Na Teamsie zaczepił mnie kolega Adam, pytając czy byłbym zainteresowany powrotem na studia. Trochę skołowany, a trochę przestraszony (do tej pory śnią mi się co gorsze egzaminy) powiedziałem, że nie jestem pewny i żeby podał jeszcze trochę szczegółów, bo może trafią się jakieś ciekawe i się jednak skuszę. Adam stwierdził, że to zajęcia z bezpieczeństwa systemów przemysłowych na Politechnice Krakowskiej i w zasadzie zostawia mi pełną dowolność. Wtedy dotarło do mnie, że to ja mam na tych studiach wykładać. Idąc w zgodzie z maksymą „jeśli chcesz się rozwijać, wybieraj te ciężkie ścieżki” stwierdziłem, że zrobię to.
Szanowni Państwo, oto ja: Piotr Urbańczyk – Wykładowca Akademicki. W tym cyklu wpisów podzielę się z Wami zapisami z procesu tworzenia zajęć i ich prowadzenia ze studentami.
Dobry początek
Jako że prowadzimy szkolenia dla naszych klientów z zagadnień związanych z bezpieczeństwem OT, mamy dostępną bazę slajdów. Zajęcia ze studentami to świetna wymówka do podrasowania tych materiałów, ale przede wszystkim dla mnie, to świetna okazja do odświeżenia sobie wiedzy z zagadnień, które nie są na co dzień dotykane w pracy. No bo przecież doskonale wiem, do czego służą sterowniki, ale jaka była ich historia? Co spowodowało tak wielki i szybki ich rozwój w latach 1970-2000? Musiałem znaleźć odpowiedź na te i inne pytania, bo przecież tak rys historyczny jest istotny na pierwszych zajęciach z ludźmi, którzy niekoniecznie muszą wiedzieć cokolwiek na ten temat.
Zanurkowałem do swojej biblioteki osobistej i do biblioteki Tekniski, aby znaleźć właściwe informacje. To bez żadnych zastrzeżeń mogę polecić kilka książek, dla wszystkich zainteresowanych tematem, np. Jacob Brodsky i Robert Radvanowsky napisali genialną książkę „Handbook of SCADA/Control System Security”. Świetną pozycją do biblioteczki jest również książka z serii „Hacking Exposed – Industrial Control Systems, ICS and SCADA Security Secrets and Solutions” napisana przez panów Bodungena, Singera, Shbeeba Hilta i Wilhoita.
Uzbrojony w tę wiedzę, i swoje doświadczenie, przystąpiłem do tworzenia slajdów i reszty materiałów.
Praktyczne podejście do nauki i case study
Okazuje się, że materiały z naszych kursów stanowiły świetną bazę do tworzenia slajdów dla studentów, tylko wymagały rozszerzenia, żeby nie zostać „mistrzem jednego slajdu”. W tym celu wszystkie nasze treści rozszerzyłem o dodatkowe informacje i przykłady z naszej tekniskowej praktyki. W naszych szkoleniach, część tych informacji pokazywana jest jako bloki główne, a część stanowi przerywniki pomiędzy blokami. Ponieważ w trakcie szkoleń, widzimy się z kursantami przez kilka dni z rzędu, a wykłady trwają 6-8 godzin dziennie, taka forma zwiększa nieco dynamikę prowadzenia zajęć i pozwala nieco rozruszać szare komórki po długich blokach. Czyli kiedy kończymy blok o standardzie IEC 62443, opowiem i pokażę kursantom coś na temat protokołu przemysłowego, z przykładami jego stosowania. Potem przeanalizujemy wspólnie case study (np. Stuxnet, z którego w dalszym ciągu można się sporo nauczyć, mimo to że został odkryty w 2010 r.) i przejdziemy płynnie do laboratoriów. Taki układ zajęć pozwala mi również na bezbolesny powrót z przerw lunchowych i uniknięcie przysypiania kursantów :-)
Materiały kursowe zawierają sporo studiów przypadków – tych najważniejszych dla zrozumienia zasad, którymi kierować powinny się zespoły bezpieczeństwa. Prowadzenie zajęć na studiach pozwoliło mi na przegląd tych wszystkich informacji i dobudowanie do nich treści. Zwiększyłem ilość danych na temat poszczególnych przypadków, uzupełniłem je o najnowsze dane, których wcześniej nie ujawniono. Dopisałem też sporo nowych studiów przypadku, np. tych najnowszych takich jak Oldsmar na Florydzie.
Wszystkie te przypadki pozwalają kursantom zrozumieć, jak istotne w procesie zapewnienia bezpieczeństwa jest właściwa identyfikacja metod ataków i wyciągnięcie z nich wniosków na przyszłość. Koncepcje takie jak Kill Chain bardzo łatwo się wykłada i o nich opowiada, ale bez praktycznego przećwiczenia ich w głowie, kursanci bardzo szybko o nich zapominają. Kilku kursantów przybyło już do nas na szkolenia, twierdząc że wspomniany Kill Chain możemy pominąć, bo już o nim słyszeli. Po pierwszych ćwiczeniach ci sami kursanci często mówią że dobrze się stało, że to jednak powtórzyliśmy.
