Fanatisme bij KIPS Game van Kaspersky: “Dit was een heel leerzame middag”

Verdeeld over tien teams gingen ongeveer vijftig IT’ers van de BAS Group, een grote aanbieder van transportproducten en -diensten, de strijd met elkaar aan in de KIPS Game (Kaspersky Interactive Protection Simulation). Dat spel is bedoeld om iedereen binnen een organisatie voor te bereiden op een cyberaanval. Maken ze de juiste keuzes? Werken ze goed samen?

Tim de Groot, general manager van Kaspersky in de Benelux, UK en Nordics, merkt elke keer opnieuw hoeveel waarde het spelen van de KIPS Game heeft. “Hoe je als organisatie omgaat met IT-problematiek, is heel belangrijk. Iemand van finance kijkt er anders naar dan een IT-manager. Bij het spelen van zo’n spel leren al die verschillende mensen om met elkaar samen te werken. Hier bij de BAS Group waren het nu allemaal IT’ers, maar ook zij hebben verschillende achtergronden en visies en moeten met elkaar samenwerken. Het spel zorgt daarnaast natuurlijk ook voor bewustwording over IT-security.”

Gejuich en balende gezichten

Tijdens het spel krijgen de spelers te maken met een combinatie van fictieve aanvallen: van een ransomware-aanval tot een insider threat. De teams krijgen kaarten met acties - zoals het maken van een back-up, het vervangen van wachtwoorden en het doen van een audit - die ze naar eigen inzicht in kunnen zetten. Aan die acties hangt een prijskaartje, maar ook een bepaalde tijdsduur. Het is vooral belangrijk om de juiste acties op het juiste moment te doen, passend binnen het budget dat elk team krijgt. “De keuzes die je maakt kosten geld, maar leveren, als je het goed doet, ook geld op. Wat je aan het begin beslist, heeft invloed op het verdere verloop van het spel”, aldus De Groot.

Het spel kent vijf verschillende rondes, die overeenkomen met verschillende fases van de aanval. Het gaat niet alleen om het afslaan van de aanval, want het doel is om een zo hoog mogelijke omzet te behalen. Na elke ronde verschijnt een nieuwe tussenstand op het scherm, die bij de fanatieke IT’ers van de BAS Group steeds voor zowel gejuich als balende gezichten zorgde. Tot hun vreugde werd team 4 de uiteindelijke winnaar.

Verschillende rollen

Rutgert Oosterhuis, CISO van de BAS Group, bekeek met een glimlach wat er allemaal gebeurde. “Toen ik hoorde over dit spel en me inlas, vond ik dat we dit echt moesten doen. KIPS Game is de perfecte manier om mensen mee te nemen in hoe moeilijk het is om de juiste beslissingen te nemen. Het viel me op dat mensen binnen een paar minuten helemaal in het spel waren gezogen. Je zag ook mooie verschillen in de keuzes die mensen maakten. Ook al zijn dit allemaal IT’ers, ze hebben uiteenlopende rollen zoals ontwikkelaars, beheerders, netwerkspecialisten, ontwerpers en product owners. Al die mensen kijken anders naar een bepaalde situatie. Technische mensen verliezen soms bijvoorbeeld de doelstelling van een bedrijf, het maken van omzet, uit het oog. In dit spel leert iedereen samenwerken.”

“Het was ook mooi om te zien wie er onder tijdsdruk dominanter werden in de discussie”, vervolgt hij. “Vaak verdwijnen introverte mensen dan naar de achtergrond, terwijl ze wel goede input kunnen hebben. Het is belangrijk om hen er ook bij te betrekken en zo’n spel leert je dat. Ik vond dat enorm waardevol om te zien. Dit was een heel leerzame middag. We hebben echt een stap gezet qua volwassenheid van onze cybersecurity.”

Trainingen en educatie cruciaal

KIPS Game werd ruim tien jaar geleden door Kaspersky ontwikkeld en wordt overal ter wereld gespeeld. “Naast de vele producten die we hebben is dit spel een mooie toevoeging. Het is onder andere heel geschikt als deuropener bij potentiële klanten”, zegt De Groot. Omdat security belangrijker en complexer wordt, krijgt het spel volgens hem steeds meer waarde. “Je merkt dat er veel stappen nodig zijn om je bedrijf proactief veilig te houden. Security is geen kostenpost, maar onderdeel van wat je nodig hebt om door te kunnen gaan. In dit spel komt dat duidelijk terug. Omdat de mens vaak de zwakste schakel is, zijn trainingen en educatie cruciaal. Veel bedrijven hebben een budget voor educatie of voor teambuilding en dit zou daar heel goed in kunnen passen.”

“Kaspersky-partners kunnen het spel white label aanbieden”, geeft De Groot aan. “Er zijn verschillende versies van het spel. Hier speelden we de corporate editie, maar er zijn ook scenario’s die gaan over bijvoorbeeld een energiecentrale of een luchthaven.” Al die scenario’s zijn volgens hem realistisch. “We passen de game steeds aan, met elementen uit de actualiteit. Een goede verhaallijn is heel belangrijk.”

Bewustwording en teambuilding

“Sinds een kleine twee jaar zijn we klant bij Kaspersky. We hebben voor hen gekozen vanwege de technologie, hun mensen, maar ook vanwege onderscheidende diensten zoals deze KIPS Game”, geeft Oosterhuis aan. “Wij gaan het spel binnenkort ook spelen op het hoofdkantoor met de niet-IT’ers in de organisatie. Juist voor hen is het goed om te zien dat IT-incidenten invloed hebben op de hele business. Dit werkt beter dan een security awareness training waarbij je een video te zien krijgt. Nu is er interactie. Je krijgt ook te horen waarom bepaalde keuzes goed of slecht uitpakten en wat uiteindelijk de beste route richting succes was. Ik zou dit iedere organisatie kunnen aanraden. Dit was goed voor de bewustwording, maar ook voor de teambuilding.”