Oktober is cybersecuritymaand en dat ging ook binnen Belnet niet ongemerkt voorbij. Om onze collega’s bewust te maken van de gevaren van social engineering, organiseerden we de afgelopen maanden al enkele keren het rollenspel ‘Piece of Cake’, dat werd ontwikkeld door onze collega’s van het Zwitserse onderzoeks- en onderwijsnetwerk SWITCH.
Cybercriminelen weten al langer dan vandaag dat het vaak gemakkelijker is om mensen te hacken dan zwaar beveiligde systemen. Ze gebruiken verschillende technieken, zoals CEO-fraude, om gebruikers te manipuleren opdat ze ongewild vertrouwelijke informatie of geld geven. Recente cijfers van het CCB/CERT.be tonen aan dat er in 2022 in totaal 39,8 miljoen euro buit werd gemaakt naar aanleiding van phishing, een stijging van bijna 60% in vergelijking met 2021. Het is dus duidelijk dat we niet enkel professionele securitydiensten nodig hebben die onze infrastructuur en gegevens beschermen, maar ook experten op vlak van communicatie, training en gedragsverandering die van onze gebruikers de ‘sterkste schakel’ maken.
Maar hoe moet je gebruikers bewustmaken van beveiligingsrisico’s? Hoe slaag je erin om hen te motiveren om hun gedrag – dat vaak is gebaseerd op gewoontes – aan te passen? Traditionele trainingsmethodes zijn zonder meer zinvol, maar missen soms interactie en creativiteit. Enter gamification: het gebruik van spelelementen om gebruikers te enthousiasmeren om problemen op te lossen en hen te motiveren door elementen van competitie en beloning te integreren in de training. Bovendien is aangetoond dat bij trainingsmethodes op basis van gamification de opgedane kennis niet alleen groter is, maar ook langer blijft hangen.
Piece of Cake
Onze collega’s van SWITCH, het Zwitserse onderzoeks- en onderwijsnetwerk, hebben dit goed begrepen en ontwikkelden voor hun community een reeks hands-on trainingen onder de noemer ‘SWITCH Security Awareness Adventures’. Elk ‘avontuur’ bestaat uit een mix van theorie en praktijk, waarbij teamwork centraal staat.
Bij Belnet gingen we onlangs aan de slag met het rollenspel ‘Piece of Cake’ dat als tabletop wordt gespeeld. Onder leiding van een game master werden onze collega’s in groepjes van 5 uitgedaagd om out-of-the-box te denken. Hun missie: het gestolen recept van hun (fictieve) bakkerij terugwinnen door de concurrentie te misleiden en gebruik te maken van verschillende social engineering technieken.
Na afloop van het rollenspel volgde een debriefing, waarbij we de verschillende social engineering technieken die de groep heeft gebruikt nog eens overlopen. Iemand die in vuilbakken gaat rondneuzen op zoek naar gevoelige informatie? Een goed voorbeeld van ‘dumpsterdiving’. Of één van de spelers die zich voordoet als leverancier om toegang tot de concurrerende bakkerij te krijgen? Een typisch voorbeeld van psychologische manipulatie die cybercriminelen toepassen om hun slachtoffers te misleiden.
Piece of Cake laat zien hoe belangrijk het is om persoonlijke en gevoelige informatie te beschermen tegen ongeoorloofde toegang. Het spel vraagt geen voorbereiding van de deelnemers, wel een goede teamspirit en een flinke dosis creativiteit. Na afloop ga je naar huis met inzicht in de technieken van cybercriminelen.
Interesse?
Het ‘Piece of Cake’ spel is beschikbaar onder een Creative Commons licentie die het kosteloos (her)gebruik voor alle doelstellingen toelaat. Bovendien is het spelmateriaal ook in het Nederlands en Frans vertaald.
Davina Luyten is communicatiemedewerker bij Belnet. Ze heeft een achtergrond in vertalen, journalistiek en meertalige bedrijfscommunicatie. Bij Belnet legt ze zich toe op externe communicatie, public relations, crisiscommunicatie en security awareness. Ze neemt sinds 2020 deel aan het GÉANT-project, waarbij ze onder meer betrokken is bij de jaarlijkse sensibiliseringscampagne over cyberveiligheid.
Wil u het spel zelf eens uitproberen in uw organisatie?