Niemałym wyzwaniem okazało się stworzenie spójnego laboratorium dla studentów.
Jak każde porządne szkolenie, nasze również zawiera zestaw ćwiczeń praktycznych, które wykonywane są pomiędzy blokami wykładowymi. Mają one za zadanie pozwolić początkującym „zanurzyć paluszek” w zagadnieniach bezpieczeństwa, a tym bardziej zaawansowanym kursantom, pozwalają na pogłębienie swojej wiedzy. Często okazuje się, że kursanci mimo odbytych wcześniej szkoleń, po prostu nie mają gdzie ćwiczyć swoich umiejętności. Problem z adaptacją tych ćwiczeń dla studentów polegał na tym, że w trakcie kursów mamy maksymalnie dziesięciu kursantów i na taką ilość zainteresowanych wyskalowane zostało środowisko laboratoryjne. Drugim problemem okazało się to, że ćwiczenia dla kursantów były krótkimi zadaniami rozproszonymi w trakcie kursu.
Na potrzeby studiów musiałem przemyśleć tę koncepcję. Stworzyłem plan 10 zajęć laboratoryjnych i z kolegami zaczęliśmy je opracowywać. Zajęcia obejmują ćwiczenia praktyczne z analizy podatności w środowisku przemysłowym, tak żeby tego środowiska nie uszkodzić, elementy informatyki śledczej, konfiguracji sieci, procedur itp.
Początkowo zakładaliśmy, że zajęcia w większości będą odbywać się w naszym laboratorium wirtualnym, jednak studenci poprosili o możliwość wykonywania ćwiczeń w domowym zaciszu. Stworzyłem więc dla nich specjalną maszynę wirtualną zawierającą wszystkie zadania i narzędzia niezbędne do ich wykonania. To był solidny kawał roboty i powiem szczerze że jestem z tego dumny.
Jak upiec dwie pieczenie na jednym ogniu?
Nie wiem, jak to jest. Zdarzało mi się występować na konferencjach, prowadziłem szkolenia i zajęcia dla całych zespołów genialnych inżynierów jak i budzących respekt zarządów a przed pierwszymi zajęciami dla studentów stres był spory.
Kiedyś przed pierwszym wystąpieniem na konferencji ktoś powiedział mi, że to dobrze, bo stres nas może motywować. I wydaje mi się, że miał rację. Stres nas motywuje i przyspiesza reakcje. W trakcie analiz zdarzeń incydentów u naszych klientów, zawsze podchodzę do nich z odrobiną stresu. Co będzie, jeśli mnie coś zaskoczy? Co jeśli nie będzie danych do skutecznej analizy? Takie myśli chodzą wtedy po głowie. Ja wtedy staram się wytłumaczyć sobie, że mam za sobą lata doświadczenia, szkolenia, ćwiczenia, certyfikaty i to wszystko powoduje, że nawet jeśli trafi kosa na kamień, to będę w stanie postawić właściwe pytania, które po analizie pozwolą mi zaproponować właściwy kierunek działania.
Podobnie było w przypadku pierwszych zajęć ze studentami. Musiałem sobie uświadomić, ile czasu spędziłem na przygotowanie materiałów. Ile razy je przeglądałem, ćwiczyłem „na sucho” i na gumowej kaczuszce, która po wysłuchaniu wielokrotnych wykładów na tematy bezpieczeństwa, powinna już być w stanie rozpocząć karierę zawodową.
W każdym razie, wziąłem głęboki wdech, upiłem łyk kawy, uruchomiłem wykład i powiedziałem: „Dzień dobry szanowni państwo, zapraszam do wysłuchania pierwszego wykładu z naszego kursu Bezpieczeństwo Przemysłowych Systemów Transmisji Danych.”
Właściwe przygotowanie materiałów do kursu, opracowanie laboratoriów i przećwiczenie tych elementów, pozwoliło mi opracowanie i przeprowadzenie zajęć ze studentami. Mając do dyspozycji czas i zasoby Tekniski, dostosowałem materiały kursowe do specyfiki studiów. Uzupełnione materiały będą wykorzystywane również w naszych kursach (dwie pieczenie na jednym ogniu, super!). Mam nadzieję że zajęcia ze mną na studiach studenci będą mile wspominać i mimo to że w ankiecie na pierwszych zajęciach tylko kilkoro z nich wyraziło chęć pracy w przemyśle, to po ukończeniu kursu, zmienią zdanie i zasilą sobą szeregi ‘bezpieczników’, których według ostatnich badań, brakuje kilku milionów na rynku. Mimo sporej presji czasowej i organizacyjnej, ja będę mile wspominał ten semestr i cicho w duchu czekać będę na następną okazję do dzielenia się wiedzą.