Monopoly

In 1935 bracht Parker Brothers het bordspel Monopoly uit. Het is er tegenwoordig in 26 talen en er zijn lokale varianten. Zo heb ik thuis de Apeldoornse versie in de kast liggen. Voor de Wii-spelcomputer is er een prachtig geanimeerde versie (die ons destijds onze eerste platte tv opleverde, omdat de resolutie van de oude beeldbuis te laag was om alle teksten goed te kunnen lezen). Vandaag presenteer ik u een nieuwe versie: cyberMonopoly.

Dit spel wordt gespeeld met binaire dobbelstenen en de lokale valuta is natuurlijk de bitcoin. Het belang van security en privacy in dit ecosysteem wordt onmiddellijk duidelijk als je de namen van de steden ziet: Cryptodam, Las Malware, Risan City, Biohuizen, Siemdoorn, Aestricht, Piistad en Avégéëradeel¹. De duurste straten heten niet Kalverstraat en Leidschestraat, maar Consultantgracht en Projectenlaan. De stations zijn vervangen door ISO27001, ISO27002, ISO22301 en ISAE3402².

Onze nutsbedrijven heten NCSC en Autoriteit Persoonsgegevens. De gevangenis blijft (functioneel gezien) intact maar heet nu ransomware-besmetting. De bijbehorende kanskaart ‘verlaat de gevangenis zonder te betalen’ krijgt de tekst ‘maak ransomware gratis onschadelijk met behulp van nomoreransom.org’. En ‘vrij parkeren’ – waar bij ons thuis altijd een pot geld groeit, wat het veld een positieve uitstraling geeft – verandert in ‘awareness’. De beide velden waarop je belasting moet betalen blijven uiteraard intact. Net als ‘start’, want cyber is niet goedkoop.

Ik heb lang nagedacht over huizen en hotels.  Om toch een beetje in de buurt van de bouwkunde te blijven, worden dat firewalls en SOC’s³, omdat die allebei de waarde van de straat verhogen omdat ze beter beveiligd zijn. Het huisje voor op het speelbord wordt natuurlijk een muurtje. Een SOC wordt voorgesteld door een groot beeldscherm.

En dan hebben we natuurlijk nog de kans- en algemeen fondskaarten. Daar heb ik ook wel wat ideetjes voor. Zoals deze: “Als je aan je medespelers in drie zinnen overtuigend kunt uitleggen wat ‘de cyber’ is, dan mag je direct naar start." Of: “Je hebt de bullshitbingo gewonnen en ontvangt 0,1 bitcoin van iedere speler.” En dit is de klapper: “Jouw smart blockchain heeft indruk gemaakt op een puissant rijke ondernemer. Je ontvangt 50 bitcoins van de bank.”

Je hebt wellicht opgemerkt dat ik slechts twee straten heb benoemd. De overige straten wil ik volgens een nog te ontwikkelen licentiemodel beschikbaar stellen aan vendoren (die verschrikkelijke beursterm weer). Het model houdt in ieder geval in dat ze meer moeten betalen als meer mensen het spel spelen. Ze mogen ook de kaarten sponsoren, bijvoorbeeld met een dag gratis consultancy, een kaartje voor een conferentie of een gratis virusscanner. Dat stelt uiteraard wel eisen aan de beveiliging van het spel, want we willen natuurlijk niet dat iemand misbruik maakt van deze geheel belangeloze generositeit.

Overigens is het niet uniek om zaken als informatiebeveiliging en privacy in spelvorm onder de aandacht te brengen. Zo heb ik hier de Cyber Speelkaarten van het Defensie Cyber Expertise Centrum voor me liggen. Dat is in wezen een gewoon kaartspel, maar de plaatjes hebben plaatsgemaakt voor beleid en tips. Bijvoorbeeld: “Praat als Defensiemedewerker over je vak, niet over je werk. Hackers gebruiken HUMINT. Ze noemen het social engineering.” Of: “Sluit geen ongeautoriseerde apparaten aan op Defensie apparatuur. Ook niet om een mobiele telefoon op te laden.” En op een joker staat: “Stel de juiste prioriteiten. Cybersecurity is cruciaal!”

