Автоматическая генерация учебного курса по ИБ

Одна из тем моего диссертационного исследования на стыке педагогики и моделирования касалась автоматической генерации учебного курса, куда входят список лекций, лабораторных, практических и контрольных работ 👨‍🏫

В то время еще не существовало GPT, поэтому теперь идею можно докрутить до стадии готового курса, а не только его описания.

Кратко идея: для каждого учебного курса можно построить ориентированный граф переходов, по этому графу ученик передвигается снизу вверх (моделировал движение через сеть Петри). Вершина графа - лекция, а каждое ребро - практическая или лабораторная работа.

В итоге получается таблица, которую теперь можно подать на вход GPT и попросить сгенерировать готовый текст 🔥

Кому интересно, публикация с подробным описанием идеи тут.

#наука

Первый релиз схемы развития карьеры в кибербезе

Подготовил первый релиз схемы развития карьеры кибербез-специалиста (таксономии) 🥳

Схема может быть полезна:
- cтудентам для построения пути развития в ИБ;
- преподавателям для формирования учебных курсов;
- HR для формирования единой терминологии в названии вакансий.

PS. Также схема в PDF-формате, но без интерактивных ссылок 😎

#путь_в_ИБ

Разработка новой модели компетенций для специалистов по кибербезопасности

Анализ схемы развития карьеры в кибербезе показал, что следующим логичным шагом должна стать модель компетенций, которая формально опишет представленные треки 🤔

Почему бы не взять за основу профстандарты? Честно признаемся себе, что за восемь лет существования они так и не прижились на рынке ИБ 😔

В чем принципиальная проблема профстандартов по ИБ? Выскажу субъективное мнение.

Как поет Игорь Николаев:

... и у меня на это пять причин

1️⃣ Мир кибербез профессий сложнее и динамичнее, чем набор ОТФ.
2️⃣ KPI МинТруда завязан на количество профстандартов.
3️⃣ Отсутствие научно обоснованной методики разработки профстандартов, методика не включает обязательный анализ вакансий из открытых источников (HH, SJ, Хабр и пр.)
4️⃣ Первые профстандарты по ИБ гармонизировались с образовательными стандартами.
5️⃣ Чтобы разобраться, как профстандарты связаны с ФГОС приходится читать научные монографии 🤯 Отсюда сложность внедрения, неоднозначность, различные трактовки итд итп.

Это все приводит к мысли о создании живой модели компетенций для специалистов по кибербезопасности, которую можно обновлять и дополнять силами сообщества.

Алексей Лукацкий 🤠 рекомендует обратить внимание на существующий фреймворк NICE (National Initiative for Cybersecurity Education) 🤔

Работа предстоит большая, но кто, если не мы? 🫡

#профстандарты #модель_компетенций

Влияние AI/ML на сферу кибербезопасности

Международная организация ISC2 проводит ежегодные исследования проблем и возможностей для специалистов по кибербезопасности. В 2023 году они изучали влияние новых технологий, в частности AI/ML, на кибербезопасность 🤔

У нас, к сожалению, таких опросов не проводится, но тенденция может совпадать, поэтому приведу краткие итоги исследования ISC2:

📎 45% опрошенных специалистов по кибербезопасности считают, что в течение двух лет искусственный интеллект восполнит нехватку квалифицированных кадров.

📎 35% специалистов считают, что сотрудникам в организации необходимо увеличивать компетенции по безопасности облаков, 32% - по AI/ML, 29% - по Zero Trust.

📎 84% респондентов говорят, что у них нет/минимальные знания или некоторые/умеренные знания в области AI/ML.

📎 52% опрошенных перешли в кибербез из ИТ, 45% - попали в отрасль благодаря самообразованию, 31% - окончили бакалавриат по ИБ и столько же по ИТ.

📎 27% респондентов пришли в кибербез из-за перспектив роста (в основном в области здравоохранения), 25% - из-за высокого спроса на навыки (военные) и столько же за наслаждением от работы (финансовые услуги).

