Voor mensen die hun huis niet uit konden – of nog steeds niet kunnen – door het coronavirus, zijn games een belangrijke manier om de realiteit even te ontvluchten, verveling tegen te gaan en contact te leggen. Dit blijkt ook uit de opvallende nieuwsberichten van de afgelopen tijd, zoals stelletjes die trouwen op Animal Crossing, studenten die hun universiteit nabouwen op Minecraft, en miljoenen mensen die hun stress afreageren met Call of Duty.
Deze groeiende vraag naar games vormt een kantelpunt voor de gamesector: kan de sector aan de vraag voldoen zonder dat de security in het gedrang komt, en zonder te bezwijken onder de druk?
Iedereen gamer
De vraag naar games is het meest gegroeid op plekken waar het virus het hardst heeft toegeslagen en waar de social-distancingmaatregelen het strengst zijn. In Italië meldde een telecombedrijf een toename van 70 procent in online verkeer, dat vooral te herleiden is tot online gaming (met name Fortnite). In het Verenigd Koninkrijk brak de nieuwste versie van Animal Crossing in de eerste week alle records toen de game vaker werd verkocht dan alle andere versies van het spel in hun eerste week bij elkaar opgeteld. En zelfs als mensen zelf niet spelen, kijken ze hoe anderen gamen; Twitch zag tussen 8 en 28 maart 2020 het aantal kijkers toenemen met 31 procent. Professionele sporttoernooien zijn toch afgelast, en dus bieden online toernooien een welkom alternatief.
De gamesector levert nu, ondanks dat hij in het verleden regelmatig onder vuur lag, een belangrijke bijdrage aan de volksgezondheid. De Wereldgezondheidsorganisatie (WHO) steunt het gamen met zijn #PlayApartTogether-campagne, waarbij al meer dan vijftig gamebedrijven zijn aangesloten.
Ook individuele gameontwikkelaars dragen hun steentje bij aan de social-distancingmaatregelen. Op het hoogtepunt van de (intelligente) lockdown moedigde World of Warcraft spelers bijvoorbeeld aan om binnen te blijven door dubbele XP aan te bieden. Drie van de grootste ontwikkelaars uit het Verenigd Koninkrijk (waaronder de ontwikkelaar van Candy Crush) toonden de woorden ‘stay home. save lives’ in hun hoofdmenu’s of hun games.
Moeite met opschalen
De ongekende interesse in gamen is positief voor social distancing, maar onderwerpt tegelijkertijd de veerkracht van afzonderlijke platformen en het internet in zijn geheel aan een stevige test.
De piek in gameverkeer, videostreaming en mensen die vanuit huis werken, zorgt voor een digitale file – en dat terwijl de files op de snelwegen net waren verdwenen. De New York Times meldt dat, volgens onderzoek van Broadband Now, het coronavirus in New York heeft geleid tot een afname in de gemiddelde downloadsnelheid van 24 procent. In San José, Californië is dat zelfs 38 procent. Als reactie op deze digitale file proberen gamebedrijven de druk te verlichten. Zo heeft Xbox ontwikkelaars gevraagd updates in Noord-Amerika alleen uit te rollen op doordeweekse dagen en op een specifiek – laat – tijdstip.
In de hele sector is er een golf aan crashes en storingen waargenomen, omdat games moeite hebben met het bijbenen van de grote vraag. Fortnite erkende serverstoringen en ‘problemen met inloggen, matchmaking, de Item Shop en andere Fortnite-diensten’. Blizzard, de World of Warcraft-ontwikkelaar, verontschuldigde zich tegenover Chinese gamers voor de lange wachttijden en performance-issues. En de mobiele game Plague Inc. werd overspoeld door 130 miljoen spelers, waardoor de website crashte en de ontwikkelaar van de game genoodzaakt was een statement te publiceren waarin stond dat ‘Plague Inc. een game is, geen wetenschappelijk model’.
Veel games, met name die van kleinere ontwikkelaars, zijn simpelweg niet ontworpen om met deze snelheid op te schalen. Vooral in-house identity-systemen blijken een zwakke plek. Honor of Kings van Tencent kreeg te maken met storingen in China toen elke dag honderd miljoen gebruikers probeerden in te loggen. Het systeem, dat normaal gesproken ‘slechts’ zestig tot zeventig miljoen actieve gebruikers per dag hoefde te verwerken, kon dit niet aan.
Ontwikkelaars lopen massaal tegen de limieten aan van hun legacy identity and access management-systemen (iam) en staan daardoor voor een keuze: zo goed mogelijk gaten patchen of dit onderdeel overdragen aan een derde partij. Bij het maken van deze keuze moeten gamebedrijven verder denken dan de huidige crisis. Als Covid-19 eenmaal verdwenen is, blijven er namelijk genoeg mensen over die gamen tijdens de quarantaine ontdekt hebben, en hooked zijn. In dat geval zorgt het outsourcen van identity ervoor dat ontwikkelaars tijd overhouden om zich bezig te houden met de vele vragen op het vlak van opschalen in plaats van te worstelen met de uitbreiding van databases en configuratie van sso-integraties.
