Hao Dinh – Winnaar SAGANET Award  2017

Hao Dinh is cybersecurity adviseur van beroep en heeft in zijn werk veel te maken met IT- en security-mensen. “Maar zonder de steun van de bedrijfsleiders blijft beveiliging een geïsoleerd onderdeel van de organisatie. Vandaar dat we de game ontwikkeld hebben.”
Het spel is niet voor elke situatie geschikt, zegt hij. “Het richt zich voornamelijk op crisis management. Voor andere situaties moeten andere spellen worden bedacht – natuurlijk nadat onderzocht is of een spel het beste middel is. Om dit te kunnen doen, breid ik graag mijn kennis en kunde uit op het gebied van serious gaming en het faciliteren hiervan. En dat is ook nog eens hartstikke leuk!” Hao wint met de Saganet Award een geldprijs van 1.500 euro, te besteden aan een workshop, conferentie of summerschool. Hao weet al wat hij ermee gaat doen: deelnemen aan de jaarlijkse ISAGA-conferentie die in 2018 in Thailand wordt gehouden.

Hoe overleef ik … een cybercrisis?

Cybersecurity wordt vaak gezien als een technisch probleem met computers waarmee de hoge managers van de organisatie niets te maken hebben. Maar dat beeld klopt absoluut niet, weet Hao Dinh. Hij ontwikkelde een serious game om het bewustzijn bij deze managers te vergroten en sleepte daarmee de Saganet Award 2017 in de wacht.

Skylark Tonight is de succesvolle talkshow van presentator David Skylark. Het programma is zo populair dat ook de Noord-Koreaanse leider Kim Jong-un zich door Skylark wil laten interviewen. De CIA krijgt lucht van de aanstaande ontmoeting tussen de tv-host en Kim Jong-un en geeft de presentator en zijn producer Aaron de opdracht om de Noord-Koreaanse leider te vermoorden. Dit is, in een notendop, waar de film The Interview om draait. En het is deze verhaallijn die er vermoedelijk de reden van is dat Sony Pictures Entertainment, de maatschappij die de film uitbracht, op 24 november 2014 werd gehackt. Met de kraak kwamen persoonsgegevens en gevoelige bedrijfsinformatie op straat te liggen en meerdere bedrijfsleiders werden persoonlijk in verlegenheid gebracht. De kosten voor Sony liepen in de miljoenen, onder meer door schade aan het computernetwerk en claims van werknemers. Ook de reputatie van het bedrijf liep een flinke deuk op.
“De Sony-hack is een goed voorbeeld van hoe je als onderneming níet moet reageren op een cybercrisis. De Sony-bazen stelden zich op als slachtoffer, spraken over de hack als terrorisme en trokken de film aanvankelijk uit de bioscopen terug. Ze probeerden alleen nog het eigen gezicht te redden”, vertelt Hao Dinh. Hao is cybersecurity adviseur bij Ernst & Young en studeerde in september 2016 af aan de TU Delft (bachelor Technische Bestuurskunde, master Systems Engineering, Policy Analysis and Management (SEPAM) en volgde een specialisatie Information Architecture). Met zijn scriptie ‘Preparing Senior Managers for Cyber Crisis’ won hij de Saganet Award 2017 voor de beste hbo- of wo-scriptie op het gebied van spelsimulatie en serious gaming.

Er wordt een bank gehackt, wat nu?

