, 2016. ISSN 2074-7136. URL: https://bit.spels.ru/index.php/bit/article/view/16 (accessed: 30.09.2025).

[3]    Volkova T. G., Talanova I. O. Gamification in Education: Problems and Trends // Yaroslavl Pedagogical Bulletin. 2022. No. 5 (128). Pp. 26-33. http://dx.doi.org/10.20323/1813-145X-2022-5 128-26-33. https://elibrary.ru/hggytn

[4]    Graham D. Ethical Hacking. A Practical Guide to Hacking. St. Petersburg: St. Petersburg Publishing House, 2025. – 384 p. – ISBN 978-5-4461-1952-3.

[5]    Slanova A.V. White hacker and black hacker // Alley of science. 2019. T. 1. No. 1 (28). Pp. 949-954.

[6]    Galieva L.D., Ayupova A.R. What is "pentest" and what is it for? // Achievements and applications of modern computer science, mathematics and physics. Materials of the VII All-Russian scientific and practical correspondence conference. 2018. Pp. 562-567.

[7]    Pavlychev A.V., Starodubov M.I. Formation of a data set in the task of detecting computer attacks using machine learning methods. Modern Education: Integration of Education, Science, Business, and Government. Transformation of Education, Science, and Production as the Basis for Technological Breakthrough. 2023, p. 161–166. URL: https://elibrary.ru/item.asp?id=51907642 (accessed: 18.09.2025).

[8]    Nashivochnikov N.V. Identification of deviations in the behavioral patterns of users of corporate information resources using topological features. Issues of Cybersecurity. 2023, No. 4(56), pp. 12–22. DOI:10.21681/2311-3456-2023-4-12-22. – EDN: ULXVTM.

[9]    Schneider B. Hack Everything. How the Powerful Use System Vulnerabilities to Their Advantage. Moscow: Alpina Publishing House, 2025. – 353 p. – ISBN 978-5-9614-8310-9.

[10]  Golubov N. A., Kosov N. A. Internal Threats: Diversity and Prevention of Insiders in Organizations. – 2023.

[11]  Kosov N. A., Golubov N. A. Methods of Protection Against Insider Attacks // Innovative Solutions to Social, Economic, and Technological Problems of Modern Society. – 2021. – P. 149-151.

[12]  Sizykh D.S., Sizykh N.V. Formation of Homogeneous Groups of Students Using Cluster Analysis to Improve the Efficiency of the Learning Process. Chuvash Republic Institute of Education of the Ministry of Education of the Chuvash Republic: Sreda Publishing House, 2022, pp. 49–77. DOI: 10.31483/r-103748.

Минин Виктор Владимирович, председатель правления Ассоциации руководителей служб информационной безопасности (АРСИБ), 129085, г. Москва, ул. Большая Марьинская, дом 9, офис 210

e-mail: info@aciso.ru. https://orcid.org/0009-0006-3747-0278

Песчанских Георгий Владимирович, независимый исследователь

доктор экономических наук, кандидат физико-математических наук,

профессор математики и информационных технологий,

доцент по кафедре специальных дисциплин,

e-mail:peschanskikh_gv@mail.ru, https://orcid.org/0009-0006-4503-0176