Securityrisico’s
Al voor het coronavirus was security een groeiend probleem in gamen, maar door de pandemie moet er nu nog meer vaart worden gezet achter het vinden van een oplossing hiervoor. Uit een McAfee-onderzoek van 2019 bleek dat 75 procent van de pc-gamers security als belangrijkste zorg zag in de toekomst van het gamen. Die zorg is niet geheel zonder reden: 64 procent van de gamers gaf aan slachtoffer te zijn geweest van een cyberaanval, of een slachtoffer te kennen.
Ondanks dit bewustzijn doen gamers er over het algemeen nog opvallend weinig aan om risico’s te verkleinen. Zo blijkt uit hetzelfde onderzoek dat 55 procent van de gamers wachtwoorden voor accounts hergebruikt, wat ze gevoelig maakt voor credential stuffing-aanvallen en phising. Hackers verkopen bijvoorbeeld door de speler verzamelde unieke items, of verkopen of ruilen zelfs hele accounts. Dit kan lucratief zijn, en komt veel voor; Akamai haalt een BBC-rapport aan waarin staat dat zelfs jonge kinderen van veertien jaar duizenden dollar per week verdienen met de verkoop en ruil van accounts. Het coronavirus versterkt deze securitybedreigingen. De grote toestroom van nieuwe gamers is minder bekend met de inlogprotocollen en loopt dus meer risico in een valstrik van hackers te lopen.
De beste manier om spelers tegen dit soort bedreigingen te beschermen, is multi-factorauthenticatie (mfa). In het verleden waren veel gamebedrijven tegen mfa, omdat ze bang waren dat deze oplossing de game-ervaring zou verstoren. Slechts enkele games boden spelers de optie om mfa in te stellen; Fortnite, als een van de weinigen, probeerde mfa te stimuleren door spelers die er gebruik van maakten zelfs te belonen.
De angst van gamebedrijven is begrijpelijk maar onterecht: wanneer mfa op een quasi-gestandaardiseerde manier toegepast wordt bij iedere afzonderlijke login, dan levert dit inderdaad een mogelijke verstoring in de game-ervaring op. Maar wanneer het meer adaptieve ‘contextual mfa’ wordt ingezet, wordt de mate van activatie van beveiligingsmechanismen afhankelijk van de hoogte van het authenticatie-dreigingsniveau. Iemand die altijd inlogt vanaf hetzelfde ip-adres krijgt door contextual mfa bijvoorbeeld een ‘laag authenticatieniveau’ toebedeeld, maar als hij ineens vanuit een ander land of vanaf een ander mobiel apparaat inlogt nemen de authenticatie-eisen toe.
Kortom, het authenticatieniveau past zich aan zodra er afwijkingen gesignaleerd worden. Dat vereist voldoende monitoring. Zo kan het aantal inlogpogingen bijgehouden worden. Komt dit aantal voor een individuele gebruiker, een bepaald ip-adres of groep ip-adressen boven een ‘normaal’ aantal uit, dan zou er sprake kunnen zijn van een credential stuffing-aanval. Ook ‘impossible travel’ (als een persoon eerst vanuit Nederland inlogt en 5 minuten later vanuit Thailand) of inloggen vanaf een onbekend ip-adres is met monitoring van gebruikersdata goed te detecteren.
Inloggen vanaf een ip-adres of met een gebruikersnaam-wachtwoord-combinatie dat al eens eerder betrokken is geweest bij een datalek, kan ook reden zijn tot verhoging van het dreigingsniveau. Met oplossingen zoals breached password detection worden dit soort gestolen gegevens bijgehouden in een database. Dit vereist wel een ijverige service of provider die deze database continu update, nu datalekken 24/7 plaatsvinden. Ip reputation blacklists kunnen traffic van bekende verdachte bronnen filteren.
Gamebedrijven die hun gamers niet onnodig willen storen, maar wel een veilige omgeving willen stimuleren kunnen het beste inzetten op een contextafhankelijke combinatie van oplossingen: zo kunnen zij logins per situatie beoordelen en indien nodig om aanvullende verificatie vragen. Ze kunnen bovendien spelers op de hoogte stellen als hun gegevens niet meer veilig zijn of zelfs automatisch uitloggen tot ze een nieuw (liefst uniek) wachtwoord instellen.
Gebruikers beschermen
Over het algemeen is de gamesector in staat de huidige uitdagingen het hoofd te bieden. Maar de systemen die nu worden geïmplementeerd om die uitdagingen te tackelen, moeten er niet enkel op gericht zijn om ons allen door de coronaviruscrisis te slepen. Het is zaak dat de oplossingen gestoeld zijn op veerkracht om de sector voor te bereiden op een nieuw tijdperk.
Met de juiste tools en de juiste mindset komt de gamesector beter uit de crisis, met meer spelers en meer mogelijkheden om eventuele pieken in gebruik goed op te vangen. Want zelfs als mensen weer normaal hun huis uit mogen, blijven velen van hen naar verwachting terugkomen naar de alternatieve werelden die ze nu aan het ontdekken zijn.
Kris Imbrechts, verkoopdirecteur Noord- en Zuid Europa bij Auth0
Leuk artikel! Het verbaast me overigens niets dat de downloadsnelheid in grote Amerikaanse steden zo omlaag is gegaan want de kwaliteit van de ISPs hier is “ruk” (zoals ze dat in H’sum zo mooi zeggen).