Managementsamenvatting eindrapportage | SBIR Cyber Security Fase 2 Managementsamenvatting van de eindrapportage SBIR Cyber Security Fase 2, de prototype ontwikkeling van een transreality bridge, toegepast in een cyber app + cyber tower defense game, met als doel cyber security awareness onder burgers en medewerkers in Nederland te vergroten. Opdrachtgever : Rijksdienst voor Ondernemend Nederland Projectnummer : SBIR13C004 Opdrachtnemer : In samenwerking met:
ESG Sightes BV Bezoekadres Plaats Contactpersoon Telefoon kantoor Telefoon direct Mail Internet Versie
2
Vasteland 78
3011 BV Rotterdam
Erwin Borgmeier
010 – 310 30 98
+31 (0)6 50 234 769
[email protected]
www.sightes.com
1 December 2014
Management Samenvatting De belangrijkste cyber threat is het gebrek aan awareness inzake eigen cyber security bij de computer gebruiker zelf. Van 3 september 2013 t/m 25 november 2014 is door een consortium bestaande uit Ranj, ThinkSharp, Universiteit Tilburg, AnubisNetworks en Sightes gewerkt aan de prototype ontwikkeling van twee technische entiteiten: een transreality bridge en een virtuele, interactieve client daarvan -‐ in dit geval een cyber security awareness game -‐ speelbaar op alle gangbare platforms. Beiden zijn volledig werkend en compliant met alle platforms, Windows, Android en IOS opgeleverd. De PC/Laptop versie is te vinden op: http://testsites.ranjgames.com/battle/PolishRev2/web/ Doel was de cyber security awareness onder burgers en medewerkers in Nederland op deze manier te vergroten -‐ via een game waarin echte, persoonlijk threats kunnen worden bevochten. De TRB vertaalt real-‐time, dus dynamische data over cyber aanvallen op het eigen device naar informatie, informatie naar tegenstanders, tegenstanders naar een score, en score naar een persoonlijk profiel dat een gebruikers State of Preparedness (StoP) weergeeft. Tevens worden alle StoP profielen collectief ‘gemapt’ naar een geografische kaart van Nederland. Rode draad van de prototype ontwikkeling bestond uit het (samen)werken binnen een agile scrum development proces. De belangrijkste deelresultaten van dit proces is het TRB-‐design document en de documentatie van het game design. Binnen het project zijn een drietal onderzoeken uitgevoerd, pre-‐onderzoek naar het effect van serious gaming op cyber security awareness (n= 29) en een spelers evaluatie van Threat Battle (n=10) in relatie tot het eerder uitgevoerde pre-‐onderzoek. Consumenten onderzoek (n = 100) is uitgevoerd om de markt interesse in ThreatBattle in kaart te brengen. In het pre-‐onderzoek werd effect gemeten op cyber security awareness in termen van een verandering in perceived vulnerability, perceived severity, respons effectiveness en geen verandering op self-‐efficacy terwijl uit de spelers evaluatie van ThreatBattle juist op deze indicator een verandering werd gemeten. Vanuit het doel van TRB-‐TB (Nederland daadwerkelijk veiliger maken voor cyber threats) is een verandering van de indicator-‐ self efficacy and intention -‐ oftewel de voortvarendheid in de aanpak van cyber threats vooral belangrijk. Vanuit de eerste onderzoeksresultaten lijkt het prototype in haar doel te slagen. Eerder onderzoek uit fase 1 bevestigt dit beeld: de meeste alternatieven voor het versterken van cyber security awareness (zoals voorlichting en waarschuwing) vergroten weliswaar een soort collectieve vrees, maar leiden niet tot individuele, concrete maatregelen. Op basis van de trailer die voor Threat Battle werd gemaakt is aan 100 consumenten, qua verdeling representatief voor de Nederlandse samenleving, gevraagd aan te geven of ze zo’n game zouden willen downloaden en spelen. De meest in het oog springende resultaten waren dat 60% aangaf dat ze de diversiteit van het aantal threats verrassend vonden. Verder werd
3
het spelen van echte data dubbel zo hoog gewaardeerd dan enig ander punt van aandacht (zoals graphics, gameplay e.d.). Vele vroegen zich zelfs af of het elimineren van een attacker in de game ook betekende dat de echte attacker nu gevloerd was. Tot slot gaf 34% aan de game zeker of zeer waarschijnlijk te gaan downloaden, een potentieel van 1,5 miljoen consumenten. Een zelfde groep bleef neutraal en de resterende groep zou het niet doen. TRB-‐TB levert naast een bijzondere methode ook een losstaand, innovatief product op: de losse transreality bridge, die naast deze toepassing in cyber security kan worden ingezet tussen elke data stroom uit de echte wereld en een virtuele, interactieve 3D representatie daarvan, inclusief een terugkoppeling naar de echte wereld. De Transreality Bridge is als separaat prototype zo goed als gereed voor gebruik. Het 100% market ready maken ervan heeft -‐ in technische zin -‐ vooral betrekking op het inbouwen van extra waarborgen inzake veiligheid, privacy en schaalbaarheid (een geschatte investering van ca. 20K) . Daarna kan ze door haar open structuur relatief snel en dus tegen lage kosten worden aangepast op afnemer-‐specifieke eisen (IT managers; de eerste doelgroep). Een patent op de losse transreality bridge is op dit moment in onderzoek. De basis versie van TRB-‐ThreatBattle als geheel is ook speel-‐gereed. Bedrijven en organisaties kunnen voor circa 12.000 Euro per jaar, los van de eenmalige kosten voor afnemer-‐specifieke aanpassingen met TRB-‐TB inclusief een rapportage aan de slag. Daarmee is het, los van het bijzondere effect op self-‐efficacy (als motor van motivatie om echt iets te doen) ook op prijs sterk concurrerend t.o.v. tv-‐campagnes, campagnes binnen overheid en bedrijven, cybersecurity trainingen en andere, voornamelijk op e-‐learning en simulatie gebaseerde cybersecurity games. Sightes ziet de eerste mogelijkheden op de corporate markt in het internationale netwerk van consortiumpartner AnubisNetworks. Het aan individuele burgers (de tweede doelgroep) gratis aanbieden van deze versie vergt in fase 3 de kosten van het ‘live’ en updated te houden op twee platformen (stores). De kosten hiervoor zijn ca. 0,15 euro per gebruiker per maand. Voor consumenten is de economische factor niet uit te drukken in geld, maar in tijd. Daarom zal in de commercialisatiefase het principe van de Dutch Cyberwall (“cyber threats raken ons allemaal en veroorzaken echte slachtoffers”) worden uitgewerkt en gefinancierd door een Kickstarter campagne die eind 2014 live zal gaan. Een video die dit ondersteunt is al te vinden op: https://www.youtube.com/watch?v=3UPHeZK1wns In 2015 wordt TRB-‐ThreatBattle ook opnieuw door de Universiteit van Tilburg gebruikt voor onderzoek ter verdere versterking van de propositie. Alle resultaten van fase 2 zijn openbaar en beschikbaar voor (her)gebruik. Voor informatie of een presentatie over dit project kunt u contact opnemen met ESG Sightes BV (www.sightes.com). De commercialisatie van Threat Battle wordt gepresenteerd via www.gandapp.com (een sightes initiatief). Rotterdam, December 2014
4
Figure 1: Screenshot from Tower Defense Game ThreatBattle
5
StoP-index mapped out
Playing..
6
Figure 2: Transreality Bridge, basic functions
25 November 2014, Presentatie resultaten fase 2, Vasteland Rotterdam
7