Provincie Overijssel | Werknemers hacken het provinciehuis

Bright Alley ontwikkelde voor de provincie een totaaloplossing om de bewustwording rondom informatiebeveiliging en privacy te vergroten. Naast mini-modules e-learning en de inzet van onze PowerApp realiseerden we een unieke, virtuele ervaring: medewerkers kruipen in de huid van een aspirant hacker en krijgen een bijzondere opdracht mee. Virtual Reality biedt de gebruiker mogelijkheden die in de echte wereld niet alleen gevaarlijk of kostbaar zijn, maar soms ook onwenselijk.

Zodra medewerkers de Oculus Go VR-headset opzetten zijn ze 20 minuten lang even niet meer op kantoor. Vanuit een rommelig kamertje (een overgebleven pizzapunt van de vorige avond ligt nog op tafel) ontvangt de speler een Skype-call van een mysterieus figuur. Hij geeft de speler de opdracht naar het Provinciehuis te gaan en daar het netwerk met malware te infecteren. Ontdekt de speler andere potentiële kwetsbaarheden dan mogen die uiteraard ten volle benut worden.

Na de briefing en het ontvangen van een ontvreemde toegangspas van het Provinciehuis opent het scenario ter plekke. De speler, in de huid van een hacker, is in de ontvangstruimte van het Provinciehuis en moet als eerste door de toegangspoortjes zien te komen. Daarna ontwikkelt het spel zich over diverse verdiepingen. Zelfs de grootste scepticus werd na een minuut al fanatiek om door het Provinciehuis te struinen naar mogelijke menselijke foutjes om uit te buiten. Hoewel er een ideaal pad bestaat, heeft de speler vrije keuze in de route. Via de lift in het gebouw zijn meerdere afdelingen te benaderen zoals de administratie en de serverruimte. Uiteraard kan de speler niet zomaar overal bij en zal hij al zijn 'skills' moeten inzetten om van de opdracht een succes te maken.

Deze oplossing laat medewerkers op een speelse manier kennis maken met het onderwerp informatiebeveiliging en privacy. De theorie vind je hier niet, maar het beeld dat medewerkers meekrijgen wanneer ze de gevolgen van hun eigen 'hacks' te zien krijgen is ontzettend waardevol en zullen ze nog lang onthouden. Doordat VR een vorm van immersive learning is, verplaatst de medewerker zich echt even in de schoenen van een kwaadwillende. Door via zijn ogen te kijken ontdekt men snel de impact van eigen gedrag in het normale werk ten aanzien van informatiebeveiliging.

De ervaring zal ook niet voor elke medewerker hetzelfde zijn. Net als in het echt krijgt de speler ook hier beperkt de tijd voor de opdracht. En afhankelijk van de kwetsbaarheden die de speler vindt, verandert de terugkoppeling aan het einde van het spel . Dit motiveert medewerkers de VR-beleving vaker te spelen en bovendien zullen ze elkaar andere ervaringen vertellen eenmaal terug op de werkvloer.

Als onderdeel van de totaaloplossing ontwikkelden we twee mini-modules e-learning waarin de medewerkers leren over het hoe en waarom van informatiebeveiliging en privacy. In korte modules van 15 minuten zijn medewerkers via een praktijkgerelateerde case actief met de onderwerpen bezig.

De modules geven een mooie eerste kennismaking op de thema’s. Maar hoe zorg je er nu voor dat je de opgedane kennis kunt herhalen? Én een verdere verdieping ingaat met praktische handvatten en voorbeelden op de thema’s zonder dat het saai wordt? Hier zetten wij de PowerApp voor in.

Benieuwd naar de andere twee componenten van de oplossing?