Gamification in Cybersecurity, un aiuto necessario?

Gamification in Cybersecurity, un aiuto necessario?

Alla ricerca della sintesi tra consapevolezza, comprensione e divertimento per la sicurezza informatica

Articolo a cura di Andrea Atzeni e Chiara Oggeri Breda
Lavoro derivato dalla Tesi magistrale di Chiara Oggeri Breda
in Ingegneria Informatica presso il Politecnico Di Torino
Tutor: Professori Andrea Atzeni & Antonio Lioy
Titolo: “Gamification for Improving Cybersecurity”

L’adagio “la resistenza della catena intera non è maggiore di quella del suo anello più debole” è ben noto nella cybersecurity. Nel medesimo ambito, è anche ben noto che l’anello debole siamo proprio noi, l’essere umano, spesso grimaldelli fondamentali (più o meno consapevoli) nella realizzazione di un attacco informatico.
Una chiave è l’ignoranza, nella forma di inconsapevolezza delle conseguenze informatiche delle proprie azioni, in grado di compromettere il proprio computer prima, e tutta la rete informatica aziendale a seguire.
Si tratta di un pericolo concreto? I report prodotti dai maggiori fornitori di antivirus rilevano che i crimini ed attacchi informatici in Italia e nel mondo siano svariate migliaia ogni giorno, e che il numero di attacchi che hanno come target l’utente finale siano in crescita esponenziale.
Attacchi come phishing e ransomware, ormai comunissimi, manipolano psicologicamente le vittime, inducendole ad azioni errate ed involontariamente malevole, quali divulgare informazioni sensibili ed in generale compromettere la sicurezza dei sistemi. Ad esempio, una vittima potrebbe ricevere una email contraffatta, in grado di portarla ad una versione fasulla del proprio sito bancario, ed essere indotta a inserire la propria password (compromettendola) a causa di messaggi ansiogeni e apparentemente urgentissimi.

Nel phishing, la vittima viene raggiunta da messaggi connotati da pressione psicologica (es. E-mail che denuncia la compromissione di un account). Gli obiettivi possono essere informazioni personali, password, dati finanziari, codici d’accesso, o persino la propria identità digitale, in modo da far ricadere sulla vittima la colpa di futuri crimini informatici. A peggiorare le cose, i cybercrimini hanno un grado di credibilità sempre crescente (oggi potenzialmente anche con l’ausilio di strumenti di IA potenti quali ChatBOT) e cercano di provocare, complice l’urgenza, un’azione poco avveduta con conseguente invio di informazioni riservate e/o sensibili, ad esempio richiedendo il cambio immediato delle proprie credenziali bancarie per via di un attacco informatico in corso (sic!).

Un altro attacco molto diffuso è basato su ransomware. In questo caso, l’utente viene spinto a scaricare un programma (es, un gioco a prezzo scontato) avente una funzionalità nascosta diversa da quella promessa, ed una volta installato nel sistema attiva il proprio potere distruttivo usando tecniche crittografiche per cifrare i dati presenti sul dispositivo, rendendoli inaccessibili al legittimo proprietario. A questo punto alla vittima viene chiesto un vero e proprio riscatto economico con la promessa (spesso falsa!) di fornire la chiave di decifratura e poter di nuovo accedere ai dati compromessi. Questo tipo d’attacco causa spesso danni di molteplice natura, sia economici, sia d’immagine. Infatti, l’attaccante può non solo cifrare i dati e renderli inaccessibili, ma anche appropriarsi di una loro copia, e quindi divulgare informazioni personali della vittima come arma di ricatto supplementare.

A fronte di tale pericolosità degli attacchi, e anche della oggettiva complessità del campo della cybersecurity, non corrisponde una adeguata risposta in termini di training dedicato agli utenti. Al contrario, in molti casi le tecniche di formazione con cui si cerca di aumentarne la comprensione sono episodiche e scarsamente integrate nell’ambito lavorativo. I percorsi di formazione su sicurezza informatica sono troppo pochi e spesso non tengono in considerazione il coinvolgimento dell’utente, la personalizzazione dei contenuti e la frequenza di aggiornamenti. Ciò fa sì che raramente vengano seguiti con reale interesse dall’utente, al quale vengono somministrati come una sorta di obbligo lavorativo (e quindi, percepiti come un ulteriore carico cui dedicare il minor tempo possibile). Fondamentale quindi aumentare coinvolgimento, comprensione, e partecipazione nei percorsi di formazione inerenti la cybersecurity… incentivare cambi di abitudine che inconsapevolmente portano l’utente ad un comportamento pericoloso e a causare falle nel sistema.

