Già nel 2000 Bruce Schneier sosteneva che “Solo i dilettanti attaccano le macchine; i professionisti si rivolgono alle persone. E qualsiasi soluzione dovrà affrontare il problema delle persone”. A conferma di quanto previsto allora l’ultimo “Verizon Data Breach Investigations Report 2022” indica che l’elemento umano è coinvolto nell’82% delle violazioni1.
Che si tratti di utilizzo di credenziali rubate, phishing, uso improprio o semplicemente di un errore, il fattore umano continua ad essere cruciale negli incidenti e nelle violazioni di sicurezza. L’utilizzo dei serious game potrebbe rappresentare una soluzione efficace per sensibilizzare ed addestrare le persone.
Pensieri lenti e veloci
Il premio Nobel Daniel Kahneman nel suo libro “Thinking, Fast and Slow” spiega che il cervello umano usa due sistemi fondamentali nelle operazioni mentali2. Un sistema di pensiero veloce, istintivo ed emotivo, che permette di reagire prontamente in ogni situazione e un sistema più lento, riflessivo e logico, che permette di ragionare e decidere sulle situazioni. Mentre il sistema veloce ci aiuta a prendere decisioni immediate utilizzando pregiudizi e scorciatoie mentali, il sistema lento è fondamentale per affrontare i problemi complessi e capire le cose in modo dettagliato.
Il pensiero veloce, che ci deriva dal cervello primordiale (amigdala), permetteva ai nostri antenati di prendere decisioni immediate e conservare l’energia per cacciare, raccogliere o scappare dai predatori animali. Il pensiero lento, controllato dal cervello evoluto (corteccia cerebrale), richiede più energia, sforzo di riflessione e ragionamento e per questo non è la modalità preferita dal nostro cervello.
Oggi utilizziamo meno energia per muoverci, ma impieghiamo più tempo ed energia per prendere delle decisioni, spesso davanti a un computer o a uno smartphone.
Inconsciamente, continuiamo a preferire il pensiero istintivo perché siamo programmati a livello genetico per essere pigri e vogliamo risparmiare tempo ed energia nelle nostre decisioni quotidiane.
Errare è umano, ma non basta saperlo
Quando l’evoluzione tecnologica e culturale è molto rapida e siamo di fronte a situazioni nuove e complesse, è possibile e probabile che continuiamo a prendere delle decisioni d’istinto, senza fare nessuna riflessione approfondita sulla nuova realtà. Questo può portare a decisioni errate.
Kahneman sostiene che, sebbene il pensiero veloce sia ottimo per risparmiare tempo ed energia, è anche il più soggetto ad errore. E questo sistema di pensiero è responsabile del 95% delle decisioni che prendiamo normalmente.
Le persone sono quindi più vulnerabili nel nuovo mondo digitale a causa della loro ignoranza, indifferenza, ingenuità nell’affrontare i rischi inaspettati e della possibile negligenza nell’uso dei sistemi che non conoscono a fondo.
La componente umana è il problema più critico per la sicurezza informatica ed è importante spiegare e far conoscere alle persone i possibili rischi di questo nuovo ambiente. Questo per evitare di avere reazioni errate, con gravi conseguenze e danni importanti sia a livello personale che per un’intera organizzazione.
Anche se esistono soluzioni tecniche e organizzative per gestire la sicurezza informatica queste non sono sempre efficaci nel prevenire gli errori umani.
Pertanto, sono fondamentali l’informazione, per permettere alle persone di conoscere e identificare i possibili rischi, e la formazione per dare loro le competenze necessarie per affrontarli e gestirli.
L’importanza dei comportamenti
Ma quando si ha a che fare con gli aspetti umani della sicurezza dobbiamo considerare la differenza tra conoscenza e intenzione perché, come abbiamo visto, la mente umana è predisposta alla pigrizia e alle scorciatoie. Nonostante la consapevolezza dei rischi, potremmo comunque reagire istintivamente a un messaggio di posta elettronica senza verificarne i contenuti oppure utilizzare l’accesso ai sistemi con password deboli o condivise. Questi sono solo alcuni esempi in cui la fretta e l’indolenza possono portare a situazioni disastrose, difficilmente prevedibili.