Nee, informatiebeveiliging is geen spelletje. Maar door er spelenderwijs mee om te gaan, komen meer mensen in aanraking met deze materie, die voor iedereen van groot belang is.

cyberMonopoly komt misschien goed van pas als je de komende tijd wat vaker thuis zit. Alleen jammer dat het spel in deze vorm nog niet bestaat. Ben benieuwd wie het idee oppakt/inpikt.

----------
Voetnoten

¹) Een kleine vertaalhulp voor wie ons jargon niet kent: Cryptodam – als in cryptografie; Las Malware – behoeft hopelijk geen toelichting; Risan City – risan staat voor risicoanalyse; Biohuizen – de BIO is de Baseline Informatiebeveiliging Overheid; Siemdoorn – SIEM staat voor Security Incident and Event Management; Aestricht – AES is een cryptografisch algoritme (Advanced Encryption Standard); Piistad – PII staat voor Personally Identifiable Information ofwel persoonsgegevens; Avégéëradeel – daar zit de AVG in, de Algemene Verordening Gegevensbescherming.

²) ISO27001 en -2 zijn internationale beveiligingsstandaards. ISO22301 is de internationale standaard voor business continuity management. ISAE3402 is een internationale standaard voor uitbesteding (met risicomanagement, informatiebeveiliging en anti-fraude als belangrijke componenten).

³) Een firewall beschermt je systeem tegen de grote boze buitenwereld. Een SOC is een Security Operations Center en dat is eigenlijk ook een soort firewall, maar dan een menselijke (met tools, zoals een SIEM-oplossing).

En in de grote boze buitenwereld …

... proberen cybercriminelen een slaatje te slaan uit de actuele pandemie.

https://krebsonsecurity.com/2020/03/live-coronavirus-map-used-to-spread-malware/

... mag je werknemers en klanten niet temperaturen.

https://blog.iusmentis.com/2020/03/12/en-nee-ook-los-van-de-avg-mag-je-werknemers-of-klanten-niet-temperaturen-natuurlijk/

... mag je thuiswerkend personeel ook al niet met een camera in de gaten houden.

https://blog.iusmentis.com/2020/03/11/nee-het-coronavirus-is-geen-ontheffing-voor-de-avg/

... zouden heel wat bedrijven zich veel beter op een pandemie kunnen voorbereiden. Wat dacht je van risicomanagement?

https://www.helpnetsecurity.com/2020/03/12/coronavirus-risk-management/

... heeft Google een Iraanse corona-detectie-app uit de Play Store verwijderd. Gebruikers uitten hun bezorgdheid over spyware-achtige trekjes van de app.

https://www.zdnet.com/article/spying-concerns-raised-over-irans-official-covid-19-detection-app/

... gebruiken scammers graag andermans foto als hun eigen profielfoto.

https://www.grahamcluley.com/a-typical-day-in-the-life-of-my-twitter-inbox/

... moet je soms heel goed naar webadressen kijken om te zien dat ze niet kloppen.

https://krebsonsecurity.com/2020/03/crafty-web-skimming-domain-spoofs-https/

... is het slecht gesteld met de digitale hygiëne van veel medische apparatuur.

https://www.wired.com/story/most-medical-imaging-devices-run-outdated-operating-systems/

... dreigen ransomware-criminelen steeds vaker met openbaarmaking van jouw gegevens.

https://securelink.net/nl-nl/frontpage-focus/ransomware-2020-betaal-of-vind-uw-gegevens-online/

... ontleedt dit artikel een (vermoedelijk) vals Twitter-account.

https://nixintel.info/osint/signs-youre-following-a-fake-twitter-account/

... is een security-app op je Android-toestel écht zinvol. Google Play Protect onderschept slechts iets meer dan een derde van alle malware.

https://www.av-test.org/en/news/here-s-how-well-17-android-security-apps-provide-protection/

... geeft je slimme lamp straks alleen nog maar licht – omdat de fabrikant zijn server afsluit.

https://tweakers.net/nieuws/164432/osram-lightify-lampen-verliezen-volgend-jaar-functies-door-afsluiten-server.html

… is Rowhammer terug, waardoor vrijwel alle apparaten kwetsbaar zijn voor aanvallen.

https://www.volkskrant.nl/nieuws-achtergrond/vrijwel-elke-laptop-smartphone-en-server-ter-wereld-kwetsbaar-voor-aanvallen-ontdekt-vu~b23b8656/