Cybercrime is een groeiend probleem waar iedereen mee te maken zou kunnen krijgen. Volgens het Centraal Bureau voor de Statistiek werd 16 procent van de Nederlandse bevolking in 2023 slachtoffer van een vorm van online criminaliteit. Dat komt neer op omgerekend 2,3 miljoen gedupeerden.
Voor bedrijven geldt een soortgelijk sentiment. Of je nu zzp’er bent of een multinational: de kans dat je te maken krijgt met een cyberaanval is helaas groter dan de kans dat het niet gebeurt. Uit onderzoek van ABN AMRO blijkt dat gemiddeld 76 procent van alle bedrijven te maken heeft gehad met een vorm van een cyberaanval.
‘Je hoeft niet dom te zijn’
De grootste misconceptie? ‘Je hoeft niet dom te zijn om in een hackersval te trappen’, stelt Joris van den Bergh, mede-oprichter van Cyber Crime: The Game. ‘Of het nu onwetendheid of vermoeidheid is: het kan altijd voorkomen dat je op een verkeerd linkje klikt. En dan ben je al gezien. Veel ondernemers denken dat alleen grote bedrijven interessant zijn voor hackers, maar in werkelijkheid schieten hackers met hagel en pakken ze wat ze kunnen.’
Stap in de schoenen van de bad guy
Dat is voor Van den Bergh en mede-oprichter Dirk Delisse, die samen al ruim tien jaar werken aan serieuze games met een maatschappelijk thema met hun bedrijf Gamificationers, reden om een nieuw concept te verzinnen. Samen met cybersecurity-expert Dick Schouten zijn ze de initiatiefnemers achter een nieuwe online ervaring waarin deelnemers in de schoenen van hackers stappen.
Cyber Crime: The Game duurt zo’n 2 uur en biedt een ervaring die al begint vóór de eerste klik. ‘Deelnemers ontvangen een gepersonaliseerde game-invite, gebaseerd op een bioscoopticket’, zegt Van den Bergh. ‘Ze krijgen zelfs een op maat gemaakte video van ons hoofdpersonage, die het bedrijf direct aanspreekt en uitnodigt om de strijd aan te gaan.’
Voor bedrijven die extra willen inzetten op betrokkenheid, is er een optionele activeringscampagne. ‘We kunnen fysieke tickets uitdelen, compleet met bedrukte popcorn. Zo creëren we al enthousiasme nog voordat het spel begint.’
Cybercrime vraagt om ander perspectief
‘We zagen dat er te veel middelen bestaan die de kant van de bad guy vaak vergeten te belichten’, vertelt Van den Bergh. ‘Ik kan je twintig keer vertellen waarom je niet op een linkje moet klikken, maar het gaat nog te weinig over het proces van weken, maanden en soms jaren om je op iets te laten klikken. Dat vraagt om een ander perspectief. Ons doel is om álle medewerkers, ongeacht hun niveau, binnen no time bewust te maken van cyberdreigingen. En dat op een manier die ze écht aanspreekt.’
Geen concessies op spelbeleving en inhoud
De ontwikkeling van de game heeft zo’n drie jaar geduurd. ‘In 2021 ontwikkelden we een eerste pilot, samen met de politie en de recherche’, vertelt Van den Bergh. ‘Daar hebben we eerlijke feedback op gekregen. Het was een leuk spel, maar misschien nog te veel een leuk uitje.’
‘Dat was ook wel logisch: want we zijn gamemakers, geen inhoudelijke experts. Nu hebben we écht de tijd genomen om alles compleet te herzien met een cybersecurity-expert om ervoor te zorgen dat zowel de spelbeleving als de inhoud volledig klopt.’
Je eigen bedrijf hacken
In de game gaan deelnemers écht het dark web op, om zo uiteindelijk hun eigen bedrijf te hacken. ‘Je leert over álle aspecten van cybercrime: van social engineering, phishing, ransomware tot ceo-fraude. De game bestaat uit vier verschillende levels en wordt volledig gepersonaliseerd voor elk bedrijf.’
Zelfs de stem van de ceo kan geïntegreerd worden in de game. ‘De hele game draait om jouw bedrijf. Spelers zien hun eigen bedrijfslogo, hun collega’s in beeld. Dit maakt de ervaring ongelooflijk realistisch en relevant. We hebben er echt alles aan gedaan om de ervaring zo realistisch mogelijk te maken.’
Eerste stap naar bewustwording
Het levert bedrijven ook direct wat op, stelt Van den Bergh. ‘De game vormt eigenlijk de basishygiëne voor het onderwerp cybercriminaliteit. Je krijgt inzichtelijk wat de gevaren zijn, hoe de hacker te werk gaat én wat je ertegen kunt doen. Vervolgens krijg je een schets van je eigen bedrijf: je ziet wie er hebben gespeeld en wat hun zwakke punten zijn. Dat geeft je de houvast om een verdere strategie te formuleren op het gebied van cybersecurity.’
‘De keuze voor een spelvorm is geen toeval. ‘Het probleem met traditionele e-learnings is dat medewerkers ze vaak saai vinden en erdoorheen klikken zonder echt iets te leren’, zegt Van den Bergh. ‘Onze game biedt een échte beleving. Spelers leren hoe informatie op social media tegen hen gebruikt kan worden en ervaren aan den lijve hoe ceo-fraude werkt. Dit zorgt voor een veel diepere en blijvende impact. We willen de eerste stap zijn om bewustwording van cybercriminaliteit te vergroten.’
Realiteit achter het scherm
De game sluit af met een krachtige boodschap die het beeld van cybercriminelen nuanceert. ‘We willen hiermee laten zien dat het om professionele, vernuftige ‘werknemers’ gaat voor wie cybercrime een echte business is’, concludeert Van den Bergh. ‘Dit inzicht, gecombineerd met de interactieve ervaring van de game, zorgt voor een diep en blijvend bewustzijn bij alle medewerkers. En dat is precies wat bedrijven nodig hebben om zich effectief te wapenen tegen cyberdreigingen.’
‘Een combinatie van film, game én leren. Op Netflix-achtig niveau. Níet specifiek ontwikkeld voor de ict’er, maar voor de gemiddelde werknemer met een laptop. De mens blijft immers de zwakste schakel en precies daar focussen wij ons op. Niet op het technische vlak, maar het menselijke vlak: social engineering. Allemaal zodat jij nooit meer op die ene link gaat klikken.’