casesConclusionBright Alley I ConclusionCasesVirtual Reality: Can...

Virtual Reality: Can you Hack-IT?

In een samenleving waar steeds meer digitaal gebeurt, staan gemeenten en provincies voor de uitdaging om persoonsgegevens en privacy te waarborgen. Een uitdaging voor menig CISO, Privacy Officer en Functionaris Gegevensbescherming.

Want gevoelige (burger)gegevens op straat, reputatieschade en mogelijke gevolgen voor inwoners, dat wil geen enkele gemeente of provincie. Helaas komt het toch regelmatig voor dat er zaken mis gaan. Een belangrijk deel van de oplossing: medewerkers die zich bewust zijn van de risico’s op het gebied van informatiebeveiliging en privacy en weten hoe ze hier adequaat mee om kunnen gaan.

Klant

Gemeente Opsterland

Het logo van de gemeente Opsterland

Markt

Overheid, onderwijs en openbare veiligheid

Thema

Informatiebeveiliging: Start bij medewerkers

Publicatiedatum

28 januari 2025

Een kantoorruimte met boekenkasten en bureaus. Op de voorgrond een hand met een controller/horloge waar een lichtstraal uitkomt. Deze wijst op een punt waar de gebruiker op kan klikken

Bewust bekwame medewerkers

Om te voorkomen dat gevoelige informatie op straat komt te liggen, zijn bewust bekwame medewerkers nodig. Zij zijn een onmisbare sleutel in de zorgvuldige omgang met gevoelige informatie en vormen de basis voor een succesvol beleid op informatiebeveiliging en privacy.

Maar hoe breng je een onderwerp als informatiebeveiliging en privacy over de bühne? Zodanig dat dit blijft ‘plakken’ en medewerkers activeert een zorgvuldige afweging te maken in het verantwoord omgaan met (burger)gegevens ?

Als onderdeel van een breder integraal programma, ontwikkelden we voor diverse gemeenten en provincies, onder andere provincie Overijssel, gemeente Opsterland en gemeente de Ronde Venen, een interactieve VR-oplossing. In de VR-oplossing kruipen medewerkers in de huid van een hacker. Door letterlijk door een andere bril te kijken, helpen we medewerkers zich te verplaatsen in de mogelijke kwetsbaarheden op gebied van informatiebeveiliging & privacy en de gevolgen hiervan.

Een obscuur kamertje. In de hoek veel IT-apparatuur, en posters aan de muur. Op de voorgrond nog net twee handen zichbaar die reiken naar ene pizzadoos.

Een persoonlijke missie: lukt het jou de dienstverlening te verstoren?

Binnen de VR-omgeving worden medewerkers uitgedaagd om binnen 20 minuten zoveel mogelijk vertrouwelijke informatie te vinden en de dienstverlening van de gemeente te verstoren.

De medewerker start de ontdekkingstocht in een virtuele hotelkamer; hier ervaren ze hoe de VR-bril werkt en hoe ze de controllers moeten bedienen. Plotseling gaat de telefoon over: een hacker. Hij wijst de medewerker op een usb-stick en een toegangspas in de hotelkamer.

Zodra deze items worden opgepakt start de medewerker zijn missie in de ontvangsthal van zijn eigen gemeente of provincie. Doordat er elementen uit de echte fysieke ruimtes zichtbaar zijn, herkent de medewerker zijn omgeving meteen. Lukt het om door de toegangspoorten te komen? Met behulp van hints gaat de medewerker op onderzoek uit. In elke ruimte zijn objecten geplaatst: mogelijke kwetsbaarheden. Weet de medewerkers ze te vinden? En ze optimaal in te zetten om zoveel mogelijk vertrouwelijke informatie te verzamelen?

Een kantoorruimte met op de voorgrond een beeldscherm en een toetsenbord. Daarvoor wordt een hand getoond met een briefje erin. Daarop staat een password!.

Well done!

Terug in de hotelkamer eindigt het spel. Heb je het spel goed gespeeld binnen de gestelde tijd dan verschijnt er als beloning een nieuwsartikel op het tv-scherm: Nieuwsflits – Groot datalek bij de gemeente, er wordt losgeld geëist. Wat moet de gemeente nu? Betalen? Je hebt je taak als hacker prima uitgevoerd!

Het effect

De VR-oplossing laat medewerkers op een pakkende manier kennis maken met kwetsbaarheden waar kwaadwillende optimaal gebruik van kunnen maken. Door al deze kwetsbaarheden zélf te ontdekken zorgen we voor awareness bij medewerkers en maken we ze bewust van de gevolgen hun eigen gedrag.