Terna Cyber Palace schermata 1
Sfide

Se la cyber security diventa un gioco

Terna ha sviluppato un videogame per sensibilizzare i suoi professionisti sulle nuove minacce informatiche. Ne abbiamo parlato con il team che ha avuto l'idea, in occasione del mese europeo della Cybersecurity.

Come si esce dalla sede centrale di Terna? Sventando le minacce alla cybersecurity aziendale. Non si tratta di una frase in codice, ma della trama del nuovo esperimento di gamification targato Terna. Il suo nome è Terna Cyber Palace ed è il nuovo strumento pensato per la popolazione aziendale del gestore della rete di trasmissione elettrica nazionale, con l'obiettivo di aumentare il livello di consapevolezza verso le minacce cyber. Un'"escape room" virtuale sul tema, sviluppata nell'ambito del progetto Open Italy (l'ecosistema di innovazione nato all'interno del Consorzio ELIS) dalle strutture Cyber Security & Security Platforms e Innovation di Terna con una startup italiana.

L’iniziativa si inserisce nel mese della Cyber Security, istituito da ENISA (Agenzia dell’Unione europea per la sicurezza informatica) e dedicato alla promozione della sicurezza informatica tra i cittadini e le organizzazioni. Un’occasione in più per rimarcare le buone pratiche della sicurezza informatica, esplorate continuativamente anche all’interno di un programma di formazione Terna dedicato al tema degli Anticorpi Digitali. A raccontarci meglio questo esempio di gamification sono due membri del team che l'ha creato da zero, Luca Tinaburri e Valentina Matturro.

Image019

Come è nato il progetto?

«Questa iniziativa nasce all'interno di un programma di Cybersecurity Awareness, volto alla diffusione della cultura cyber all'interno dell'azienda. L'organizzazione nel suo essere, intesa come insieme di persone, processi, attività, si è dotata di una di una struttura che ha questo compito: preparare, formare, allertare, sensibilizzare, quindi rendere consapevoli le proprie risorse nei confronti dei rischi informatici, ovvero nell'utilizzo degli strumenti informatici. Da un utilizzo errato di quest’ultimi, infatti, possono nascere problemi che vanno a impattare sul corretto funzionamento dell'azienda stessa e minare la sua continuità operativa. Nel 2021 abbiamo cominciato a elaborare questo programma, sottolineando come tra i vari strumenti necessari per completare il nostro disegno ci fosse la necessità di implementare un sistema basato sulla gamification. Con il termine "gamification" si intende l’utilizzo di meccanismi tipici del gioco e, in particolare, del videogioco (punti, livelli, premi, beni virtuali, classifiche), per rendere gli utenti partecipi delle attività di un sito. Terna ha ideato questa soluzione dall’incontro con una startup all'interno del sistema Open Italy. È stato quindi avviato un tavolo di lavoro per disegnare e sviluppare in 12 settimane un prototipo, poi testato e valutato».

Terna Cyber Palace, particolare 1
Una schermata di Terna Cyber Palace (foto Terna)

Come è stata sviluppata l’esperienza di gioco?

«Siamo partiti dall'idea di voler fare un'escape room perché rappresentava un'idea di gioco già nota e applicata in altri ambiti. Tutti noi abbiamo sentito parlare di escape room come forma di intrattenimento. Poi ci siamo concentrati su alcuni temi specifici della cybersecurity. Tra le minacce principali ci sono, per esempio, i ransomware (uno dei temi dell’European Cyber Security Month): una forma di minaccia che va a colpire un'organizzazione per criptarne i dati e il cui veicolo principale è l’email. Questo è un tema che abbiamo deciso di trattare nello storytelling del gioco, insieme al tema delle frodi online, trasferendoli in un contesto che ripercorresse le anime aziendali. Quali sono le strutture che potrebbero patire di più l'impatto di un ransomware? Tecnicamente tutte, ma in un contesto come quello di Terna quelle più vulnerabili potrebbero essere le aree più operative o quelle che hanno a che fare col nostro core business. Così come il tema della frode commerciale riguarda più la struttura di procurement, che riceve migliaia di email anche dall'esterno e potrebbe essere una vittima abbastanza identificabile».

