Security is een serieuze zaak. Naast script kiddies en cybercriminelen komt tegenwoordig ook cyberoorlog om de hoek kijken. Spelen is een serieus tegenmiddel: serious gaming helpt security vooruit.
De carrière van tekenfilmfiguur Homer Simpson is een slecht voorbeeld voor security. De luie werknemer doet onwetend zijn werk in een kerncentrale en laat alles uit zijn handen vallen zodra zijn dienst erop zit. Natuurlijk is dit fictie, maar it-security lijdt nog altijd onder onwetendheid van werknemers. Zowel gewone mensen als experts op specifieke gebieden maken fouten en doen onveilige dingen. Trainingen en cursussen lijken daar maar weinig in te kunnen veranderen. Want ‘elke computer is besmet, iedereen loopt gevaar en de eerste cyberoorlog is een kwestie van tijd’, luidt de sombere boodschap van bepaalde experts.
Papieren spelbord en kartonnen kaarten
Laten we niet wachten op de cyberoorlog, maar laten we ons beter voorbereiden op het afwenden ervan. Daarvoor moet security-besef beter doordringen, niet alleen bij it’ers en beveiligingsexperts. Zij kunnen niet alles doen en moeten dat ook niet doen. Een effectieve en leuke manier om security door te laten dringen, is door het na te spelen. Nee, niet met een geforceerd rollenspel als onderdeel van een verplichte trainingsdag. Beter en leerzamer is een gedegen ontworpen serious game met het oog op it-security.
Serious gaming is een serieuze bezigheid waarbij educatieve doelen effectiever worden bereikt door mensen op een leuke, prikkelende manier te laten samenwerken. Schijnbaar in strijd met de digitale aard van onze industrie is serious gaming vaak juist een analoge kwestie. Spelers komen fysiek bij elkaar, zitten aan tafel met daarop een papieren poster als spelbord en krijgen setjes kaarten waarvan ze er bij elke beurt een beperkt aantal mogen inzetten.
Wij hebben zelf ook een serious game ontwikkeld: KIPS, the Kaspersky Industrial Protection Simulation. De complexiteit van een industriële organisatie, zoals een elektriciteitscentrale of een waterbedrijf, wordt daarbij vervat in een overzichtelijke spelmissie. Zorg dat jouw team van vier tot vijf mensen de hoofdtaak van de industriële installatie zo goed mogelijk uitvoert. Voor een waterbedrijf komt dat dus neer op het afleveren van schoon water, wat een bepaald maximum aan omzet vertegenwoordigt.
Verrassingen uit de praktijk
Dit klinkt wellicht makkelijk, maar dat is het zeker niet, zo ondervonden tientallen bezoekers aan securityconferentie NCSC One eerder deze maand. Die internationale topconferentie in Den Haag was niet alleen het toneel van toespraken en presentaties over kritieke securityzaken. Op uitnodiging van het NCSC (Nationaal Cyber Security Centre) hebben wij een KIPS-sessie gehouden. De goed gevulde zaal leverde een flink aantal teams op die tegen elkaar wedijverden om hun operatie zo veilig mogelijk te laten verlopen.
Daarbij moeten de spelers opboksen tegen vastgelegde budgetten, angstaanjagend securitynieuws, onbekende dreigingen, onverwachte gebeurtenissen en maar al te bekende praktijkscenario’s. Zo blijkt bij sommige teams een technisch ingenieur van het gesimuleerde waterbedrijf een eigen, ongeautoriseerde laptop te hebben aangesloten op het interne netwerk. Dit om zijn veelal mobiele werk efficiënter te kunnen doen dan telkens van achter zijn vaste workstation. Klinkt bekend?
Spelenderwijs leren
Deze verrassing wordt pas na enkele beurten ontdekt doordat de spelbegeleider sommige teams dan extra kaarten toebedeelt. De rogue laptop van de goedbedoelende ingenieur gooit de strategie van de getroffen teams flink overhoop. Het verklaart wel waarom een productieprobleem dat is opgelost in een eerdere beurt telkens weer terugkomt. Security als een spelletje whack-a-mole.
KIPS heeft nog wel meer verrassingen in petto. Welke dat zijn ga ik niet verklappen, want dat zou lezers van dit stuk een oneerlijk voordeel geven en dus het spel bederven. In de realiteit is het immers van tevoren ook niet goed bekend wat de zwakke plekken zijn, waar een aanvaller zich op richt en hoe het it-securitybudget het beste ingezet kan worden. Dat klinkt complex en dat is het ook, maar het valt spelenderwijs te leren. En dat is beter dan het door schade en schande te leren.