Non basta quindi far conoscere i rischi, ma bisogna influenzare i comportamenti e il sistema di valori, in modo da avere reazioni efficaci per contrastare le minacce e acquisire risposte automatiche e prudenti, anche in situazioni di stress.
Le nostre reazioni alle minacce sono il frutto di un’esperienza umana che si è evoluta in centinaia di anni e che ormai sono codificate nei nostri comportamenti quotidiani.
Come fare per ottenere le risposte giuste alle minacce nel mondo digitale che conosciamo solo da pochi anni e che oltretutto è in continuo cambiamento? Dato che non sempre è possibile apprendere tramite l’esperienza diretta, perché in alcuni casi potrebbe essere dannoso, possiamo invece prendere confidenza con i nuovi rischi e le giuste reazioni attraverso i giochi di simulazione noti come “serious game”. Grazie alla loro natura ludica, i serious game riescono a motivare la partecipazione del giocatore e allo stesso tempo favorire l’apprendimento con un’esperienza cognitiva più diretta e coinvolgente.
Il valore dei serious game nella gestione della conoscenza
Nel saggio del 2014 Bayart et al. giustificano il valore dei cosiddetti serious game nella gestione della conoscenza, in particolare il loro ruolo nell’acquisizione di competenze per i lavoratori della conoscenza3. Secondo gli autori la gestione della conoscenza consiste nel permettere alla stessa di emergere, circolare ed essere utilizzata in modo da promuovere lo spirito d’innovazione e la creatività individuale e di conseguenza migliorare le prestazioni e la competitività dell’organizzazione. Uno degli aspetti più importanti della gestione della conoscenza è la trasformazione della conoscenza tacita (esperienze, applicazioni e pratiche non necessariamente consapevoli) in conoscenza esplicita (formalizzata e trasferibile) e viceversa. I serious game possono essere uno strumento utile per la gestione della conoscenza.
Le origini del serious game
Senza entrare nei dettagli delle origini del concetto di gioco e delle radici di alcuni classici, possiamo generalmente affermare che in Occidente i primi germi dell’odierna cultura del gioco di società cominciarono a svilupparsi nel XVIII secolo. In precedenza, i giochi erano principalmente legati alla cultura popolare o alla nobiltà, come ad esempio i giochi d’azzardo e i giochi di semina nell’antichità, gli scacchi (originari dell’India, VI secolo) come simbolo di valore cortese in ambito cavalleresco e la diffusione dei Tarocchi durante il Medioevo. I giochi di società fiorirono anche grazie all’espansione della tecnologia della stampa che permise prezzi più bassi e maggiore disponibilità, alla crescente prosperità della classe media che aveva un maggiore potere d’acquisto e maggiore tempo libero, e alla migliore istruzione nel corso del XIX e XX secolo. Il gioco divenne così un momento di piacere. E un’industria poderosa.
I giochi sono in grado di offrire soluzioni che possono essere sia semplici che complesse, realistiche o arbitrarie, che richiedono tempi di esecuzione relativamente brevi, con un set di regole esplicitamente definite. Una specifica variante del concetto di gioco è costituita dalle simulazioni di guerra (wargame), che sono state progettate per essere utilizzate in contesti reali per la verifica e l’acquisizione di conoscenze. Questa particolare disciplina del gioco, più precisa e avanzata, in origine senza scopi ludici, è stata praticata fin dalla fine del XVIII secolo, e Johann Christian Ludwig Hellig è considerato il suo inventore. A partire dalla seconda metà del XX secolo, questa disciplina ha visto una crescita significativa anche in contesti non militari, in particolare a livello manageriale dove si devono istruire e verificare i processi decisionali e studiare contesti complessi.
