Spelletje spelen?

 

Afbeelding via Pixabay

“Laten we een spelletje spelen.” Het jaar was 1983, ik was eerstejaars informaticastudent en de film War Games voelde als vakliteratuur: we moesten wel naar deze film over het hacken van de computer van het Pentagon die de Amerikaanse kernbommen aanstuurt.

<spoiler alert>

In de film weet een jeugdige hacker avant la lettre via zijn modem (waar je destijds de telefoonhoorn in moest drukken) contact te leggen met die Pentagoncomputer – niet doelbewust, maar gewoon door zijn modem willekeurige nummers te laten bellen. Zonder het te willen staat hij op het punt om een nucleaire oorlog te ontketenen, mede doordat de computer het voorgeprogrammeerde pad volgt. De hacker gaat naarstig op zoek naar een manier om de computer te stoppen. Uiteindelijk lukt dat met een potje boter, kaas en eieren: de computer ziet in dat je dat spel, evenals een nucleaire oorlog, niet kunt winnen. Op het nippertje een happy end.

</spoiler alert>

Een simpel spelletje was dus geschikt om een computer iets te leren. Het is ook algemeen bekend dat mensen spelenderwijs goed leren. Het zal je dan ook niet verbazen dat spelletjes ook worden gebruikt om mensen iets te leren over informatiebeveiliging. Al in de vroege jaren negentig hadden we zo’n spel laten ontwikkelen. Het stond op een 3,5 inch floppy en zat in een CD-doosje – dat was toen heel hip. Je liet een mannetje door een gebouw lopen om daar allerlei misstanden aan het licht te brengen. Ik herinner me nog dat wanneer je op de prullenbak klikte, daar een achteloos weggegooid vertrouwelijk document in bleek te zitten. Het spel was vermakelijk, grafisch (zij het 2D) maar vooral ook leerzaam.

Tegenwoordig hebben we ook weer een spel om het beveiligingsbewustzijn van onze medewerker een boost te geven: de Online Security Awareness Game (OSAG). Nu ben ik al lang geen gamer meer, maar om één ding kun je niet heen: dit is geen game. Je moet kaartjes, waar stellingen of feiten op staan, naar de juiste plek op het scherm slepen. Vervolgens krijg je de status van Rijksbeschermer. Dat zijn de enige speelse elementen. Dus, beste makers, wijzig de naam asjeblieft in Online Security Awareness Programma (OSAP) of zo. Zo, dat moest ik even kwijt.

Los daarvan hoor ik best wel positieve geluiden over OSAG. Dat heeft misschien wel te maken met de fasering ervan: eerst hadden we level brons en een tijdje later zilver. Het verschijnen van zilver was een trigger om weer opnieuw aandacht aan je informatiebeveiligingsbewustzijn te schenken. Weer even een stapeltje vragen door en testen hoe goed je op de hoogte bent. Elk level is ook weer in een aantal stappen verdeeld, zodat je de stof, die je voorafgaand aan een setje vragen gepresenteerd krijgt, in prettige porties kunt verorberen.

In level brons leer je bijvoorbeeld over de vertrouwelijkheid van gegevens, de AVG, datalekken en informatiebeveiligingsincidenten. Maar ook phishing, wachtwoordhygiëne en fysieke veiligheid komen aan bod. Level zilver completeert de basiskennis met onderwerpen als het melden van incidenten, specifieke AVG-onderwerpen en tweefactorauthenticatie. Daar horen vragen bij als: wat betekent het ‘verwerken’ van gegevens (bijwerken/opslaan/versturen/wissen/alles), is het getoonde voorbeeld phishing of legitieme mail, is het erg als iemand in de trein openbare informatie van je laptopscherm kan aflezen?

De aanduidingen ‘brons’ en ‘zilver’ doen vermoeden dat er ook een level goud zou kunnen zijn. En jawel hoor, beste collega: als je dit op vrijdag leest, dan moet je nog even een weekend lang iets anders doen. Lees je dit na het weekend, dan kun je – als het goed is – meteen aan de slag met level goud! Dat gaat onder andere over toegangsrechten, fysieke beveiliging en de AVG (je ziet hoe privacy voor ons is!).

Werk je niet bij ons? Ach, ook jouw organisatie besteed vast wel op de een of andere wijze aandacht aan informatiebeveiliging. Ga ernaar op zoek of vraag ernaar.

 

En in de grote boze buitenwereld …

• mogen nu ook Nederlandse rijksambtenaren niet meer tiktokken op hun werktelefoon.
• lost een verbod op TikTok het probleem niet op.
• kunnen trackers worden gebruikt om iemand te stalken.
• is een ChatGPT-clone van de Stanford-universiteit offline gehaald omdat hij hallucineerde.
• blogt het Britse NCSC over ChatGPT.
• genereert kunstmatige intelligentie ook desinformatie.
• bewaart het knipprogramma van Windows de weggeknipte stukken.
• verliest DigiD zijn monopolie met de invoering van de Wet digitale overheid.
• verwacht ENISA ransomware-aanvallen op de transportsector.
• gaat een commissie de algoritmes, die worden gebruikt bij het ministerie van Financiën, de Belastingdienst, de Douane en de Dienst Toeslagen toetsen op privacy en ethiek.
• stoort de Chinese marine communicatie- en navigatiesystemen van passagiersvliegtuigen.
• bepleit dit (Amerikaanse) artikel terughoudendheid bij het verzamelen van gegevens voor monitoringdoeleinden.