Рекомендую, особенно HR, познакомиться с полным отчетом 👀

#аналитика

Фреймворк для развития знаний и навыков в области кибербезопасности (NICE Framework)

NICE Framework, представляет собой американский ресурс, помогающий работодателям развивать кадры в области кибербеза. Он устанавливает единый словарь, описывающий знания и навыки в области ИБ. Фреймворк применяется в гос., частном и академическом секторах США 🤔

Адаптированный перевод фреймворка в виде матрицы компетенций от 🟥 можно найти по ссылке.

NICE Framework состоит из следующих компонентов:
📎 Категории (7) – группа высокого уровня общих функций кибербезопасности.
📎 Специализированные области (33) – отдельные области работы в области кибербезопасности (например, см. Systems Administration).
📎 Рабочие роли (52) — наиболее подробные группы работ по кибербезопасности, состоящие из конкретных знаний, навыков и способностей, необходимых для выполнения задач в рамках рабочей роли (например, см. Systems Administration).

🔥 И это еще не все 😳 На основе NICE Framework американцы построили карьерный путь в кибербезе. Весь кибербез они разделили на пять сообществ (на рисунке): IT, Cybersecurity, Cyber Effects, Intel (Cyber) и Cross Functional. В интерактивном режиме можно выбрать одно из сообществ и увидеть, как связаны Специализированные области, чтобы построить свой карьерный трек 🤔

Отдельный сервис позволяет, как на схеме метро, указать начальную и конечную точки карьеры, а программа сама покажет знания и навыки, которые потребуются для перехода. В этот момент пользователю, конечно, предлагается пройти различные курсы и повысить свою квалификацию 👀

Из интересных особенностей отметил наличие Специализированной области Knowledge Management. У нас мало внимания уделяется управлению знаниями в ИБ, таких специалистов очень сложно найти на рынке (об этом можно отдельный пост написать) 😔

В качестве недостатка NICE Framework - отсутствие AI/ML, как сквозного направления в кибербезе. Это объясняется тем, что документ принят в 2017 и обновлялся последний раз в 2020 году 😱

#nice_framework #модель_компетенций

Терминология NICE Framework. Что важно знать?

В отличие от профстандартов NICE Framework удалось гибко связать сферы обучения и работы. Разработчики учли, что кибербез-специалист учится на протяжении всей жизни 🤓

📎 Работа в NICE Framework описывается через выполняемые задачи, каждая из которых включает набор навыков и знаний (рисунок 1).

📎 Группа задач может объединяться в области компетенций (термин взяли из сферы образования), на основе которых удобно разрабатывать программы обучения (рисунок 2).

📎 Рабочая роль - набор решаемых рабочих задач. Должность может включать множество рабочих ролей (рисунок 3).

Через формирование областей компетенций можно обучать новым ИБ-направлениям, которые еще не сложились, как рабочая роль или должность 🤔

Посмотрим на примере, как работать с NICE Framework: рабочая роль Системный администратор, а должность может звучать, как Специалист службы технической поддержки.

Задачи, которые решает роль:
T0054: Разработать групповые политики и списки управления доступом.
T0514: Выполнить диагностику неисправного системного/серверного оборудования.

Знания, которые необходимы для решения задач:
K0004: Знание принципов кибербезопасности и конфиденциальности.
K0289: Знание инструментов диагностики системы/сервера и методов выявления неисправностей.

Навыки, которые необходимы для решения задач:
S0043: Навыки поддержки служб каталогов (например, Microsoft Active Directory, LDAP и т. д.).
S0144: Навыки устранения физических и технических проблем, влияющих на производительность системы/сервера.

Для разработки программы повышения квалификации 👨‍🏫 для системных администраторов со знанием СЗИ сформируем область компетенций, включающую задачи T0054, T0514 и дополнительно T0335: Сборка, установка, настройка и тестирование специального оборудования для киберзащиты, где оценим знания с помощью тестов, а навыки на демо-стенде.

Подробнее про NICE Framework см. тут, тут и тут 👀 Обратите внимание на предложения по новым областям компетенций 🤔

#nice_framework #модель_компетенций

Европейская система навыков кибербезопасности (ECSF)

ЕС серьезно озадачился дефицитом кадров в области ИБ 🤔

Для решения этой проблемы была создана Академия навыков кибербеза и собственный фреймворк ECSF (European Cybersecurity Skills Framework), который описывает задачи, компетенции, навыки и знания, связанные с 12 типичными ролями специалистов по кибербезу (рисунок 1).