Nel corso dei primi decenni del XIX secolo, sempre più giochi educativi sono usciti dall’ambiente esclusivo dell’aristocrazia, portando ad un processo di democratizzazione di questa forma del gioco e di unione tra lo studio e il divertimento per un pubblico più ampio. L’uso dei giochi con una prospettiva educativa è stato formalizzato da Abt nel 1970, coniando il termine serious game4. Da allora, il termine serious game si è evoluto ed esistono oggi varie sottocategorie, tra cui gli advergames (utilizzati a scopi pubblicitari), i newsgames (utilizzati per informare) e l’edutainment (giochi educativi).
Serious game: un identikit
Un serious game è un sistema educativo completo, che è allo stesso tempo complesso e dinamico, ma anche stimolante e appagante. Accanto al divertimento che assicura la conclusione del modulo di istruzione, l’obiettivo principale è il trasferimento di conoscenze attraverso un apprendimento spesso inconsapevole, attivato durante il gioco stesso e/o dopo il gioco, durante un dialogo tra i giocatori e/o con un moderatore della sessione di gioco. L’apprendimento nei serious game avviene con la riflessione durante il gioco e durante il momento di debriefing.
Poiché il gioco si svolge spesso in assenza di un coach, il debriefing deve essere spesso implicito e parte integrale dell’esperienza personale. Questo può essere provocato da un ambiente competitivo (“ho vinto perché…”; “la mia strategia sarebbe vincente se solo…”) o essere situato in un contesto più ampio, per esempio con un concorso per la miglior soluzione a una situazione oppure tramite questionari mirati a saggiare la reale comprensione dei contenuti appresi.
Due tipi di serious game
La letteratura distingue due tipi di serious game5:
- Giochi orientati al processo. Questi giochi non hanno un obiettivo finale specifico ovvero condizioni di vittoria. L’obiettivo principale di questi giochi è il processo stesso e l’apprendimento che ne deriva.
- Giochi orientati al risultato. In questo caso l’attenzione si concentra sull’obiettivo finale misurabile. Questo tipo di gioco mira alla padronanza di una o più abilità. Il giocatore dimostra, alla fine della fase di gioco, di aver compreso le informazioni, ad esempio attraverso un risultato specifico ed elaborato.
Il serious game offre un’educazione contestuale, promuovendo l’autonomia, l’iniziativa e la capacità di prendere decisioni complesse e critiche. Ciò risulta particolarmente utile quando il giocatore deve gestire numeri o concetti di alta astrazione. I serious game sul tema della sicurezza informatica sono diventati relativamente popolari a partire dall’ultimo decennio, con un picco delle uscite osservabile nel 2019 e in seguito probabilmente smorzato dalla pandemia. Tuttavia, già prima erano generalmente poco conosciuti dal pubblico e la loro diffusione conta solitamente poche centinaia di copie6. La digitalizzazione dell’esperienza di gioco sta raggiungendo anche questo settore, anche se la forte frammentazione del fenomeno è tuttora presente.
Come i serious game possano essere utilizzati per raggiungere obiettivi specifici
Due esempi pratici permettono di capire come i serious game possano essere utilizzati in contesti diversi per raggiungere obiettivi specifici.
Il primo esempio, Cyber Survival Game, è un gioco creato per diffondere la cultura della sicurezza informatica presso il grande pubblico e permette ai giocatori di confrontarsi con minacce e contromisure.
Il secondo esempio, Cyber Shield, è un gioco sviluppato dall’esercito svizzero in cui i giocatori, impersonando i responsabili della sicurezza aziendale, utilizzano carte di asset, minacce ed eventi per costruire reti virtuali sicure.
Cyber Survival Game: un gioco da tavola per tutti
Cyber Survival Game7 è un gioco da tavolo che ha lo scopo di diffondere la cultura della sicurezza informatica presso il grande pubblico. Si rivolge sia ad adulti che ragazzi a partire dagli 8 anni e mira a sensibilizzare sulle principali minacce informatiche nell’ambiente domestico, nelle scuole e nelle aziende utilizzando un approccio ludico e coinvolgente.
