Reportage

Marjolein Winters en Marcel van Brunschot

Maaike Tindemans
Tekst:
Maaike Tindemans
Verwachte leestijd: 3 min

Escaperoom cybersecurity: ‘Een leuke speelse manier van leren’

Hoe zorg je ervoor dat álle medewerkers van een organisatie zich bewust zijn van de cybersecurity-risico's waar zij zelf invloed op hebben? Netwerk Acute Zorg Brabant ontwikkelde samen met Escape Room Designer een escaperoom waarmee medewerkers op een speelse manier getraind worden. ‘Het voelt als een teamuitje', zegt een van hen. Zo worden ze getraind zonder dat ze er echt moeite voor hoeven te doen.

Het is woensdagochtend 11.00 uur en het ziekenhuis is zogenaamd ‘gehackt’. Een team van medewerkers krijgt een half uur de tijd om de hack te stoppen. Terwijl de teller aftelt, worden ze uitgedaagd om cyber-gerelateerde puzzels op te lossen. Hiervoor moeten ze onder druk samenwerken, goed met elkaar communiceren én hiermee wordt hun kennis over cybersecurity getest.

Zes elementen
“De zorg digitaliseert enorm snel en daardoor zijn zorginstellingen een aantrekkelijk doelwit voor cybercriminelen", vertelt Patricia van Roessel, beleidsadviseur crisisbeheersing en OTO bij Netwerk Acute Zorg Brabant (NAZB). “Medewerkers kunnen zelf veel doen om het risico op een cyberaanval te verkleinen en daarom is het belangrijk om hen goed te informeren. Dat kunnen we natuurlijk doen met een PowerPoint-presentatie en een goede gastspreker. Maar als je informatie alleen zendt, blijft slechts 10% van de boodschap hangen. Als mensen iets doen onthouden ze het beter.

Patricia van Roessel: 'De deelnemers oefenen om onder druk de juiste keuzes te maken'

Daarom hebben we deze escaperoom ontwikkeld. In dit spel worden zes elementen van cybersecurity geoefend: vertrouwelijk papier, social engineering, randsomware, phishing mail en het veilige gebruik van USB-sticks en organisatiepassen. De deelnemers staan onder tijdsdruk, de klok tikt af. Zo oefenen ze of ze onder druk de juiste keuzes maken en goed met elkaar samenwerken. Bovendien voelt het spel als een competitie en dat maakt emoties bij mensen los. Als mensen in het spel verkeerde keuzes maken, verspreid het virus zich door het ziekenhuis. Ze balen dan van hun handelen en daardoor blijft het hen beter bij.”

Adrenaline
De escaperoom staat tijdens deze reportage bij het Catharina Ziekenhuis in Eindhoven en het deelnemende team heeft nog geen fouten gemaakt waar ze van baalt. Ze zitten juist vol met adrenaline en proberen in een zeer hoog tempo de codes te kraken. De één is bezig om de kenmerken van een phishing-mail te omschrijven, de ander heeft een puzzel waar ze alleen niet uitkomt. “Nu even centraal", zegt ze tegen de groep. “Want deze puzzel moeten we samendoen.” In no-time staan de teamleden naast elkaar en lossen ze het samen op.

De deelnemers proberen in een hoog tempo de codes te kraken. De organisatie kijkt achter de schermen mee

Ook hun communicatie wordt geoefend. Soms reageert het spel namelijk anders dan je zou verwachten. Je kunt dit dan alleen oplossen door goed met elkaar te communiceren en naar elkaar te luisteren.

Verschillende zorginstellingen
De escaperoom staat de komende weken bij verschillende zorginstellingen in Noord-Brabant. “Alle medewerkers van ons ziekenhuis konden zich inschrijven", vertelt Marjolein Winters, adviseur crisisbeheersing bij het Catharina Ziekenhuis. “Dat ging sneller dan ik had gedacht. We zaten vrij snel vol. Nu de truck er staat, krijgen we veel mond-tot-mondreclame. Medewerkers zien ons staan en horen de verhalen van collega's. Daardoor ontstaat er nog meer animo. Dus misschien willen we de truck later dit jaar nog een keer boeken, zodat meer mensen mee kunnen doen.”

In de debriefing geeft ISO Marcel van Brunschot uitleg over de geleerde lessen

Patricia vertelt dat dit geen probleem is. “We hebben de escaperoom een jaar tot onze beschikking. We hebben eerst de zorginstellingen in Noord-Brabant de gelegenheid gegeven om de truck te reserveren. Inmiddels krijgen we ook verzoeken van zorginstellingen uit de rest van het land binnen. We hebben de truck ontwikkeld met subsidiegeld van het ministerie van Volksgezondheid. Dus ook zorginstellingen in andere delen van het land mogen hier gebruik van maken. Als hier na een jaar nog steeds veel vraag naar is, gaan we hier langer mee door.”

Leerpunten
Voor het team dat nu in de escaperoom oefent, zit de tijd erop. Ze hebben ruim binnen de tijd de code gekraakt. Dat geeft een goed gevoel. Terwijl zij het ziekenhuis in lopen voor de debriefing, wordt er nog druk nagepraat. Zo worden de leerpunten al van nature met elkaar besproken.

Op een bord kunnen de deelnemers met Post-its aangeven wat ze van de oefening vonden

In de debriefing vertelt ISO Marcel van Brunschot welke zes cybersecurity-elementen de groep geoefend heeft. Ook legt hij uit wat het beleid van het ziekenhuis op deze punten is en hij geeft voorbeelden uit de praktijk. Vooral die praktijkvoorbeelden spreken erg tot de verbeelding. Een cyberaanval zit blijkbaar in een klein hoekje.

De debriefing geeft de deelnemers de gelegenheid om vragen te stellen en dat doen ze ook. Een van de deelnemers vindt het goed toepassen van de AVG-regels bijvoorbeeld lastig. “En ik merk dat hier in mijn team ook vragen over zijn.” Ze spreekt met Marcel af dat hij een keer langskomt op de afdeling om dit onderwerp toe te lichten aan het hele team.

Leuk en leerzaam
Tot slot mogen de deelnemers met een Post-it op een bord aangeven wat ze van de oefening vonden. Er worden kreten opgeschreven als ‘verhelderend’, ‘eyeopener', ‘leuk’ en ‘leerzaam'. En dat is ook precies wat Marcel en Marjolein terug horen van de deelnemers. “In de escaperoom oefenen we thema's die we ook regelmatig op andere manieren onder de aandacht brengen. Dus veel dingen weten ze wel. De oefening helpt om het weer scherp te krijgen", zegt Marcel. “Het is een leuke, speelse manier waarmee we het bewustzijn vergroten", voegt Marjolein daaraan toe. “Door die speelse opzet blijft het mensen beter bij.”

15 juni 2023