L’utilizzo della gamification in formazione ha esattamente questo obiettivo.

L’aggiunta di elementi di gioco nella formazione permette di aumentare il coinvolgimento degli utenti finali al fine di migliorare la partecipazione e, conseguentemente, la comprensione delle unità didattiche proposte. La gamification può essere introdotta nella formazione sia a livello didattico per coinvolgere i bambini e ragazzi nel normale percorso scolastico, sia a livello aziendale con l’obiettivo di incuriosire e coinvolgere i dipendenti su temi lontani dal proprio quotidiano ma essenziali per la cybersecurity lavorativa.

Importante subito sottolineare come per migliorare la formazione in ambito cybersecurity la gamification in sé non basta, in quanto è necessario sviluppare un progetto strutturato e contestualizzare la proposta, sia per il caso specifico della cybersecurity, sia considerando le peculiarità dell’organizzazione in cui la formazione venga proposta, per evitare di ricadere nelle stesse problematiche della formazione tradizionale.
Per questo, occorre una metodologia che approcci le fasi salienti, sappia guidare le azioni più efficaci e metta in guardia sugli elementi da evitare.

Nel lavoro di tesi di laurea di Chiara abbiamo sviluppato una metodologia organizzata in una precisa sequenza logica, avente i seguenti punti principali:
1. Definizione delle competenze e conoscenze della sicurezza informatica dei fruitori.
2. Scelta della tecnologia e tool di supporto.
3. Definizione delle regole di gioco.
4. Scelta degli elementi di gioco
5. Definizione delle metriche di valutazione.
6. Tempo di fruizione e aggiornamento.

Il primo punto è essenziale poiché la metodologia può essere applicata ad utenti con conoscenze in sicurezza di livello diverso, permettendo quindi il coinvolgimento e la formazione sia di personale tecnico sia di utenti che necessitano di utilizzare quotidianamente device senza possedere una reale conoscenza tecnica pregressa.

La scelta del giusto supporto tecnologico è determinante sia in riferimento all’esperienza organizzata e alla sua scalabilità, sia in riferimento al target e alle competenze di utilizzo delle tecnologie. L’utente finale deve sempre essere il focus principale nell’organizzazione e pianificazione dell’esperienze. Infatti, sul mercato esistono diversi prodotti tecnologici che offrono ambienti “gamificati” con diverse caratteristiche. Se il target di riferimento ha una conoscenza tecnica di base e una capacità di utilizzo della tecnologia elevata, per esempio, è possibile utilizzare piattaforme di gioco altamente specializzate come per esempio TryHackMe (https://tryhackme.com/). Invece per utenti meno esperti in ambito cybersecurity ma con una buona capacità di interazione con gli strumenti digitali si può optare per software tipo Kahoot! (https://kahoot.it/). Infine, per utenti con poche abilità digitali si può pensare di organizzare un esperienza altamente personalizzata e scollegata da piattaforme o software specifici.

Nel contesto della gamification le regole hanno il ruolo di creare un ambiente di fiducia con l’utente finale. L’utente deve conoscere quali azioni sono vietate, quali consentite ed eventuali contromisure da tenere in considerazione. Per esempio, in un contesto scolastico gli studenti devono conoscere i benefici derivanti dalla loro partecipazione, in cosa consiste il loro impegno nella partecipazione all’esperienza, eventuali scadenze, punti sommabili al voto finale, quali azioni ne causerebbero l’esclusione dal programma e il sistema di valutazione.

