Security is geen spelletje, maar serious gaming helpt
Security spelenderwijs duidelijker maken, dat is het doel van het Kaspersky Industrial Protection Simulation (KIPS) spel dat georganiseerd wordt tijdens de topconferentie NCSC One op 13 en 14 april in Den Haag. Het spel is bedoeld om een serieuze, complexe zaak als security voor een groot publiek begrijpelijk te maken. En dat blijkt bepaald geen overbodige luxe.
Uit onderzoek blijkt dat het leeuwendeel (zo’n 80 procent) van alle cyberincidenten terug te voeren valt op menselijke fouten. Securitytechnologie kan niet alles afdekken en dus steken organisaties veel tijd en geld in trainingen en cursussen om hun mensen bewust te maken van beveiligingsrisico’s. De resultaten daarvan laten - zeker op de langere termijn - vaak nogal te wensen over. Werknemers vervallen al gauw weer in hun vertrouwde patronen, hun besef en waakzaamheid zakken in. Bovendien lijden huidige securitytrainingen onder het imago dat ze duur, saai, technisch vrij pittig en ook nog eens tijdrovend zijn.
Weg met saaie trainingen
Experts van Kaspersky Lab ontwikkelden een methode om mensen op een leuke, interactieve manier te leren bewust om te gaan met cybergevaren: de Kaspersky CyberSafety Games. Dit zijn korte trainingen waarbinnen KIPS (Kaspersky Industrial Protection Simulation) een concrete simulatie is van industriële systemen zoals SCADA (supervisory control and data acquisition). Geen technische simulatie met diagrammen op een scherm of theoretische vragen over dreigende scenario’s. Deze trainingen en games leggen de focus op wat je wél kunt doen. Ze hebben een positieve insteek en stimuleren de vindingrijkheid van deelnemers. Het doel is een blijvende gedragsverandering en daar is een andere houding voor nodig.
De serious securitygames van Kaspersky Lab zijn gericht op gedragsverandering door de betrokkenheid van spelers te bevorderen, door hen te belonen voor samenwerking, door óók de nipte ontsnappingen aan ze te melden, en door een bedrijfscultuur te scheppen waarin iedereen cybersafety als verantwoordelijkheid voelt én neemt. Angst en onwetendheid worden spelenderwijs en meetbaar weggenomen. Het aantal security-incidenten valt zo met 90 procent terug te dringen en het financiële risico daarvan met 50 tot 60 procent (Aberdeen Group: ‘The Last Mile in the IT Security: Changing User Behaviors’, 2014).
Samen, met een iPad en fysieke speelkaarten
Op verzoek van het Nationaal Cyber Security Centrum organiseert Kaspersky Lab de KIPS-game tijdens de NCSC One-conferentie. Bezoekers van de internationale conferentie kunnen meedoen aan het spel waarbij een gesimuleerd nutsbedrijf door de spelers beschermd moet worden tegen onverwachte cyberevents. Topconferenties in 14 landen zijn Nederland al voorgegaan. Op de securityconferentie in Den Haag gaat het om een waterbedrijf, maar er zijn ook KIPS-varianten voor andere organisaties in specifieke industrieën, zoals elektriciteitscentrales.
Deelnemers aan het spel worden opgedeeld in teams van elk vier tot vijf mensen die samen hun waterbedrijf moeten besturen en beschermen. Elk team krijgt daarvoor een iPad en een fysiek speelbord plus een set spelkaarten. Elke kaart is voor een specifieke handeling, voor de business maar ook voor de bescherming ervan. Net zoals in de echte wereld is er sprake van beperkte middelen. Elke keuze heeft dus gevolgen voor het runnen van het bedrijf. Om de betrokkenheid te vergroten gaan de teams met elkaar de uitdaging aan. Welk team weet zijn waterbedrijf het beste te runnen, daarbij rekening houdend met verschillende aspecten zoals automatisering, process control, security en bedrijfsvoering?
Kijk voor meer informatie over de KIPS game op de website van de NCSC One Conferentie.
Registratie voor deelname aan de game is niet meer mogelijk, om de conferentie bij te wonen kan pers zich hier aanmelden.