Il gioco nasce dalla collaborazione di un esperto di giochi e un consulente di sicurezza informatica su iniziativa di ATED8, l’Associazione Ticinese Evoluzione Digitale, come progetto finalizzato alla formazione sull’utilizzo della tecnologia e sulla sicurezza informatica.
L’obiettivo del gioco, che utilizza delle carte e dei dadi, è quello di difendere dai rischi informatici tre tipologie di risorse: Salute e Reputazione, Beni patrimoniali, Informazioni e privacy. Queste tre tipologie di risorse sono indicate sulla plancia di gioco individuale con un punteggio assegnato inizialmente a 10. L’obiettivo del giocatore è quello di non far diminuire questo punteggio.
Ci sono delle “carte minacce” che indicano i possibili rischi informatici e che fanno diminuire il punteggio e delle “carte power-up” che permettono di aumentare il punteggio.
Sulla plancia ci sono anche le indicazioni di quattro famiglie di contromisure legate alla sicurezza informatica: protezione dei sistemi, delle informazioni, delle comunicazioni e verifica dell’autenticità. Tramite il lancio dei dadi il giocatore può in alcuni casi utilizzare una di queste contromisure per aumentare la sua protezione.
Sul sito internet è presente una dimostrazione del gioco9 che permette ai potenziali partecipanti di capire le regole principali e la dinamica.
Non sempre c’è un nesso di causa ed effetto tra le minacce e le azioni messe in atto durante il gioco perché la dinamica è legata alle sequenze casuali del lancio dei dadi. Questo non significa che venga meno il valore didattico del gioco.
Prendendo visione delle “carte minacce” e delle “carte power-up”, i partecipanti si rendono conto dell’inventario dei possibili eventi e delle minacce che caratterizzano il mondo digitale, acquisendo così una conoscenza a livello informativo dei possibili rischi. Inoltre, attraverso un codice QR presente su tutte le carte, il giocatore può accedere a pagine internet in cui è possibile trovare maggiori informazioni sul tipo di minaccia o di contromisura in questione e approfondire gli aspetti di sicurezza relativi.
Dalle esperienze dei giocatori, è stato rilevato che molti di loro sono rimasti sorpresi dalle scarse conoscenze che avevano delle minacce presenti nel mondo digitale e dalla quantità di rischi a cui erano esposti senza esserne consapevoli. In particolare, alcuni partecipanti hanno addirittura iniziato a preoccuparsi dei comportamenti errati che avevano avuto in passato, ripromettendosi di avere una maggiore attenzione sui temi della sicurezza informatica.
Cyber Shield: concetti complessi nel palmo di una mano
Cyber Shield è un nuovo serious game dell’Aggruppamento Difesa dell’Esercito svizzero. Il team Educazione e sensibilizzazione alla cyber sicurezza dell’Esercito svizzero10 prosegue con questo progetto sulla strada della gamificazione e dei serious game: una decisione dimostratasi molto efficace nel corso degli ultimi anni11.
Cyber Shield è un gioco di carte collezionabili, giocato uno contro uno, che oltre alle carte necessità solo di una piccola area di gioco e di carta e penna per contare i punti. I giocatori impersonano simbolicamente il responsabile della sicurezza di un’azienda. Ogni giocatore possiede un mazzo di carte personali che comprende una selezione degli asset, delle minacce, ma anche degli eventi del mondo informatico. Questo mazzo personale viene fornito preconfigurato (base deck) con un totale di 60 carte e include 27 tipi di carte, differenti per numero e rarità predefiniti.
Il modo di giocare è piuttosto semplice e intuitivo e si ricollega nel concetto di base agli altri grandi titoli di carte collezionabili come Magic, Yu-Gi-Oh! oppure Pokémon.
