Цього тижня відбувся Національний хакатон з кіберзахисту. Хакатон спільно організовували Центр стратегічних комунікацій, Держспецзв’язку та НАТО. Я взяв участь у хакатоні у ролі члена журі та доповідача на семінарі.
Захід відбувся в форматі NATO Tide Hackathon, і на його початку мені не було відомо більше нічого. Думаю, я не один такий, тому пару слів про власне формат та умови хакатону.
tl;dr: Рівень організації перевищив мої очікування. Рішення команд-учасниць суттєво перевищили мої очікування. В системі оцінювання є суттєві недоліки, які я рекомендую виправити. Наступного разу організаторам доведеться показати суттєвий прогрес. Тепер докладніше.
У хакатоні брали участь 15 команд з державних установ та вишів за спеціальністю кібербезпека. Досвід та підготовка команд жодним чином не кваліфікувалися. До участі допускалися чинні практики кібербезпеки, зелені курсанти, студенти старших курсів, кандидати наук тощо. Командам надали вибір з трьох завдань за такими напрямками:
- кіберзахист систем та мереж об’єктів критичної інфраструктури
- виявлення та реагування на кібератаки
- пошук та аналіз інформації про кіберзагрози.
Якщо дуже образно: інженерія кібербезпеки, реагування на інциденти кібербезпеки, та розвідка кіберзагроз.
В команд було 5 днів, щоб розробити рішення у форматі концептуального проєкту. Дуже добре, що усі команди зрозуміли правильно головну ціль змагань: запропонувати рішення із захисту інформаційних систем від кіберзагроз.
Але починаючи з цього місця почалася вільна інтерпретація: від рівня абстракції поставленої задачі, до розуміння зовнішніх факторів. Тому деякі команди обмежилися в рішенні “широкими мазками”, проте все одно вписалися в умови та потрапили до призерів. А деякі команди пішли далі та показали готовий програмний прототип.
В кінці заходу команди презентували свої проєкти перед журі. На захисті капітани мали продемонструвати, як їхні рішення реалізують основну задачу хакатону: забезпечення кібербезпеки та захисту інформації. А також, як запропоновані рішення задовольняють основні критерії оцінювання, серед яких актуальність, дієвість, реалістичність та інноваційність.
Додатково, НАТО висунуло критерії сумісності зі стандартами альянсу. І ще додаткових балів можна було заробити на якості презентації.
Епізод 65. Національний хакатон з кіберзахисту – No Name Podcast
Мушу прокоментувати манеру презентації кількох команд. В умовах, коли на все про все разом з питаннями журі у вас 8 хвилин, не варто починати з формулювання загальної актуальності поставленої перед вами задачі. Всім і так зрозуміло, навіщо ми зібралися. Не вистачало ще лекцій на тему “кібербезпека це…”
Також, звісно, державна служба накладає на лексику певні обмеження. Проте чути в п’яти реченнях поспіль “об’єкти критичної інформаційної інфраструктури критичної інфраструктури” це трохи занадто. Використання формально затверджених термінів у нормативній документації – це одне. Економія часу на презентацію та піклування про психічний стан суддів у журі – це трохи інше.
Але досить про команди. Краще розкритикую систему оцінювання та прокоментую загальну організацію.
Взагалі, організація відбулася на досить високому рівні. Я ще не брав участі в заходах, що організовувалися державними установами, тому це було приємною несподіванкою. Від самого початку та до самого кінця я чітко знав, чого від мене вимагає участь в журі, де і коли мені треба бути на дзвінках та фізично, куди ставити яку оцінку тощо.
Також, в мене був доступ до колег по журі, до менторів та команд. Всі потрібні події, координати та посилання були в мене в календарі. Не знаю чия це заслуга – СтратКому чи ДССЗЗІ – але в підсумку це не важливо. Я почувався так само комфортно, як і на добре організованій професійній події.
Технічне забезпечення, хоч і стояло в організаторів в пріоритеті, зрештою досить суттєво просідало. Задача була поставлена складна: забезпечити подію в віртуальному форматі двомовними стрімами з синхронним перекладом та спікерами в студії.
Як багаторічний організатор конференцій, я вам так скажу: зробити це без помилок в принципі неможливо. Я знаю лише дві команди в Україні, які рік у рік таке вивозять на належному рівні, і все завдяки одній людині. Тому претензії за нерівний звук, накладання доріжок, затримки та тимчасово погану якість я вважаю несвоєчасними.
І про систему оцінювання: це був провал. Я не знаю, чи збігається стобальна шкала по принципу “хто більше сподобався” з форматом NATO Tide Hackathon. Але в будь-якому разі так залишати не можна. Коли один суддя в колонці “Implementability” ставить команді 0 балів, а інший 20 – для мене це сигнал тривоги.
Такі серйозні відхилення просто за рамками допустимого: про статистичні відхилення та коридор помилок тут навіть не йдеться. Тому найкритичніше моє зауваження стосується саме системи оцінювання. Її треба щонайменше деномінувати на десятковий порядок, або подумати про інші способи привести її в адекватний вигляд.
Кілька слів про учасників. Відзначу команди, які продемонстрували оригінальні ідеї та довели їхню реалізацію до кінця. На фоні “води”, переказу рекламних проспектів, екскурсій документацією open source проєктів, та академічною демагогією ви виглядали просто шикарно.
Я обіцяв не вказувати назви, але підкреслю чудову гру команд з Житомира, КНУ та Кіберполіції. А ще, практичність й завершеність рішення від команди ДСНС. Сподіваюся бачити та чути вас на професійних подіях з кібербезпеки та насолоджуватимуся вашими успіхами.
Підсумуємо: проводити такі заходи треба, ітертативно покращувати їх необхідно. Критикувати та хвалити їх варто хоча б для того, щоб про них дізнавалися ширші аудиторії. Сподіваюся, мій відгук буде корисним для організаторів та майбутніх учасників хакатону.
Чого хочеться далі? Залучення команд з різних секторів та напрямків. Адекватної системи оцінювання. І ще багато чого, про що ми поспілкувалися вчора у No Name Podcast. Очікуйте на випуск та діліться з нами своїми думками.
А поки що – залишайтесь в безпеці.