E questo meccanismo come si cala nell'esperienza del giocatore?

«Nel Terna Cyber Palace, come in tutte le escape room, l’obiettivo è quello di uscire nel minor tempo possibile dal palazzo vestendo a turno i panni sia di un "red team player - in gergo informatico, chi compie un attacco – che di un "blue team player", chi invece studia e usa tutte le mosse possibili per difendersi dagli attacchi. Si gioca in squadra ma in modalità asincrona, cioè non si è vincolati ad accessi programmati e non è necessario che i componenti della stessa squadra giochino tutti insieme contemporaneamente. In questo modo ognuno può apportare il proprio contributo al team in qualsiasi momento».

Terna Cyber Palace, particolare 2

Come funziona il Terna Cyber Palace?

«L'obiettivo è appunto quello di uscire. Abbiamo immaginato il palazzo Terna, il nostro quartier generale, su tre piani: l'ingresso dal terzo piano per scendere fino all'ultimo e poi uscire dal palazzo. Abbiamo immaginato che l'utente potesse rappresentare sia i panni del difensore (blue team) che dell'attaccante (red team), quindi ogni piano viene giocato in entrambe le vesti. Non c'è un elemento di difficoltà crescente, solo piani tematici con focalizzazioni su diversi argomenti connessi alla cybersecurity. Il gioco consiste essenzialmente nell'entrare in alcune stanze, che sono poi gli uffici di Terna: ogni porta prevede lo sblocco della serratura attraverso una domanda a tema cyber. Ad esempio: “Cos'è il phishing”? Una volta entrati comincia il gioco vero, dove i casi sono diversi a seconda del team di cui si fa parte. Un collega virtuale ti sottopone un caso e l’utente deve giocare delle carte, che sono carte di intelligence o carte di difesa/attacco a seconda del ruolo che viene rivestito in quel momento».

Terna Cyber Palace, particolare 5

Uscendo per un attimo dalle stanze del nostro palazzo: in base alla vostra esperienza come si coniugano quindi gamification e cybersecurity?

«La gamification è un approccio nuovo ma molto utilizzato nelle aziende, che consente di far avvicinare le persone a all'apprendimento e al training in maniera più “leggera”. L’utente viene coinvolto in un gioco, ma in realtà sta apprendendo. Il concetto di formazione sta cambiando e, in questo senso, è l’esempio perfetto di come le modalità innovative possano essere più efficaci dei metodi tradizionali. Nel tema della cybersecurity, poi, è ancora più funzionale perché non sono importanti le full immersion quanto piuttosto l’erogazione costante della formazione; è necessario stare sempre “in allerta”, dando quindi input continui ai collaboratori. Come quelli che offre il programma di Terna sul tema».

Image020

In che cosa consiste il vostro programma Anticorpi Digitali e quali altre iniziative sono in atto durante il resto dell'anno?

«Il programma si basa su una serie di strumenti che utilizziamo per fare awareness. Tra questi ci sono diverse comunicazioni sulla nostra Intranet, come gli alert su campagne malevole che circolano e che colpiscono gli utenti finali. Abbiamo poi introdotto una piattaforma di training per un allenamento costante fatto di piccoli contenuti mensili che sono erogati agli utenti con un tema diverso ogni mese: 36 argomenti divisi in video formativi brevi di 4/5 minuti, più un questionario. Oltre ai moduli di training, è prevista anche una sezione in cui sono disponibili, sempre a cadenza mensile, delle pillole in formato serie TV dove vengono riprodotte delle situazioni tipiche di incidenti cyber (spesso legati ad avvenimenti di vita reale). Ogni mese pubblichiamo un bollettino interno di cybersecurity con un taglio da non addetti ai lavori, ricco di approfondimenti e interviste».

Se doveste sintetizzare in un messaggio il senso di tutta questa campagna?

«La cybersecurity non è più un tema per soli esperti. Oggi tutti noi dobbiamo essere predisposti ad assumere un atteggiamento di utilizzo corretto dei dispositivi e più consapevole di internet. Questa è e deve essere una delle priorità per aziende come Terna. Essere informati oggi è fondamentale: sia per la difesa dell'organizzazione, sia soprattutto per la propria sfera personale».