Security als serious game

serious gaming

In de ratrace van ict-security tegen cybercriminelen, is de mens vaak de zwakste schakel. Ondanks voorlichting, regels, cursussen, bewustwordingstrainingen en andere middelen, vormen werknemers, ict’ers en managers een risico. Serious gaming biedt uitkomst.

 

Waar ICT vaak al complex is, wordt dat dankzij security nog eens dubbel zo erg. Toch valt er soms met simpele regels en basale stappen al veel te winnen. Dat beveiliging lastig beklijft, kan deels komen doordat ict-security op de werkvloer wordt gezien als een verantwoordelijkheid van de organisatie. Daarbij wordt dan vertrouwd op het bedrijf of de it-afdeling dan wel op de voor security gebruikte technologie.

 

Menselijke factor

Alle vooruitgang ten spijt weten malware en cybercriminelen veel te omzeilen, te bedotten en daardoor te hacken. Social engineering is bijna verheven tot een kunstvorm, waarbij werknemers in alle lagen en afdelingen van de organisatie het doelwit zijn. De zogeheten CEO-fraude is een berucht fenomeen. Daarbij geven digitale dieven een overboekingsopdracht of accountwijziging van zogenaamd een leidinggevende.

Voorzichtigheid en waakzaamheid zijn dus geboden. En daar komt weer de menselijke factor in beeld. Cynische it’ers kennen de jarenoude afkorting PEBCAK (Problem Exists Between Chair And Keyboard), waarbij de gebruiker de oorzaak is voor technische problemen. In securityland is dit maar al te vaak de pijnlijke realiteit.

 

Tech is niet het antwoord

In een poging een antwoord te vinden, richten ict’ers zich op meer technologie om de kwetsbare maar ook ‘kwetsende’ gebruikers af te schermen. “De focus ligt ten onrechte op systemen”, zo vertelde onderzoekswetenschapper Esther Oprins van TNO al eerder aan ICT/Magazine. Zij weet uit haar onderzoekswerk dat gewone gebruikers lijden onder angst, onzekerheid en stress over en door technologie. Daarnaast zijn gebruikers grotendeels onwetend van de risico’s, mede door hun eigen technologische onkunde.

Op organisatieniveau wordt er vaak gegrepen naar de bestuurlijke middelen van regels, voorschriften, voorlichting en cursussen. In de praktijk komen deze maatregelen bovenop bestaande werkdruk en de door Oprins waargenomen technologiestress. Cursussen en trainingen hebben tijd nodig om te bezinken en moeten de nodige ruimte krijgen om in de praktijk te kunnen worden nagevolgd.

 

Diepe instincten

Vaak gaan gebruikers na het volgen van zo’n verplichte les namelijk eerst over tot de dagelijkse gang van zaken. De gedoceerde securitylessen komen later wel aan bod, zo luidt vaak de goedbedoelende intentie. De vraag is dan of die lessen wel goed aan bod komen en of dat dan tijdig gebeurt. Het volgende security-incident kan morgen al plaatsvinden. Een betere aanpak schuilt in gaming, zo blijkt uit onder meer TNO-onderzoek naar de effectiviteit van serious gaming. Deze manier van spelenderwijs leren is iets anders dan de reguliere computergame. Evenmin is het de ouderwetse educatieve game. Serious gaming is een moderne manier om middels ervaring complexe materie over te dragen en die daarbij diep te verankeren. De wetenschappelijke ondergrond is namelijk dat de spelvorm aanhaakt op diepe instincten. Winnen komt neer op overleven en dus slaat het brein de daarvoor gebruikte informatie goed op.

 

Analoog bordspel

Op securitygebied wordt deze aanpak nu meer en meer benut om inzichten te verschaffen en lessen te (laten) leren. Zo heeft securityleverancier Kaspersky Lab een eigen kaartspel ontwikkeld. Dit analoge kaartspel simuleert de ict-security voor een waterbedrijf en brengt de speler waardevolle lessen bij. Potentiële spelers zijn gewone werknemers, maar ook it’ers en managers. KIPS (Kaspersky Industrial Protection Simulation) is in de kern een bordspel dat wordt gespeeld op een papieren speelveld met kartonnen spelkaarten. Daarbij is begeleiding op een iPad en score-overzicht op een groot scherm of beamer mogelijk, maar niet persé noodzakelijk. De inzet van technologie kan wel helpen voor het verstrekken van de nieuwsbulletins tijdens de diverse rondes van één spelpartij. Deze fictieve spelsturende informatie is gestoeld op de realiteit van ict-security en dreigingen.

 

Vol overgave

In een KIPS-spel mogen de verschillende teams elke beurt voor een bepaald aantal punten kiezen welke kaarten ze inzetten. Een kaart voor een netwerkaudit, een kaart voor een security-upgrade, een kaart voor een firewall-implementatie enzovoorts. Elke beslissing heeft gevolgen, elke beslissing kan een kostbare misser zijn. Het einddoel is winstmaximalisatie – lees: kostencontrole – voor het waterbedrijf

Kaspersky houdt geregeld KIPS-sessies in verschillende landen. Vorig jaar in Nederland op de internationale securityconferentie NCSC One, georganiseerd door het ministerie van Justitie en Veiligheid. ICT/Magazine heeft daar securityprofessionals met diverse kennisniveaus en van uiteenlopende organisaties vol overgave zien spelen. De tussenstanden, de eindstand en de analyse achteraf door de spelleider gaven de aanwezigen grotere inzichten maar ook verbazing en zelfbespiegeling.

 

Leren en bespiegelen

Het gaat bij serious gaming voor security overigens niet alleen om informatieoverdracht, maar ook om het voorhouden van een spiegel. Zo heeft financieel dienstverlener PWC het eigen ‘Game of Threats’ ontwikkeld. Dit serieuze securityspel is vergelijkbaar met KIPS, al wordt dit meer digitaal gespeeld. Bij het PWC-spel zijn er slechts twee teams: de organisatie en de aanvallers. De inzet is de kostbare bedrijfsdata van het verdedigende team.

Terwijl spelers in rondes het Game of Threats spelen, begeleiden PWC-consultants elk team. Daarbij worden de opties en keuzes van de teamleden geduid en geanalyseerd, maar wordt ook de groepsdynamiek bestudeerd. De formele manager van een groep werknemers neemt in de gesimuleerde praktijk van het spel niet altijd adequaat de leiding. Dit kan consequenties hebben die tot verlies leidt tijdens het cybersecurityspel. Aan de andere kant kunnen werknemers te afwachtend of volgend zijn. Ook dit kan tot securityschade en dus verlies leiden.

 

Van virtueel naar de stad

Om ict-security, naast deze twee voorbeelden van serious games, nog beter te laten doordringen, zijn er nog diverse andere spellen van verschillende aanbieders. Zo heeft securitytrainer SANS Institute in zijn NetWars-lesprogramma ook een serious game om ict-professionals al spelend de impact van (in)security op de fysieke wereld bij te brengen. Dit spel – CyberCity – draait om een fictieve stad, die virtueel kan worden weergegeven of met een door ICT aangestuurde maquette. Het speelveld is compleet uitgerust met nutsmiddelen, ziekenhuizen, banken, winkels, een spoornet en andere ict-afhankelijke elementen. Ook hier is het doel kennisoverdracht, teamwork, bewustwording en vooral diepe verankering dankzij het competitieve spelelement. ICT/Magazine weet uit de meegemaakte spelsessies dat winnen en verliezen allebei flinke indruk maken.

 

Gerelateerde berichten...