In een tijd waarin we overladen worden met data, waar we dan voor onszelf de informatie uit moeten halen, met social media algoritmes die bepalen wat we zien, nepnieuws en allerlei meningen die ons de hele dag om de oren vliegen valt het niet mee om het juiste verhaal naar boven te krijgen. Hoe relevant zijn bedreigingen voor jouw organisatie, welke rol speel je daar zelf in en wat is het gevolg van zo’n bedreiging als het echt een keer gebeurd? Na een week overladen te zijn met allerlei tooling om hacks te maken, voorkomen, detecteren, isoleren, om hackers te hunten en om na een hack te kunnen restoren begon dag 2 van DEF CON met een heel ander geluid: Storytelling. Tijdens een round-table werden er ervaringen gedeeld en vragen gesteld.
Hoe breng ik het verhaal van cybersecurity zo dat het landt, dat het ook werkelijk als relevante informatie wordt geaccepteerd en opgeslagen! Storytelling kan heel effectief zijn als je je verhaal afstemt op je publiek en op de organisatie. Er is bij cybersecurity altijd een bad-guy en iedereen kan helpen deze te verslaan, je kan het verhaal daarop richten en een duidelijke “call-to-action” meenemen. Noem feiten die relevant zijn voor de organisatie en je publiek, maar maak het verhaal zeker niet te lang en te complex.
In het algemeen kan je storytelling toepassing voor security awareness, ga bij de verschillende afdelingen, bijeenkomsten, MT’s etc langs met je story, toegespitst op je publiek met een duidelijke actie. Kost tijd, maar in verhouding tot allerlei complexe tooling, relatief weinig geld.
Storytelling (hier een link naar wikipedia)kan ook goed toepast worden bij allerlei oefeningen, simulaties, assessments of andere Table-top excercises. Wat is de story (de use-case) die je wilt vertellen of juist wilt maken, van het restoren van een applicatie, het doorspreken van het incident-proces tot een ransomware story.
Ik ben geen expert in storytelling maar ga me er zeker in verdiepen om het verhaal rondom cybersecurity beter te kunnen vertellen, heb het afgelopen jaar meerdere malen gemerkt hoe complex het verhaal kan zijn en dat je mensen dan niet bereikt.
Wat me opgevallen is hoe logisch de andere deelnemers aan de storytelling round-table het vonden dat CISA adviezen gebruikt werken en dat de FBI betrokken was bij een hack. Alle deelnemers deden ook regelmatig table-top excersises op allerlei niveau’s en deelden hun lesson’s learned. In Nederland zie ik het NCSC langzaam meer zichtbaar worden, al is de informatie op hun website nog erg mager in verhouding tot bijvoorbeeld cisa.gov. De politie staat nu ook niet bekend als de organisatie met de beste cyberspecialisten, maar ook daar vandaan zie ik adviezen komen en wordt er opgeroepen om altijd aangifte te doen. Bij de keynote van BlackHat werd aangekondigd dat CISA nog verder betrokken gaat worden, dat de overheidsinstantie anders georganiseerd gaat worden en dat de overheid dus nog meer betrokken is en adviezen geeft. Ik zeg dit niet vaak, maar op dit vlak kunnen we in Nederland nog iets van Amerika leren!
Een story die behoorlijk indruk op me heeft gemaakt is de story van de oorlog tussen Rusland en de Oekraïne, natuurlijk heb ik hier allerlei data over meegekregen, maar als je het hele verhaal leest dan lijkt het wel of we ons bevinden in een sciencefiction verhaal.
Ik ga niet het hele verhaal hier samenvatten, maar als je leest dat Rusland voor de inval in Oekraïne al een jaar bezig was met het verzamelen van strategische informatie het verspreiden van malware (zeker 6 groepen hackers die 8 families van malware hebben verspreid), dat er gasinstallaties en telecombedrijven geraakt zijn en het computernetwerk van een kerncentrale platgelegd is voordat Russische troepen deze ingenomen hebben. Andersom ook, deze is misschien het meest sprekend, dat Oekraïne de treinen in Belarus lange tijd stilgezet heeft waardoor er een konvooi van 40km dagen stil heeft gestaan (en ook aangevallen is) of dat een 15-jarige jongen met een drone de locatie van Russische tanks heeft doorgegeven waardoor die vernietigd konden worden. Er is een IT-army van 300.000 vrijwillige hackers die Oekraïne helpt in deze oorlog.
Zelfs Elon Musk heeft een rol in dit verhaal door, op dringend verzoek van de vice-president van Oekraïne, meteen Starlink satelliet Internet beschikbaar te stellen zodat militaire en civiele communicatie beschikbaar was en bleef!
De hele whitepaper is hier te vinden, het geeft voor mij onder andere aan dat digitale oorlogsvoering en digitale criminaliteit dicht bij elkaar liggen, de scope waarin dit plaats vindt en de reëele dreigingen die hierdoor zijn ontstaan.
Wat is dan de call-to-action in dit artikel? Denk eens na over de verschillende scenario’s, de verschillende story’s waar cybersecurity een rol speelt en wat jouw rol in dat verhaal is. Wat kan jij doen “to make things better”?
Over een paar uur stap ik weer in het vliegtuig terug naar Nederland, mijn frequentie van “bloggen” gaat weer naar beneden maar ik zal de komende tijd zeker nog een aantal artikelen en video’s delen naar aanleiding van deze trip.
Wees de held in jouw cyberstory en help de draken te verslaan!
Fout: Contact formulier niet gevonden.