Informasjonssikkerhet er en kritisk faktor i dagens heldigitale samfunn. Med økende avhengighet av digitale plattformer og tjenester, er det viktigere enn noensinne å forstå de grunnleggende prinsippene for sikkerhet på nettet.
Dataspill har i økende grad blitt brukt for å gi en engasjerende og interaktiv læringsopplevelse som kan hjelpe studenter innen sikkerhetsfag til bedre å forstå ulike informasjonssikkerhetskonsepter. De tilbyr studentene en interaktiv opplevelse som gir dem mulighet til å lære ved å gjøre, i stedet for kun passivt motta informasjon. Dette aktiverer en dypere forståelse og engasjement, som er avgjørende for læring. Internasjonale studier viser da også at dataspill kan bidra til å forbedre studenters kunnskaper, ferdigheter og holdninger til cybersikkerhet.
Mange dataspill tilbyr realistiske simuleringer av situasjoner som involverer informasjonssikkerhet. Spill som f.eks. «Watch Dogs» gir spilleren muligheten til å utforske de ulike aspektene av hacking og digitale trusler i et kontrollert miljø, og dermed kan spilleren oppleve konsekvensene av dårlig sikkerhetspraksis uten faktisk risiko. Ved å spille slike spill kan studenter forstå hvordan angripere opererer og hvilke skader de kan forårsake, noe som er avgjørende for å utvikle en sterkere sikkerhetsbevissthet.
Et av flere dataspill som har blitt brukt i informasjonssikkerhetsundervisning internasjonalt er «Hacknet«, som er et terminalbasert hackingspill. En studie av (Gee et al. 2018) fant at å spille spillet «Hacknet» forbedret både studentenes kunnskap og ferdigheter innen cybersikkerhet, og deres holdning til cybersikkerhet. Et annet eksempel er «CyberCIEGE«, et spillbasert læringsverktøy utviklet av National Cyber-Forensics and Training Alliance (NCFTA), som lærer spillerne hvordan de skal identifisere og reagere på cybertrusler. En studie av (Rochelle et al. 2017) fant at bruk av «CyberCIEGE» i forelesningene førte til betydelig økning i studentenes kunnskap om cybersikkerhet.
Selv har jeg benyttet meg av spill-lignende tester som «Nettfiske-test – Er du smartere enn en nettsvindler?«, «Hvor utsatt er du for ID-tyveri?» og mer rendyrkede dataspill som «The Weakest Link: A user security awareness game«, «The Missing Link» og «Cyber Awareness Challenge 2019» i mine sikkerhetsemner.
I 2004 utførte Mitchell og Savill-Smith en litteraturstudie som viser at bruk av dataspill i opplæring kan gi positive læringseffekter, om spillet er designet riktig (2004). Disse funnene er bekreftet også i sener studier (Alotaibi, Furnell, Stengel, & Papadaki, 2016; Ariyapperuma & Minhas, 2005).
Aloraibi et al. (2016) pekte i sin tid på at det fortsatt var et stort behov for flere studier på området, da det er få spill for profesjonelle aktører rettet mot spesifikke sikkerhetstrusler. Dette behovet er stadig tilstede, og man kunne ha ønsket en større utvikling av dataspill innen informasjonssikkerhet, både nasjonalt og internasjonalt. Funnene til Aloraibi et al. (2016) indikerer at viktige faktorer for at dataspill skal fungere er at de møter brukernes behov, er engasjerende og tar høyde for forskjellig livsstil og kultur.
Andre som også har pekt på at dataspill for å skape sikkerhetsbevissthet fungerer er Mitchell & Savill-Smith (2004), og de peker på at dataspill fungerer fordi de skaper engasjement. De peker videre på ytterligere suksessfaktorer, blant annet at spillene må være av høy kvalitet, underholdende, enkle i bruk, varierte i oppgaver og kompleksitet, tilpasset brukeren og det spesifikke problemområdet eller ferdigheten som skal øves. Avslutningsvis mener de at utdanningsspill må bygge på de samme prinsippene, og være av samme kvalitet, som kommersielle underholdningsspill. Dette er en stor utfordring, da det er en helt annen økonomi i utvikling av underholdnings- enn undervisningsspill.
Ut fra mitt ståsted er de to største utfordringene at de dataspill som er gratis tilgjengelig innen informasjonssikkerhet ikke speiler norsk kultur og i altfor stor grad mangler de kommersielle underholdningsspillenes kvalitet. Til tross for dette viser tilbakemeldingene fra mine studenter i IKT1013-Grunnleggende informasjonssikkerhet og ORG5005-Digital beredskap at dataspillene benyttet i arbeidskravene ved disse sto emnene gir verdifulle refleksjonspunkter.
Her er et knippe studentrefleksjoner, som vil være del av en kommende artikkel fra førsteamanuensis Beata Godejord og undertegnede om bruk av dataspill som læringsverktøy innen informasjonssikkerhets-bevisstgjøring (17th European Conference on Games Based Learning).
«Etter å ha spilt disse spillene, sitter jeg egentlig ikke igjen med noen ny lærdom. Men det skal sies at her handler det kanskje mer om å bli litt mer bevisst rundt sin egen sikkerhet og det føler jeg at jeg har blitt.»
– Student IKT1013, 2022
«The Weakest Link: A user security awareness game fikk meg til å reflektere rundt hvilket ansvar jeg som bruker og arbeidstaker har.»