Elke cyberaanval is anders en hackers zijn er in vele soorten en maten. Je hebt de kleintjes die handig zijn met computers en eens wat uitproberen en je hebt geavanceerde cybercriminelen die in het systeem van een bedrijf binnendringen, zoals bij de bank JP Morgan, waarna de hackers schrijfrechten kregen in de accountdatabases. Je kunt geen draaiboek maken voor hacks en cyberattacks. Wat je wél kunt, is je bewustzijn vergroten”, vertelt Hao. “Hoe is de security in onze organisatie geregeld? Wat willen we écht beschermen? Wat zijn de consequenties van een aanval voor onze organisatie en stakeholders? Wie pakt welke rol als zich een aanval voordoet? Laat je als organisatie niet compleet verrassen.” 
In geval van een cybercrisis zijn het de senior managers die knopen moeten doorhakken en tekst en uitleg moeten geven aan het publiek en de media. Voor hen ontwikkelde Hao samen met Ernst & Young-collega’s Hannah de Jong en Rudrani Djwalapersad een simulatiespel. De game wordt gespeeld in teams van maximaal tien personen. Een team kan alleen spelen of tegen twee of drie andere teams. Elke spelersgroep neemt plaats in een eigen kamer, de boardroom. In een andere kamer nemen Hao en collega-spelbegeleiders plaats om de boel af en toe flink op te poken.
Hao: “Een team vertegenwoordigt het bestuur van een organisatie, bijvoorbeeld een financiële instelling. De leden zijn in de kamer bijeen om zich voor te bereiden op een stakeholdersconferentie. Business as usual. Totdat zij een telefoontje krijgen van een medebestuurder – hier komen wij als spelbegeleiders om de hoek kijken. De medebestuurder heeft serieuze geruchten opgevangen dat er een hack gaande is bij een grote financiële instelling. Om welke instelling het gaat weet nog niemand, maar hij wil weten: zou het kunnen dat wij het zijn? En zo ja: wat nu?”

Lopen we risico?

De spelers hebben een actiemenu dat hen helpt hun stappen te bepalen. Daarin zijn opties opgenomen als: laat het IT-systeem van je organisatie onderzoeken, schrijf een persbericht, organiseer een persconferentie. “In deze fase van het spel is de druk nog niet zo groot. De deelnemers kiezen hun strategie en gaan daarmee aan de slag. Maar in de kamer ernaast zij wij in de weer met een reactie op hun acties. Het script van de game is zo geprogrammeerd dat het nieuwsberichten genereert, gebaseerd op de stappen die het team zet. En wij grijpen zo nu en dan met improvisatie in. Dan melden we de bestuursleden bijvoorbeeld: ‘Er heeft zich een ongeruste aandeelhouder gemeld. Hij heeft het nieuws gehoord over de hack en wil weten of hij risico loopt.’ Waar de spelers aanvankelijk nog denken te weten hoe zij moeten reageren, komen ze er al doende achter dat procedures niet altijd werken op het moment dat een behapbare chaos omslaat in een serieuze crisis. Precies dat is wat het spel beoogt: de managers en bestuurders daarvan bewust maken. ‘Hoe zouden wij reageren op een cybercrisis?’

Met rode wangen uit de gameroom

Stel dat een team in een van de kamers de keuze maakt om hun IT-systeem aan grondig onderzoek te onderwerpen. Dan kijken de spelbegeleiders wat daarvan het logische gevolg zou zijn voor de organisatie. “Dat dikken we wel een beetje aan, hoor. Het blijft een spel en de boodschap moet goed tot de deelnemers doordringen. Hebben we een wat kleinere organisatie voor ons, dan zeggen we bijvoorbeeld: ‘Allemaal leuk en aardig dat jullie tot onderzoek willen overgaan, maar helaas, hiervoor hebben jullie onvoldoende middelen beschikbaar’. Of: ‘Dat kan niet, want de betreffende medewerkers zijn op vakantie.’ Organisaties redeneren vaak vanuit de ideale situatie, maar de werkelijkheid is grilliger. In de praktijk zijn er weleens mensen met verlof.”
Een ander voorbeeld van een mogelijke actie in de game: een team van bestuurders van een multinational wil weten waar op de wereld het probleem zich voordoet. “Dan reageren wij: ‘Moeilijk te zeggen. Jullie hebben je bedrijf opgeknipt in onderdelen en over de hele wereld verspreid. Operations zit in India, het datacenter in Londen. Er is niet één locatie aan te wijzen.’ Daarmee wijzen we hen erop dat het probleem nóg ingewikkelder kan zijn. Operations en security gaan niet altijd hand in hand. Wat goed is voor de bedrijfsvoering is niet per se ook goed voor security.”
Al met al voeren Hao en zijn team de druk flink op tijdens het spel. “Het is heel intensief. Mensen komen met rode wangen uit de gameroom. ‘We kunnen het nooit winnen!’, verzuchten sommige spelers. Maar we zorgen er altijd voor dat het een spel blijft. Het mag best frustreren, maar het moet ook leuk en spannend zijn, anders schieten we ons doel voorbij.”

tekst: Jolanda van den Braak