I giocatori si alternano nel ruolo di giocatore attivo e passivo. Nel proprio turno il giocatore attivo pesca nuove carte, stabilisce quante ne potrà giocare e poi gioca la mano e, mettendo le carte sul tavolo, organizza le proprie reti. Parole chiave scritte sulle carte stabiliscono le interazioni possibili. Le carte asset offrono dei punti bonus, mentre le carte minacce giocate dall’avversario detraggono punti con dei malus. Le carte evento possono essere sempre giocate: il giocatore passivo può quindi influenzare la situazione senza preavviso. Le regole di base sono brevi, riassunte in poche pagine nell’opuscolo accluso al base deck: ogni carta tuttavia aggiunge nuovi elementi, aumentando man mano la complessità della rete e della situazione di gioco.
Si può vincere costruendo una rete sicura quando si raggiungono i 10 punti o più, mentre si perde quando si scenda a meno 10 punti.
Come aggiunta didattica, ogni carta contiene brevi testi esplicativi che illustrano in minimi termini il contenuto e la dinamica di quanto presente sulla carta stessa, come parte del discorso di knowledge management.
Dopo le prime partite i giocatori potranno esplorare nuove strategie di gioco, modificando i mazzi preconfigurati (analisi e debriefing) o con scambi con altri membri della community (socializzazione). Per incentivare questa corsa alla migliore strategia è possibile ottenere carte supplementari, racchiuse in bustine da 12 carte assortite di diverso tipo. Queste bustine si possono ottenere partecipando a eventi o altre attività legate alle campagne di sensibilizzazione e istruzione per la cyber sicurezza.
Per Cyber Shield sono state sviluppate una cinquantina di tipi di carte, ma il gioco potrà essere allargato ad altri temi e novità tecnologiche in tempi relativamente rapidi.
Conclusioni
I “serious game” sono uno strumento dinamico e interattivo per comprendere le minacce, osservando le proprie azioni e i relativi risultati. Questi giochi favoriscono la memorizzazione e il trasferimento delle conoscenze acquisite ad altri contesti reali. Attraverso le simulazioni, è possibile conoscere e sperimentare vulnerabilità, attacchi e difese, sviluppando una maggiore consapevolezza dei rischi e la capacità di reagire in modo appropriato. L’obiettivo finale è quello di interiorizzare comportamenti corretti che possano essere applicati anche al di fuori dei giochi, nella vita reale e professionale. Questo potrà aiutare a ridurre gli incidenti e le violazioni causate dal fattore umano, migliorando significativamente i livelli di sicurezza.
- Verizon Data Breach Investigations Report 2022
- Kahneman D., (2011), Thinking, Fast and Slow, Farrar, Straus and Giroux, Part I
- Bayart C., Vallat D., Bertezene S., Martin J. (2014). Serious games: leverage for knowledge management. In: The TQM Journal, Vol. 26, Nr. 3, 2014: 235-252.
- Abt C. (1970). Serious Games. New York.
- Sanchez, E. (2011). Usage d’un jeu sérieux dans l’enseignement secondaire : modélisation comportementale et épistémique de l’apprenant”. In: Revue d’intelligence artificielle, Vol. 25 Nr. 2, 203-222
- Stefan Lehmann, Konzeptarbeit zu Cyber Shield – ein Cyber Security Serious Game, Berna 2022 (CAS Knowledge Management)
- Sito di presentazione del gioco, https://www.cybersurvivalgame.ch/
- ATED, fondata nel 1971 con il nome Associazione Ticinese Elaborazione Dati è l’associazione degli informatici della Svizzera italiana. Ha recentemente cambiato nome in Associazione Ticinese Evoluzione Digitale
- Pagina di dimostrazione del gioco, https://www.cybersurvivalgame.ch/?page_id=860
- Unità della sezione Cyber Protection. Stefan Lehmann ha diretto il team dal 2017 al 2022.
- Dal 2019 al 2022 con un escape room su misura per divulgare i concetti legati all’insider threat e alla sicurezza integrale. Dal 2021 entro la fine di quest’anno la gamificazione di dozzine di moduli di apprendimento online (WBT) legati alla cyber sicurezza nei corsi di istruzione di base di tutti i militari di leva e del personale amministrativo federale. Dal 2022 la personalizzazione gamificata dei test di phishing ormai già consuetudine da dieci anni a questa parte.
