Na Fakultě informatiky Masarykovy univerzity začali vnášet herní prvek do výuky už téměř před deseti lety a jak říká Jan Vykopal z Laboratoře kyberbezpečnosti, zájem o účast na seminářích, v nichž se mísí výuka, hra a praxe odrážející aktuální světové dění a trendy, je rok od roku vyšší. Zčásti i proto, že s kolegy zvolili přístup, který zůstává nejen v národním srovnání dodnes ojedinělým.
Co jsou kyberbezpečnostní hry? Čím si kvalifikovaná práce v příkazovém řádku zaslouží označení hra?
Nesmí to být nudné školní cvičení, ale něco zábavného, co hráče vtáhne do příběhu, něco, co ho umožní identifikovat se například s útočníkem, obráncem nebo konkrétně třeba zaměstnancem, kterého vyhodili z firmy a on se teď mstí. V rámci takového příběhu hráč plní úkoly ve snaze dosáhnout vytyčeného cíle.
Hráči si tedy v těchto příbězích rozdělí role a vzájemně soupeří?
Formátů je víc, hry můžou být týmové i individuální. Nejčastěji se účastníci kyberbezpečnostních her učívají bránit, my se však u nás na fakultě poněkud odlišujeme v tom, že je stavíme spíš do opačných rolí a snažíme se jim ukázat, jak přemýšlí útočník. Zároveň se snažíme, aby nešlo jen o uměle vytvořené laboratorní cvičení, takže vycházíme z reálných útoků a zahrnujeme do her aktuální prvky a trendy, které v kyberprostoru můžeme pozorovat.
Kde se inspirujete? O konkrétních kauzách a proběhlých kyberútocích se z médií většinou dozvídáme se zpožděním nebo vůbec, což můžeme pozorovat například i na probíhající válce na Ukrajině.
Vycházíme právě z podobných zpráv. Jsme komunita kyberbezpečnostních expertů, takže když se třeba dozvíme o nově objevené zranitelnosti, snažíme se ji hned zapojit do našich her. Když zmiňujete aktuální konflikt, tak na nedávném Hacking Day naši studenti svůj příběh zasadili do fiktivních států, které velmi nápadně připomínaly Ukrajinu a Rusko.
Jak náročné je vybudovat prostředí a rozhraní pro takové hry?
Velmi! Ale to my upřímně řečeno neděláme. Nám jde o technickou podstatu útoku, k níž přidáme zajímavý příběh, a zbytek už je zjednodušený i proto, aby ho studenti během jednoho semestru vůbec stihli vytvořit. Když pak připravujeme cvičení pro profesionály, tak už si dáváme záležet víc, víc připomíná reálie, které jsou použité ve skutečných systémech.
Jak studenti v takových hrách postupují?
Nejdřív se musí seznámit s příběhem, načež vstupují do prvního herního levelu, kde mají jasně specifikováno, co mají udělat. Například zjistit, jaké se v herní síti nacházejí počítače. K tomu využijí stejný nástroj, jaký používají i útočníci – nebo bezpečnostní experti – čili jde vlastně o emulaci, a udělají totéž, co by se událo v reálu. Tím splní první herní úroveň a postupují na druhou, kde je čeká úkol týkající se už toho konkrétního zjištěného počítače. A zase, k jeho splnění využijí nástroje, které by využili v praxi, ale obsah už je jiný – webový server nebo třeba stránky simulující nějakou vládní agenturu. Pro tvůrce hry je nejpracnější vytvořit právě toto prostředí a naformulovat výběr útoků, aby měly smysluplnou posloupnost a dávaly smysl i technicky.
Jaká je historie kyberbezpečnostních her a jak dlouho se jim na fakultě věnujete vy?
Vznikly v polovině devadesátých let ve Spojených státech, kdy parta nadšenců uspořádala konferenci, při níž udělali první turnaj na principu „capture the flag“ čili soupeřící týmy měly za úkol ukrást tomu druhému vlajku. Od té doby jsou takové akce pořádané po celém světě, ať už online nebo onsite. Na různé turnaje se musí procházet kvalifikacemi, do kterých se zapojují desítky – možná nižší stovky – tisíc lidí každý rok. Na Masarykově univerzitě jsme se studenty první kyberbezpečnostní hru vytvořili v roce 2014, od té doby jsme pořádali například cvičení Cyber Czech pro NBÚ a NÚKIB a dnes už si firmy uvědomují, že pro ně jde též o výborný způsob náboru zaměstnanců.
