Ik leidde een project waarbij ons team een online cybersecurity-trainingsspel creëerde. We gebruikten gedragswetenschap om het spel te ontwikkelen. Ik huurde een stagiair in die fantastisch werk heeft geleverd door het prototype te bouwen. Ons team heeft vervolgens een geweldig bureau gecontracteerd om met ons samen te werken om het spel te verbeteren. Het hebben van een toegepaste socioloog aan het roer betekende dat toegankelijkheid en game-ontwerp vanaf het begin met inclusie werden ontwikkeld.
Cyberveiligheid
Onze game geeft mensen de kans om te oefenen met het nauwkeurig rapporteren van phishing-e-mails. Phishing verwijst naar kwaadaardige e-mails die proberen mensen te misleiden om op links te klikken of anderszins gevoelige informatie weg te geven. Veel werkplekken bieden enige cyberbeveiligingstraining over phishing en andere aanvallen, maar een groot deel volgt een traditioneel model. Dat wil zeggen, mensen krijgen voorlichting over cyberveiligheid en worden vervolgens gevraagd om vragen over de training te beantwoorden. Dit model meet direct begrip, maar zegt niet veel over of het gedrag van mensen is veranderd als gevolg van de training.
Wereldwijd nemen cyberaanvallen toe, en zijn toegenomen sinds COVID-19 veel bedrijven ertoe aanzette om thuis te werken of online te gaan. Cyberaanvallers jagen op onze gedragsvooroordelen. Helaas doet de meeste training weinig om dit patroon aan te pakken. Bijvoorbeeld:
- Training is moeilijk te onthouden en de perceptie van risico vervaagt na verloop van tijd. Misschien doe je in januari een cybertraining. Wanneer u in juni een phishing-e-mail ontvangt, bent u misschien vergeten waar u op moet letten en valt u ten prooi aan een cyberaanvaller (beschikbaarheidsbias)
- Mensen missen tijd en mentale bandbreedte om te reageren op phishing. De gemiddelde werknemer krijgt meer dan 100 e-mails per dag. We hebben het druk en reageren snel. Het is dus mogelijk dat we aanwijzingen in een phishing-e-mail over het hoofd zien (schaarste)
- Er zijn te veel onbekende regels. Cyberbeveiligingstraining introduceert veel ideeën waar de meeste mensen niet aan gewend zijn, zoals hoe u onwettige domeinadressen kunt herkennen. Training heeft daarom de neiging beginners te overweldigen die minder betrokken zijn bij technologie (overdaad aan informatie)
- Mensen weten niet hoe ze moeten rapporteren en ondernemen daarom geen actie wanneer ze een verdachte e-mail zien. Rapportagefuncties verschillen ook per e-mailplatform. De knop om te rapporteren over Outlook die u op het werk gebruikt, kan anders zijn dan uw persoonlijke e-mailclient, zoals Gmail (de laatste benadrukt spam, geen phishing). Wanneer mensen een e-mail zien die ze wantrouwen, zullen ze deze eerder negeren of verwijderen. Dit betekent dat andere mensen in uw organisatie in de phishing kunnen trappen, omdat het niet is gemeld door anderen die de e-mail eerder hebben ontvangen (standaard vooringenomenheid)
- Mensen weten niet wat er gebeurt wanneer ze een vermoedelijke phishing-e-mail melden. Kunt u zich de laatste keer herinneren dat u een vermoedelijke phishing-e-mail meldde? Het is vaak een anticlimax. De e-mail verdwijnt meestal in de ether en je krijgt geen bevestiging voor je goede daad. Ook krijg je geen feedback of je het terecht hebt gemeld. Uit ons onderzoek blijkt dat mensen liever geen melding doen omdat ze bang zijn dat ze het verkeerd zullen doen, of dat het de moeite niet waard is. Mensen vermijden liever wat onbekend is (dubbelzinnigheid vooroordeel)
- Mensen zien rapportage niet als hun primaire verantwoordelijkheid. We zijn eraan gewend dat onze computers en software automatisch worden bijgewerkt. We worden vaak door machines gevraagd om onze wachtwoorden periodiek te wijzigen. Over het algemeen denken de meeste mensen dat cyberbeveiliging niet tot hun takenpakket behoort, tenzij ze aan cyberbeveiliging werken. Ze vertrouwen erop dat andere experts, of hun nieuwste software, voldoende bescherming bieden (motivatie)
Om deze en meer redenen staat het melden van phishing niet bovenaan de lijst van mensen.
