Cybersecurity e Gamification: sensibilizzare sulle tematiche della Cybersecurity grazie all’utilizzo di Gamification e Human Computer Interaction nel progetto “Payload Please” = Cybersecurity and Gamification: Raising Awareness of Cybersecurity Issues through the Use of Gamification and Human Computer Interaction in the "Payload Please" Project

Questo lavoro di tesi tratta una nuova applicazione della Gamification alla Cybersecurity tramite la Human Computer Interaction. Gli attacchi informatici più problematici per l’essere umano sono quelli legati alla “Social Engineering” ed al “Phishing”, basati sullo sfruttamento dell’essere umano come “anello debole”. La sua utilità della Gamification è stata evidenziata sia a livello aziendale che accademico attraverso l’analisi di varie ricerche, come quella effettuata da McAfee denominata “Winning the game” o Cyber Stability Games, parte dei KIPS Games di Kaspersky. Partendo da queste conoscenze si è scelto di ricorrere agli studi di Human Computer Interaction: ponendo al centro l’utente attraverso l’User-Centered Design, si trovano le necessità per adempiere ad un particolare compito e comprenderne i problemi percepiti. L’obiettivo è quello di creare un nuovo modo di far avvicinare la Gamification alla Cybersecurity e sensibilizzare le “personas”, ovvero descrizioni dettagliate di utenti fittizi ma verosimili, che riflettono il possibile bacino d’utenza dell’applicativo. In questo caso è stata scelta la prima linea di difesa contro gli attacchi: esperti di sicurezza informatica, lavoratori inesperti su quest’argomento e studenti universitari di Cybersecurity. Utilizzare la HCI come mezzo per arrivare a questo scopo: da qui nasce l’idea di “Payload Please”, un sistema di simulazioni che pone gli utenti in delle “sfide” ludicizzate, mettendo alla prova le proprie conoscenze sulla sicurezza informatica e sensibilizzandone le migliori abitudini. Nella prima partecipazione gli utenti sono ignari di quello che sta succedendo, raccogliendo così le loro impressioni più oneste e genuine, applicando varie tipologie di elementi ludici e segnando le loro azioni per poter constatare dove presentano le maggiori lacune. Una volta terminata questa prima fase, viene svelato agli utenti l’esistenza di Payload Please e si passa così alla seconda, proponendo di presentarlo nuovamente in futuro per poter sensibilizzare su altre tematiche di Cybersecurity. Gli utenti possono scegliere di continuare a collaborare o di competere con gli altri per arrivare tra le prime posizioni in classifica, riuscendo così a sensibilizzare sull’importanza della sicurezza informatica e su come evitare di cadere negli stessi errori in futuro. Il primo step è stato ricercare i bisogni delle personas analizzate attraverso la fase di “Needfinding”, portata avanti tramite un questionario indirizzato esclusivamente agli utenti sopra citati, con domande relative sia ad argomenti di sicurezza informatica sia a quelli di Gamification legati agli elementi ludici; successivamente si è passati alla creazione e al test del primo prototipo cartaceo che prevedeva simulazioni di attacco basate su Phishing e Social Engineering e di sensibilizzazione verso la Cybersecurity, come l’autenticazione a due fattori o biometrica. In seguito, si è trasportato il tutto nel mondo informatico tramite la piattaforma Kali Linux e gli strumenti forniti, riportando le stesse simulazioni fatte in precedenza. Infine, sono state valutate altre tematiche possibili da aggiungere a Payload Please, ampliandone i concetti a disposizione e utilizzando lo “storytelling” per un maggiore coinvolgimento. È presente, inoltre, una possibile applicazione di questi concetti nel mondo “futuristico” della realtà aumentata e virtuale, dando una ventata d’aria fresca per la sensibilizzazione sulla Cybersecurity, portando l’impatto di Payload Please su un altro livello.