📎 Представленные роли можно связать с управленческим циклом (рисунок 2).

📎 Навыки и знания очевидно трансформируются в учебные программы (рисунок 3).

Перечислим роли, которые описывает ECSF.
1. Руководитель отдела информационной безопасности
2. Инженер по реагированию на инциденты
3. Консультант по киберправу
4. Аналитик киберразведки
5. Архитектор безопасности данных
6. Аудитор по рискам и соблюдению требований информационной безопасности
7. Тренер по кибербезопасности
8. Разработчик кибербезопасности (DevSecOps)
9. Инженер-исследователь кибербезопасности
10. Аналитик рисков информационной безопасности
11. Консультант по компьютерной криминалистике
12. Пентестер

Детальное описание самого ECSF тут, презентация и все роли 👀

#модель_компетенций #ECSF

SPARTA Cybersecurity Skills Framework

Еще один фреймворк с описанием навыков в области кибербеза от ЕС, построенный на основе NICE (NIST SP 800-181), но с фокусом на образование 👨‍🏫

В документах SPARTA подчеркивается, что разработчики учли особенности законодательства и образовательные стандарты ЕС 🤔

Для обучения кибербез-знаниям и навыкам SPARTA определяет набор компетенций, которые связываются с темами (topics) (рисунок 1, 2, 3) 🤔

Например (рисунок 3), в теме Probability and Statistics из раздела Математика, осваивается компетенция Modeling and Simulation and Data Analysis. Знания и навыки для компетенции берутся из NICE Framework. Правда, зачем изобретать велосипед? 🤔

Дополнительно SPARTA разработали интерактивный конструктор учебных программ по кибербезу 🔥

Детально познакомиться с методикой SPARTA можно по ссылкам:
📎 Структура навыков кибербезопасности.
📎 Описание учебных программ.

#модель_компетенций #SPARTA

От набора навыков к сервису на основе данных

Для визуализации рынка труда в области кибербеза американские компании NICE, CompTIA и Lightcast разработали карту вакансий CyberSeek (сам сервис заблокирован для жителей РФ).

За 2022 год работодатели зарегистрировали на сайте 769 736 вакансий, требующих кибербез навыков 🤯

На рисунке показано, как сервис позволяет построить маршрут развития карьеры (начальный уровень, средний и продвинутый), конечно, он не такой детальный как отечественная схема, но замысел близкий 🤔

В основе CyberSeek лежит NICE Framework, информация об экспертной ИБ-сертификации, анализ рынка вакансий и требования к образованию с указаниям, где пройти обучение 👀

#nice_framework #модель_компетенций

Как формируются новые профессии в кибербезе?

Схема развития карьеры в кибербезе показывает, как вместе с внедрением новых типов СЗИ формируются новые профессии: инженер MP SIEM, специалист по поддержке PT AF, специалист по DLP системам, администратор антивирусных средств защиты итд. 🤔

Следуя этой логике в ближайшее время на рынке появится спрос на инженеров PT NGFW и MP Carbon 👨‍💻

#путь_в_ИБ

Канадская система навыков в области кибербезопасности

Канадская система навыков в области кибербезопасности (ITSM.00.039) выпущена под руководством Канадского центра кибербезопасности (Кибер-центра).

В основе лежит американский NICE Framework, адаптированный к канадскому рынку труда. Система включает четыре категории (вместо семи в NICE), которые представляют собой большинство ролей в области кибербезопасности в канадских предприятиях и организациях (на рисунке) 🤔

#nice_framework #модель_компетенций

Модель обновления рабочих ролей в NICE Framework

В октябре рабочая группа NICE предложила добавить к существующим рабочим ролям "Анализ внутренних угроз": роль отвечает за выявление инсайдерских угроз кибербезопасности; делает выводы, которые помогают инициализировать и поддерживать правоохранительную и контрразведывательную деятельность 👨‍💻

Детальное описание рабочей роли в таблице по ссылке: на вкладке "Proposed Aligned TKS Statements" обратите внимание на подробное соответствие задач (IT-T00xx), которые решает роль "Анализ внутренних угроз", знаниям и навыкам (IT-K00xx, S00xx) 🤔