Ons spel
We hebben het principe van gamification gebruikt om onze cybersecurity-trainingsgame te bouwen. Gamificatie gebruikt spelontwerpprincipes om problemen op te lossen. Het doel van gamification is om complexe en onbekende regels op te splitsen in een leuke activiteit. Het proces omvat het bouwen van gedragswetenschappelijke aanwijzingen in een meeslepende leeromgeving. Mensen worden meegezogen in een interessant verhaal of zoektocht, waar ze positieve bekrachtiging krijgen om te leren. Dit kunnen punten of andere beloningen zijn als ze leren correct toepassen. Het verhaal daagt mensen uit om leren op een interactieve manier toe te passen. Het belangrijkste is dat gamification mensen de kans geeft om te oefenen wat ze leren op een tijdige manier, in plaats van simpelweg te verwachten dat ze feiten onthouden.
Zoals we hebben gezien, vinden veel mensen het onderwerp cyberbeveiliging ontmoedigend of te technisch, en haken ze vaak af. Van gamificatie is aangetoond dat het de kans vergroot dat gebruikers dit zullen doen onderscheiden cyberveilige e-mails van onwettige e-mails. De meeste phishing-trainingsgames mensen positief motiveren om training toe te passen. Van gamificatie is aangetoond dat het de zelfredzaamheid vergroot en individuen maakt meer vertrouwen in cyberbeveiliging.
In onze game spelen spelers de rol van een wielrenner die voor hun team speelt in een competitie, Ronde van Phish (gebaseerd op wat nog meer – de Tour de France!). Door middel van het spel geven we spelers de mogelijkheid om hun phish-spotting-vaardigheden in verschillende scenario’s uit te oefenen. Dit omvat berichten die lijken op phishing-e-mails, andere renners die snode phishing-aanbiedingen doen langs de route en andere obstakels in het parcours. Het is van cruciaal belang dat leerlingen ook correct reageren op oprechte verzoeken, net zoals ze op het werk zouden doen. De game heeft getimede niveaus, zodat gebruikers onder druk phishing-tips oefenen om legitieme en onwettige informatieverzoeken te onderscheiden.
Spelers krijgen tips en feedback. Er zijn verschillende beloningen en straffen tijdens het spel. Spelers zien een realtime podium waar hun score wordt vergeleken met die van anderen in de organisatie en hun punten tellen mee voor hun team. Dit is allemaal ontworpen om persoonlijke motivaties aan te boren om te verbeteren, evenals een sociaal verlangen om hun team te helpen winnen.
Gamification maakt leren meer saillant. In plaats van simpelweg ondervraagd te worden aan het einde van een online module (standaardvoer in de meeste trainingen), krijgen mensen een link naar ons trainingsspel gestuurd, waar een interactief verhaal is dat hen ertoe aanzet hun training toe te passen. Gedragsonderzoek toont aan dat mensen eerder geneigd zijn te handelen wanneer informatie op een nieuwe manier wordt gepresenteerd. Uit onze gebruikerstesten blijkt dat 89 procent van de mensen die onze game hebben gespeeld, liever leren via een online game dan via een online cursus of een face-to-face workshop. Bovendien vond 92 procent van de mensen het leuk om onze game te spelen en had 100 procent van de mensen meer vertrouwen in het identificeren van phishing-e-mails na het voltooien van Tour de Phish.
Het spel is gebouwd in nauw overleg met mensen met een beperking om het toegankelijk te maken voor mensen die blind of slechtziend zijn. Ik heb ook de personages ontworpen om diversiteit te vertegenwoordigen. Ik ben het grafische ontwerpteam, de game-ontwikkelaars en ons team dankbaar dat ze vele hindernissen hebben overwonnen bij het bouwen van een inclusief spel.
Lees meer over de gedragswetenschappen op onze website.
Referenties
Gokul, CJ, Pandit, S., Vaddepalli, S., Tupsamudre, H., Banahatti, V., & Lodha, S. (2018). Phishy – Een serieus spel om zakelijke gebruikers te trainen in phishingbewustzijn. CHI PLAY 2018 – Proceedings of the 2018 Annual Symposium on Computer-Human Interaction in Play Companion Extended Abstracts169-1
INTERPOL. (2020, 4 augustus). INTERPOL-rapport toont een alarmerend aantal cyberaanvallen
Tchakounté, F., Wabo, LK, & Atemkeng, M. (2020). Een overzicht van gamificatie toegepast op phishing. Voordrukk1
Weanquoi, P., Johnson, J., & Zhang, J. (2017). Een game gebruiken om te leren over phishing. SIGITE 2017 – Proceedings van de 18e jaarlijkse conferentie over onderwijs in informatietechnologie75.