La scelta degli elementi di gioco è fondamentale per poter utilizzare i giusti motivatori e creare l’atmosfera desiderata all’interno dell’esperienza adattandola al contesto cybersecurity. Nel concreto avatar e storytelling possono aumentare il coinvolgimento e l’interazione con il programma, l’utilizzo di challenge ponderate con le abilità dei giocatori favorisce l’aumento di motivazione, senso di appagamento e partecipazione.
Le barre di progresso possono rappresentare un ottimo strumento di coinvolgimento al fine di spingere l’utente a terminare sfide e sessioni.
Allo stesso modo è bene valutare, ed in alcuni contesti evitare completamente, l’utilizzo estremizzato di punti, classifiche e competizione in generale. Spesso l’utente, soprattutto in un contesto lavorativo, non ama essere continuamente valutato e confrontato con i suoi pari. Questo può creare senso di ansia. In ambienti già di per sé competitivi è meglio evitare elementi di gioco che estremizzino questi aspetti proprio per non abbassare i livelli di motivazione, partecipazione e coinvolgimento. L’utilizzo eccessivo di quella che viene definita da Francesco Lutrario come “pointification” può demotivare l’utente fino all’abbandono del programma di formazione.
Gli elementi di gioco possono aiutare nello scatenare leve motivazionali, ma devono essere scelti successivamente alla definizione delle meccaniche ludiche previste per l’esperienza. L’analisi delle leve deve precedere la scelta degli elementi di gioco, i quali hanno il ruolo di incentivare o disincentivare specifici comportamenti per il raggiungimento dell’obiettivo prefissato.

Le metriche di valutazione sono necessarie per definire in modo oggettivo benefici e limiti dell’esperienza. È necessario definirle sia per gli utenti rispetto alle conoscenze in campo sicurezza informatica e cambio di comportamento sia rispetto alla percezione degli utenti nell’esperienza. Avere degli indicatori oggettivi come obiettivi raggiunti, conoscenza acquisita, cambio di comportamento nella vita reale, aiuta sia a livello organizzativo per mettere a fuoco i punti di forza e di debolezza dell’esperienza sia a livello utente poter misurare la propria conoscenza e il percorso effettuato.

Le sessioni di gioco devono essere definite in modo preciso, la metodologia suggerisce esperienze a lungo termine organizzate in sessioni brevi ma frequenti. Per esempio, è preferibile organizzare brevi sessioni di 10 minuti una volta a settimana rispetto ad un corso di 8 ore consecutive una volta l’anno.
L’aggiornamento dell’offerta formativa deve essere costante, considerando anche il materiale didattico che deve essere al passo con le novità rispetto ai nuovi vettori d’attacco e alle soluzioni di sicurezza.

Dalla trattazione teorica fin qui descritta, durante il lavoro di tesi sono scaturite diverse idee di applicazione. Ne condividiamo una a scopo esemplificativo.
Prima di tutto abbiamo definito quali siano le competenze e capacità richieste degli utenti destinatari: Sono utilizzatori non specializzati in ambito informatico ma che, per ragioni lavorative o di interesse personale, interagiscono quotidianamento con la tecnologia. Quindi, non dovranno possedere nozioni tecniche né relative alle tematiche di sicurezza né più in generale ad ambiti informatici specifici. Allo stesso tempo, dovranno essere motivati e personalmente interessati al tema. L’obiettivo è coinvolgerli per approfondire la comprensione dei problemi di cybersicurezza e sviluppare l’attuazione di semplici strategie di protezione informatica, in modo da aumentare le proprie capacità di difesa durante la vita quotidiana, abilitando la possibilità di riconoscere i principali vettori d’attacco.

Proprio la comprensione degli attacchi è il tema centrale, tramite esempi reali e concreti di phishing, identity spoofing, social engineering, software update, remote work, mobile security e debolezze delle password.

Lo strumento scelto per l’esperienza è Gather. Gather è una piattaforma online che permette di creare mappe virtuali all’interno delle quali gli utenti possono interagire con gli oggetti condividere immagini, video, testi, link esterni e chiamate zoom. L’interazione con altri partecipanti è del tutto simile a quella di una normale videochiamata, ma ogni partecipante viene rappresentato da un avatar, il quale può interagire con altri giocatori e oggetti presenti nello stesso spazio virtuale. Si crea così un contesto in cui l’interazione tra utenti risulta semplice e diretta.