Таким образом, добавление новой роли в NICE Framework влечет за собой 1️⃣ формирование новых программ обучения, 2️⃣ появление экспертной сертификации и явно говорит, что 3️⃣ на рынке сформировался запрос на таких специалистов 👀

#nice_framework #модель_компетенций

Проблема передачи знаний

NICE Framework определяет знания, как извлекаемый набор понятий в памяти. Такой набор далее будем называть тезаурусом 👨‍🏫

Если психофизиологические характеристики ученика и учителя отчасти закладываются от рождения и в течение жизни изменяются незначительно, то тезаурус варьируется и подвержен ежедневным изменениям. Это позволяет нам учиться 👩‍🎓

Ученик пропускает мимо ушей любое сообщение, содержащее ключевые понятия, которых нет в его тезаурусе 🗣

Схема на рисунке 1 демонстрирует, что процесс передачи знаний от учителя к ученику сталкивается со множеством препятствий, т.к. каждый из уровней "стека" может существенно отличаться у источника и приемника знаний.

Если обобщить схему на группу учащихся, то знания передать очень сложно (практически невозможно), поэтому остается их формировать и каким-то образом "выращивать" в голове ученика 🧐

Подробнее, кому интересно, в моей монографии Кибернетический подход к управлению процессом обучения на основе семантических сетей знаний 🧑‍🔬

#наука

Специалист по управлению уязвимостями

Ранее я уже писал про разрыв между профстандартами и реальным рынком кибербеза. Повторяться не хочется. Остается главный вопрос: что с этим делать? 🤔

1️⃣ У меня получилось сопоставить NICE Framework со схемой развития кибербез-специалиста (на рисунке).

2️⃣ В терминах NICE на основе отечественных вакансий с HH подготовил черновик описания рабочей роли Специалист по управлению уязвимостями. Оно получилось более детальное, чем у NICE 😎

На основе предложенного описания рабочей роли теперь можно:
📎 создавать актуальные учебные курсы (элективы в вузе, ДПО)
📎 сравнивать учебные курсы между собой (по знаниям и умениям, которые приобретает ученик)
📎 подбирать кадры на смежные должности
📎 повышать квалификацию сотрудников компании итд итп

Данный кейс показывает, что идею NICE Framework можно адаптировать к реалиям отечественного рынка 👍

#nice_framework #модель_компетенций

Сингапурская модель развития карьеры в области промышленного кибербеза

Карьерный путь, карта навыков и описание компетенций для каждой из ролей по ссылке 🤔

#модель_компетенций #OTCCF

Области компетенций в NICE Framework

Обучение и работа — это разные типы деятельности 👨‍🏫

На работе мы ежедневно выполняем рабочие задачи, а во время обучения приобретем новые знания и навыки, чтобы по окончании решать более сложные и интересные рабочие задачи 👨‍💻

Ранее уже писал, что NICE Framework позволяет разграничить работу (рабочие роли) и области компетенций (на рисунке 1).

В новой редакции NICE предлагает добавить следующие области компетенций (== учебные дисциплины).

1. Управление доступом
2. ИИ в кибербезе 🔥
3. Управление активами
4. Облачная безопасность
5. Сетевая безопасность
6. Криптография
7. Основы кибербеза
8. Лидерство в кибербезе
9. Защита данных
10. DevSecOps
11. Киберустойчивость/надежность
12. Безопасность и администрирование ОС
13. Промышленная безопасность
14. Безопасная разработка
15. Безопасность цепочки поставок

Чувствую, что пора уже готовить отдельную лекцию про адаптацию NICE Framework к отечественному рынку кибербеза 🤔

Поставьте 👍 если интересно послушать такую лекцию.

#nice_framework #модель_компетенций

Cвод знаний по кибербезу CyBOK

Американцы разрабатывают фреймворки, а британцы — энциклопедии

Какую проблему решает CyBOK? 🤔

Представим ситуацию: в каждом вузе страны читается дисциплина по основам ИБ и каждый преподаватель с нуля 😱 готовит подобный курс, на это тратятся силы и время, а в итоге "первый блин — комом"...