– Student IKT1013, 2022
«Jeg blitt mer bevist hvilke tilganger jeg gir appene på smartmobilen min. Jeg har begrenset tilgang til posisjonstjenester, kontaktliste, anropsliste og mikrofon, for flere apper jeg mener ikke behøver det. Når det gjelder passord har jeg også tatt i bruk Apple sin nøkkelring, som foreslår kompliserte passord når jeg må opprette nye passord for ulike tjenester. Jeg har også aktivert to-faktor-autentisering.»
– Student IKT1013, 2022
«Spillene/testene har fått meg til å reflektere rundt egen kunnskap om sikkerhet og trygghet på nett. Jeg kjenner jeg er mer digital trygg etter å ha gjennomført testene/spillene enn hva tilfellet var før.»
– Student IKT1013, 2022
«Jeg er nå enda mer opplyst på hva jeg bør gjøre og hva jeg ikke bør gjøre etter å ha utført spillene.»
– Student IKT1013, 2022
«Min sikkerhetsbevissthet har blitt bedre etter at jeg utførte testene/spillene.»
– Student IKT1013, 2022
«Etter å ha gjennomført disse testene og spillene har jeg innsett at jeg kanskje kunne vært et offer for svindel likevel.»
– Student IKT1013, 2022
«Spill gir på en enkel måte søkelys på beredskap og sikkerhet innenfor digitale trusler og bidrar å modne bevisstheten. Sammenhengen digital fagteori, spill og øvelser er en fin måte å oppnå sikkerhetskultur på.»
– Student ORG5005, 2022
«Da jeg kom til gjennomføring av selve spillene erfarte jeg dette som et positivt avbrekk, samtidig som jeg lærte en god del av egne feil. At spillene var koblet til teori innenfor sosial manipulasjon forsterket læringen.»
– Student ORG5005, 2022
«Jeg valgte å ha en kritisk tilnærming til spill som metode og konteksten de skal brukes i. Jeg vil allikevel poengtere at jeg for min egen del hadde stort utbytte av å spille. Ved å spille satt jeg igjen med økt overvåkenhet, med tanke på metoder som kan benyttes for å avdekke forsøk på svindel.»
– Student ORG5005, 2022
«Spille seg til kunnskap syns jeg er et pedagogisk virkemiddel som virkelig treffer godt i forbindelse med bevissthet rundt digital sikkerhet. Jeg har opplevd som sikkerhetsoffiser at det kan være utfordrende nok å få personell i organisasjonen til å lese, sette seg inn i og følge opp instrukser og regelverk.»
– Student ORG5005, 2022
I inneværende semester (Vår 2023) blir studentene ved ORG5005 presentert for spillet «Cybersecurity Ops Terminal«, som erstatter «Nettfiske-test – Er du smartere enn en nettsvindler?». Dette spillet har en større grad av «dataspill-følelse» enn nettfiske-testen, som er mer en test enn et rent dataspill.
(I løpet av sommeren 2023 forsvant spillet fra IBM sine websider, og jeg utforsker nå det amerikanske forsvarsdepartementets onlinespill «Cyber Mission 2020«).
For flere av mine tanker om bruk av dataspill se Mine studenters bruk av digitale verktøy, samt «Fra enkeltverktøy til helhetlig digital mediehverdag – Historie, statistikk og angrepsscenarioer som del av studentaktiv læring.
Dataspill kan altså være et kraftig verktøy for å øke studenters bevissthet om informasjonssikkerhet. De tilbyr realistiske scenarier, muligheten til å lære gjennom feil, engasjement gjennom konkurranser og en plattform for samarbeid og teamarbeid. Integreringen av dataspill i utdanningsprogrammer kan være en innovativ tilnærming for å sikre at fremtidige generasjoner er bedre forberedt på å håndtere informasjonssikkerhetstrusler i en heldigital verden.
Your abstract entitled: Computer Games as a Pedagogical Tool for creating Cyber Security Awareness has been selected for submission as an academic paper at ECGBL, 17th European Conference on Games Based Learning, 5 - 6 October 2023, Enschede, Netherlands. Presenteres virtuelt.
Litteratur
Alotaibi, Faisal & Furnell, Steven & Stengel, Ingo & Papadaki, Maria. (2016). A Review of Using Gaming Technology for Cyber-Security Awareness. International Journal for Information Security Research. 6. 10.20533/ijisr.2042.4639.2016.0076.
Ariyapperuma, S. and Minhas, A. (2005), «Internet security games as a pedagogic tool for teaching network security,» Proceedings Frontiers in Education 35th Annual Conference, Indianopolis, IN, USA, 2005, pp. S2D-1, doi: 10.1109/FIE.2005.1612218.
Gee, J. P., & Beavis, C. (2018). The Impact of Playing Hacknet on Cybersecurity Knowledge, Skills, and Attitudes. International Journal of Gaming and Computer-Mediated Simulations, 10(3), 1-10.
Mitchell, A., & Savill-Smith, C. (2004). The use of computer and video games for learning: A review of the literature. Learning and skills development agency.
Rochelle, L., & Brudvik, J. (2017). The Impact of Game-Based Learning on Cybersecurity Knowledge and Attitudes. Journal of Cybersecurity Education, Research and Practice, 2(1), 1-7.