I vari elementi presenti nella stanza rappresenteranno indizi e contenuti utili al fine di risolvere la missione specifica. In particolare ogni elemento contenuto nella stanza può rappresentare:
– Un set di domande a cui i partecipanti sono tenuti a rispondere
– Informazioni generali sul problema di sicurezza presentato con nozioni accessibili
– I principali pericoli e minacce rappresentate dai problemi di sicurezza specifici
– Consigli e buone abitudini su come potersi difendere ed evitare situazioni spiacevoli, nonché su come comportarsi a seguito di un attacco subito.
– Racconti di casi realmente accaduti riferiti al problema presentato.
Un esempio di tematica è la scelta della password, le domande possono riguardare le caratteristiche di una buona password, descrivere come una password troppo corta possa essere facilmente indovinata dalla prova di tutte le possibilità, cosa fare in caso di compromissione, evitarne la su foglio di carta a fianco della postazione e infine, celebri attacchi che hanno portato alla compromissione di centinaia di migliaia di account.

La risposta alle domande relative avviene tramite cooperazione tra vari utenti e alla raccolta dei suggerimenti presenti nella stanza virtuale. La meccanica ludica su cui si basa l’esperienza è la risoluzione dei problemi grazie agli indizi presenti nella stanza virtuale in cui si trovano, in modo similare a quanto possono succede nelle note “escape room”. Gli utenti sono divisi in gruppi e dovranno cooperare (sia comunicando, sia condividendo gli indizi trovati) al fine di ottenere le informazioni necessarie. I giocatori possono chiedere aiuto a un supervisore esperto che interagisce solo quando necessario e sotto richiesta esplicita. Ogni gruppo ha un tempo limitato per rispondere alle domande proposte, in modo da introdurre urgenza e spingere ulteriormente alla necessità di cooperazione e condivisione con i propri compagni di gioco.

La metafora utilizzata cerca di rispecchiare le caratteristiche essenziali di una situazione reale, in modo che l’utente finale la possa ‘riconoscere’ anche al di fuori del momento di gioco. In particolare, le domande a cui l’utente è tenuto a rispondere rispecchiano i problemi/situazioni a rischio sicurezza in cui l’utente trova nel quotidiano lavorativo. Gli indizi sparsi per la stanza spingono l’utente a cercare informazioni prima di agire precipitosamente, e il confronto con il supervisore vuole rappresentare la richiesta d’aiuto ad un esperto esterno (es. Supporto interno di cybersecurity, polizia postale) nel caso in cui le informazioni trovate non siano sufficienti o soddisfacenti.
L’obiettivo è di rendere l’utente più sensibile al tema sicurezza, indurlo a porsi domande al fine di spingerlo alla formazione autonoma, fargli interiorizzare la necessità di condividere problematiche di sicurezza anziché sottovalutarle, e anche chiedere aiuto in caso di dubbio prima di compiere azioni potenzialmente compromettenti. L’esperienza di gamification rappresenta quindi un facilitatore posto come “allenamento” per l’utente al fine di potenziare il pensiero critico e di sviluppare una metodologia di comportamento da adottare abitualmente.

Per quanto riguarda il tempo di fruizione l’idea propone di presentare ogni argomento di sicurezza in un modulo indipendente. Ogni sessione è caratterizzata da un modulo specifico. L’esperienza globale può includere più moduli. L’impegno dell’utente è di circa mezz’ora a settimana per un massimo di un mese, rispettando il principio di brevi sessioni ripetute frequentemente nel tempo.

Le applicazioni della gamification in ambito di cybersecurity sono ancora agli inizi. I prossimi passi sono l’applicazione delle idee fin qui messe a punto su varie realtà aziendali ed educative, in modo da sviluppare l’adattabilità della metodologia a contesti differenti. Consci del fatto che le tematiche di sicurezza informatica sono estremamente importanti nel mondo attuale, crediamo che sviluppare una metodologia didattica efficace, come la gamification, possa avere un significativo impatto sulla società, sia in termini di sicurezza del singolo, sia di sicurezza delle organizzazioni di cui quest’ultimo fa parte, con il bonus aggiuntivo di farlo con divertimento :).