Идея проекта CyBOK простая и понятная — консолидировать усилия сообщества, собрать экспертов, которые создадут путеводитель (карту) по миру кибербеза, сделают базовые презентации, запишут подкасты. Все материалы в открытом доступе. Остается только развивать и улучшать. Например, создавая книги для малышей по кибербезу 👼

Национальный центр кибербезопасности Великобритании (NCSC) использует CyBOK в качестве основы для сертификации программ бакалавриата и магистратуры 👨‍🏫

CyBOK разделен на 21 область верхнего уровня, сгруппированную в пять категорий, как показано на рисунке 1. Материалы по всем категориям доступны для свободного скачивания 👍

#cybok

Карта карьеры в кибербезе на основе CyBOK

В Великобритании разработкой и продвижением системы карьерного роста в области кибербеза занимается Совет по кибербезопасности (UK Cyber Security Council): он пишет профстандарты (дорожная карта), этическую декларацию и продвигает карьерные пути 🤔

Рассмотрим некоторые карьерные инструменты UK Cyber Security Council:
📎 карьерное картирование в кибербезе, какая специализация лучше всего подойдет (анкета);
📎 карта киберкарьеры, 16 специализаций в области кибербеза, основанные на CyBOK. Например, специалист по управлению уязвимостями;
📎 список курсов и сертификаций.

#CyBOK

Человеко-ориентированная кибербезопасность (Human-Centered Cybersecurity)

Как учил нас Кевин Митник: "самое слабое звено в безопасности - человеческое звено" 👨‍🏫

Национальный институт стандартов и технологий (NIST), следуя этой логике, запустил программу междисциплинарных исследований Человеко-ориентированная кибербезопасность (ранее "Usable Cybersecurity"), чтобы лучше понять и улучшить взаимодействие людей с системами, продуктами и услугами кибербезопасности 🤔

Области исследований программы: осведомленность и обучение кибербезопасности, Интернет вещей, фишинг, восприятие и поведение пользователей, голосование, понимание молодежью конфиденциальности и безопасности, аутентификация, криптография 🤔

#человеко_ориентированная_кибербезопасность #психология

Схематическое представление проблем на рынке труда в области кибербезопасности

Эту схему увидел в отчете Организации американских государств о развитии кадров в области кибербезопасности 👩‍💻🧑‍💻

На схеме показаны все участники процесса подготовки ИБ-кадров 🔥

Мой фокус внимания сейчас на 1️⃣ схеме развития карьеры в ИБ и описании рабочих ролей, затем 2️⃣ их соотнесении с образовательными компетенциями 👨‍🏫

#схема #модель_компетенций

Что должен знать преподаватель по кибербезу?

Перенесем структуру знаний учителя информатики (Framework for Teacher Knowledge) на область кибербеза 👨‍🏫

Структура знаний учителя описывается тремя пересекающимися областями знаний, которые нужны преподавателю: технологические знания, педагогические знания и знание содержания. Получается диаграмма Венна со множеством пересечений 📊

1️⃣ Знание содержания. Очевидно, что преподаватель по кибербезу должен знать и понимать предмет, который он преподает, включая знание основных фактов, концепций и теории.

2️⃣ Технологические знания: знание операционных систем и компьютерного оборудования, а также способность использовать стандартные наборы программных инструментов. Поскольку технологии постоянно меняются, природа технологических знаний также должна меняться со временем.

3️⃣ Педагогические знания: знания о техниках или методах, которые будут использоваться в аудитории. Преподаватель понимает, как формируются знания у учащихся, приобретаются навыки и развиваются способности.

4️⃣ Знание технологического содержания: знания о том, как технологии и содержание связаны друг с другом. Новые технологии предоставляют разнообразные способы представления содержания (mind map, онтологии и пр.).

5️⃣ Знание педагогического содержания: знание педагогики применительно к преподаванию конкретного содержания (кибербеза) 🤔

6️⃣ Технологические педагогические знания: знание инструментов для ведения записей занятий, посещаемости и оценок, а также знание общих технологических идей (доски обсуждений, чаты и пр.).

7️⃣ Знание технологического педагогического содержания: синергия, полученная в результате знаний п. 1-6 👨‍🔬 👩‍🔬

#педагогика