Když jste zmínil nezbytnosti, jako jsou příběh, role či úrovně, tedy prvky běžných videoher, dá se klasický gaming s tím kyberbezpečnostním srovnat?
Dá, ty herní prvky jsou podobné. Taky se třeba získávají body, taky máte avatara, se kterým se při hraní identifikujete, taky můžete neuspět, protože jste pod stresem, když je součástí některých her například časový limit...
Jaké musí mít dobrý hráč kyberbezpečnostních her schopnosti?
U e-sportů se postřeh či přesnost dá natrénovat.I zde je trénink potřeba a základ přípravy! Pak určitě kreativita, pečlivost, systematičnost řešení...
Jak se úspěšnost kyberbezpečnostních her hodnotí?
Používá se například dynamické bodování, což znamená, že čím víc lidí úlohu vyřeší, tím má menší bodovou hodnotu. K tomu se udělují body za to, kdo ji vyřeší jako první, nebo týmové body. To znamená, že když úlohu řeší tým více lidí, tak se pak mohou domluvit, kdo měl na řešení jaký podíl a kolik bodů si může nárokovat. Z toho plynou i nároky na organizaci a domluvu vedoucí v efektivní spolupráci.
V květnu na fakultě proběhl Hacking Day, během kterého studenti hráli hry vytvořené jejich spolužáky. Můžete akci přiblížit?
Jde o vyvrcholení Semináře simulace kyberútoků, v rámci kterého se studenti půl semestru učí dovednostem potřebným k přípravě takové hry a druhou půlku pak pracují na samotné hře. Pro nás je fajn vidět, jak to všechny baví. Hráče samotné hraní, tvůrce pak pozorovat jejich reakce a získávat zpětnou vazbu.
Co se během Hacking Day učíte vy, jakožto vyučující a expert?
Letos se konal zase prezenčně, takže jsme byli rádi, že i po pauze si k nám do laboratoře KYPO studenti našli cestu. A nám to řekne, co bychom mohli do příště zlepšit – ani ne tak technicky, to už máme celkem vychytané – ale třeba v ohledu herního designu, abychom tým tvůrců dokázali ještě víc semknout a zefektivnili práci
Jaký je o seminář zájem?
Rostoucí! Naposledy jsme měli asi sto zájemců, ale přijmout jsme jich mohli jen dvacet čtyři. A roste nejen proto, že jde o zajímavé téma, ale taky proto, že to je jeden z povinně volitelných předmětů pro program Softwarové inženýrství. Což je dobře, protože vývojáři softwaru by měli rozumět problematice kyberbezpečnosti.
Nabízejí i jiné univerzity semináře, které by do výuky vnášely herní prvek tak jako vy?
Napadá mě třeba Estonsko, které je v této oblasti hodně progresivní, kde podobným způsobem vedou přijímačky i státnice. Ale upřímně řečeno, u nás o něčem podobném nevím...
Co ve svých snahách zapojit více studenty krom Hacking Day připravujete?
Na principu „studenti pro studenty“ funguje taky Letní škola informačních technologií, kdy se naši doktorandi snaží připravovat jak vysokoškolské, ale i středoškolské studenty na evropské finále Kybersoutěže. Společně hrají hry nebo provádějí penetrační testování – loni takto testovali například aplikaci MUNI POMÁHÁ pro podporu dobrovolníků. Zapojujeme se i do osvětových aktivit, v rámci kterých nás navštěvují stážisti ze Střední školy informatiky, poštovnictví a finančnictví na Čichnově, kde mají obor Kybernetická bezpečnost, a u nás mají možnost vidět, jak funguje praxe.
Kdybych byl středoškolský student a zvažoval bych studium kyberbezpečnosti na fakultě informatiky, čím byste mě nalákal?
Řekl bych vám, přihlaste se do Kybersoutěže, dostaňte se do finále a máte odpuštěné přijímačky. To je jedno z fakultních kritérií. Určitě stojí za to to zkusit, jde o zajímavý obor.
Kde vůbec může středoškolák pro takto specifický obor získat průpravu? Střední škola Čichnova je asi výjimkou. Pozorujete, že se kyberbezpečnosti věnují mladí lidé?
Oni se jí věnují zejména v rámci svých volnočasových aktivit! Vzdělávací systém se sice postupně mění, aby dokázal talenty podchytit, ale naše zkušenost zatím ukazuje, že kdo se kyberbezpečnosti věnuje už na střední škole, může být často na stejné úrovni jako student bakalářského programu na škole vysoké. Postupně se ale začínají objevovat další podobně zaměřené střední školy, a právě Kybersoutěž se snaží obor podporovat a dělat osvětu.