Передача знаний в соревновательной форме (Capture the flag)

Вы, наверное, уже заметили, что обучение сотрудников и передача знаний — это прямо моя боль, особенно когда продукт очень сложный. Поэтому я так часто про это пишу 😅 Мы с вами уже разбирали темы необычных инструментов для онбординга новых сотрудников (раз и два) и советы по запуску офигенских внутренних митапов.

Сегодня мы поговорим про передачу знаний в соревновательной форме, а именно — через игру capture the flag. Также оставлю внизу статьи ссылку на видео с конференции, на базе которого написаны эти тезисы. Автор презентации рассказывает про передачу знаний в контексте задач по информационной безопасности, но она подходит к любым областям, пример есть ниже 🔥

Capture the flag (CTF)

• Это игра либо на решение задач, либо на взломы системы (общей системы организаторов или систем друг друга, когда надо сломать чужое не дав сломать своё).
• Про классический CTF в сфере кибербезопасности можно почитать на Википедии вот тут.
• Нас же будет интересовать общая концепция соревнований между участниками или командами, во время которых они получают новые знания и применяют их на практике в соревновательном режиме. Важно понимать, что всё, что может быть представлено в виде задачи, может быть основой CTF.

Пример создания простой задачи

Предположим, наша компания производит роботов-андроидов и в ней есть отдел тестировщиков, которые пихают этих андроидов палками и смотрят на их равновесие (привет компании Boston Dynamics! 😍).

• Эти сотрудники не знают, что андроиды ориентируются в пространстве с помощью QR-кодов. И как эти коды работают тоже не знают, поэтому если у них будет лучшее понимание, то и клюшками они пихать будут лучше 😄
• Итак, мы определились с темой (QR-коды).
  Википедия нам рассказывает, что они по природе избыточные (даже если у кода физически не хватает угла, код будет читаться). Берём QR-код, отрезаем в фотошопе кусок, это и будет первое задание — прочитать код.
• Выдаём его сотрудникам вместе со ссылкой на страницу в Википедии, они должны найти нужную информацию, применить её, считать код и прислать ответ в чат или специальную форму.

картинка взята из видео, ссылка в конце статьи

Последовательность создания CTF-игры

1. Фиксируем то, чему мы хотим научить сотрудников. Трансформируем в задачи.
2. Определяем формат и правила: какие команды, как в них распределятся люди, какие ставим сроки и даём задачи, как участники будут сдавать ответы, по каким принципам определяем победителей, как будем мониторить успехи и сообщать о них участникам и т.п. Как вариант, можно сделать вики-страницу и всё записать туда.
3. Доносим правила до людей.
4. До начала игры проверяем всё сами (заодно сочиняем план Б, если всё будет работать не так, как изначально планировалось 😅).
5. Проводим игру, награждаем победителей.
6. Важный этап: в самом конце делаем разбор задач, объясняем непонятное, поясняем решение, отвечаем на вопросы.

Советы и ответы на часто задаваемые вопросы

• С какой периодичностью устраивать CTF?
  Каждые 5–6 месяцев. Если с этого момента пришло много новых людей, то можно сделать один для ребят поопытнее, а другой — для новичков.
• Какие делать призы?
  Можно сугубо формальные, опросы показали, что ребятам интереснее участвовать. Также автор презентации приводил примеры с бутылкой шампанского (символично и приятно) и с денежным призом (с ним уже сильно больше “прикапываний” к жюри по поводу принятых решений, особенно от тех, кто проиграл).
• Что делать, если в команде плохо с вовлечённостью?
  Вкладывайтесь в мероприятие и делайте каждое новое веселее и интереснее предыдущих, чтобы его рекламировали уже поучаствовавшие люди.
• Можно ли проводить игру во внерабочее время?
  Можно, если у вас в команде а-ля коммьюнити: все уже активно общаются вне работы и в принципе очень вовлечены. Презентатор рассказал, что при проведении CTF во внерабочее время они ограничили доступ к серверам CTF в рабочие часы (с понедельника по пятницу с 11 до 17), но при этом увеличили в два раза длительность всей игры.
  А вот собрать невовлечённых людей вне работы — та еще задачка 🙈Поэтому проще проводить игру на работе (все уже в офисе, игра — это по сути наложение своего процесса поверх рабочего).
• Как продать идею таких игр руководству?
  Общайтесь на языке бизнеса про деньги.
  Например: берёте топ-10 уязвимостей за год, считаете, во сколько обойдётся компании каждая из них, потом считаете во сколько компании обойдётся участие в CTF (число участников умножить на зарплату).

Надеюсь, было полезно! Я в своё время давала ребятам в отделе техподдержки тренировочные задачки, которые писала на базе реальных клиентских проблем и данных, которые присылали в саппорт. Сейчас думаю, что было бы интереснее сделать соревновательную игру, где эти же задачи решают все игроки одновременно.

Отдельная любопытная идея для CTF — учиться применять фичи из самого свежего релиза. Например, заранее выдать для CTF все мануалы и release notes и подготовить задачи, которые можно решить только с применением новых инструментов и алгоритмов 💪

Ссылка на видео: