HackShield: Kinderen spelend leren over cyberveiligheid

Hoe leer je kinderen op een leuke manier over de mogelijkheden en gevaren van het internet? Tim Murck bedacht HackShield, een game die kinderen spelenderwijs opleidt tot ‘cyberagent’. We spreken hem over educatief gamen, samenwerken met bedrijven en de overheid en HackShields internationale ambities.

HackShield is in 2018 opgericht door gamebedrijf Flavour en kennispartner KraBé Academy. Murck is de geestelijk vader van de game, die gratis en reclamevrij is en zich richt op Nederlandse kinderen tussen de acht en twaalf jaar. HackShield leert kinderen via een online gamewereld over het herkennen en tegengaan van digitale bedreigingen, variërend van phishing en hackers tot zwakke wachtwoorden en je privacy op sociale media. Murck: “In totaal hebben ruim 90.000 kinderen een versie van de game gespeeld, waarvan 44.000 sinds november 2019.”

HackShield wil kinderen niet alleen leren over cyberveiligheid, maar ze ook aansporen hun kennis te delen met volwassenen. “Denk aan veilige wachtwoorden maken met de ouders en opa en oma uitleggen hoe WhatsApp-fraude werkt. Zo kunnen kinderen hun familie digitaal weerbaarder maken”, legt Murck uit.

Over Tim Murck

Tim Murck (1982) heeft de toneelschool in Arnhem gedaan en daarna tien jaar als acteur gewerkt in theaters, tv-series en films. Hij startte na het afronden van zijn opleiding het bedrijf Spektor om te innoveren met vertelvormen, waaronder interactieve applicaties. Omdat hij het publiek wilde activeren en zag dat dat het beste kon via games, verkocht hij in 2017 zijn bedrijf aan Flavour.

Als partner bij Flavour heeft hij HackShield opgericht, waar hij zich nu helemaal op richt. Daarnaast omschrijft hij zichzelf als een informatiejunk. Hij kiest elke paar maanden een nieuw onderwerp en verdiept zich er dan helemaal in. Of het nu gaat om het oude Egypte, kwantumcomputers of Tesla.

Om kinderen te leren hoe de digitale wereld in elkaar steekt, gebruikt HackShield drie game-onderdelen: levels, quests en sinds november ook een Level Maker. Een level is een soort schaakspel en laat het kind kiezen uit verschillende routes, met bijbehorende vragen en uitkomsten. “Met de Level Maker kunnen kinderen zelf een volledig level bouwen zoals wij dat doen, en ze leren zo via een klik-en-sleep-ontwerp hoe ze elementen kunnen koppelen en acties uitvoeren”, vertelt Murck. 

Een doorlopende competitie levert elke paar weken een nieuwe winnaar op. “Wij vinden dat echt helemaal te gek, want kinderen spelen en beoordelen elkaars levels en wij spelen de meest populaire levels. Daarna wijzen we één winnaar aan.”

Quests over phishingmails

Levels zijn verbonden aan quests, het meest educatieve deel van HackShield. Quests zijn dialogen met gamekarakters die uitleg geven over digitale risico’s en het kind vragen stellen en opdrachten geven.

Murck: “We hebben bijvoorbeeld quests over phishing-mails en het maken van veilige wachtwoorden. We willen ook graag quests maken over het Internet of Things, smart toys en we gaan samen met de politie een quest maken om kinderen te verleiden om een fout te maken. Daarna komen ze erachter dat ze iets gedaan hebben dat in de realiteit niet mag, maar wel heel makkelijk ging.” HackShield ontwikkelt ook een quest voor bibliotheken en heeft nog een waslijst aan onderwerpen op de stapel liggen, aldus Murck.

Het team van HackShield ontwikkelt de quests samen met kennispartners, waaronder TNO en de Rabobank. Eind oktober verwelkomde Murck het digitale beveiligingsbedrijf ESET Nederland als nieuwste kennispartner. ESET-medewerkers gaan onder andere de scriptschrijvers van HackShield helpen bij het vertalen van complexe online bedreigingen naar toegankelijke nieuwe quests. Het is de bedoeling dat er met regelmaat en op lange termijn nieuwe quests uitkomen. HackShield test nieuwe levels en quests met een kleine groep kinderen die een bètaversie van het spel gebruiken.

“Onze aanpak is heel erg bekend in de IT-wereld”, vertelt Murck. “We werken scrum en agile, dus zetten een versie live om op basis van de feedback een verbeterde versie te maken. Zo hebben we dat vanaf het begin af aan gedaan. Wat verschrikkelijk is, want in het begin zet je dingen online waar je echt nog niet tevreden mee bent. Maar het heeft er wel voor gezorgd dat we hebben kunnen ontwikkelen wat we ontwikkeld hebben.”

Verdienmodel

HackShield levert als gratis game zonder advertenties geen geld op. Het team van HackShield – dat op moment van schrijven uit dertien voltijdmedewerkers bestaat – is een niet-commerciële organisatie die voornamelijk gefinancierd wordt door het SIDN Fonds, de Rabobank en ESET. “Op termijn is het de bedoeling dat HackShield meer diverse inkomstenbronnen krijgt”, vertelt Murck. 

Het nieuwste voorbeeld is een eigen webwinkel die HackShield-merchandise verkoopt aan consumenten, scholen en gemeenten. Zo heeft HackShield in samenwerking met de VeiligheidsAlliantie Rotterdam een kaartspel ontwikkeld en verspreid onder honderden scholen in de regio Rotterdam. De tweede versie van het kaartspel is verbeterd naar aanleiding van feedback van kinderen en docenten. 

“Op termijn moet zoiets (merchandise, red.) wel bijdragen aan het verspreiden van de HackShield-bekendheid en een nieuw verdienmodel aanboren. Maar wij van HackShield vinden het leuker om de merchandise zo goedkoop mogelijk aan te bieden dan om hoge prijzen te vragen.” Om de game zo toegankelijk mogelijk te houden, wil Murck ook geen geld vragen aan de spelers.

HackShield zet liever in op een andere inkomstenbron: de samenwerking met gemeenten. Alle Nederlandse kinderen kunnen HackShield spelen, maar beloningen in het ‘echte leven’ zijn voorbehouden aan kinderen in gemeenten die klant zijn van HackShield. Die gemeenten krijgen toegang tot HackShields marketingmaterialen, kunnen kinderen huldigen tot junior cyberagent, evenementen organiseren en meer. 

Murck prefereert deze vorm van samenwerken boven een subsidie: “Ze betalen ons voor de samenwerking en dat dwingt ons om een waardevolle tegenprestatie te leveren. En het dwingt ze (gemeenten, red.) de keuze te maken om te investeren en het dus een succes te maken. Op moment van schrijven heeft HackShield 57 gemeenten als klant. Dat worden er in rap tempo meer”, vertelt Murck enthousiast.

Landelijk opschalen

“Intussen hebben ook Amsterdam, Rotterdam en Utrecht zich aangesloten. Die stap naar grote steden is voor ons een stap naar landelijke activatie, inclusief landelijke evenementen. We wilden echt beginnen in een aantal kleine gemeenten, dan opschalen naar regionaal niveau en daarna via de grote steden werken aan een landelijke uitrol.”

Nu steeds meer kinderen via hun gemeente in aanraking komen met HackShield, kan Murck ook hardop dromen van zijn doel: tweehonderdduizend actieve HackShield-spelers en die zo een landelijk netwerk van junior cyberagents vormen.

Beverwijk huldigt kinderen tot junior cyberagent (bron: Gemeente Beverwijk/Nicolien de Wildt).

Partners als de Rabobank, het SIDN Fonds en ESET Nederland delen die ambitie en ondersteunen HackShield dus financieel, met kennis en hun netwerk. Zo organiseert de Rabobank regelmatig evenementen waarop kinderen digitale punten en fysieke prijzen kunnen winnen. Het doel? Bestaande spelers belonen en nieuwe spelers aantrekken. 

ESET Nederland hield de afgelopen maanden een online competitie voor de kinderen van medewerkers en partners. ESET Nederland-directeur Dave Maasland liet destijds weten: “De competitie is een belangrijke springplank om HackShield te introduceren bij een groter publiek. We willen zoveel mogelijk kinderen de game laten spelen en blijven op de lange termijn betrokken om dit doel te realiseren.”

Voorkomen dat kinderen het verkeerde pad opgaan

Alle partners zijn er gebrand op HackShield tot een succes te maken, vertelt Murck meermaals en vol trots tijdens het videogesprek. Niet omdat ze het een vermakelijk spelletje vinden, maar omdat ze ervan overtuigd zijn dat de game kinderen écht iets leert en kan voorkomen dat kinderen later het verkeerde pad opgaan. Digitaal slimme jongeren kunnen met hacken, WhatsApp-fraude en andere vormen van cybercriminaliteit meer verdienen dan vakkenvullen in de supermarkt. 

De meesten realiseren zich niet goed welke straf ze kunnen krijgen en met welke financiële gevolgen de slachtoffers te maken kunnen krijgen als de bank of verzekeraar niet uitkeert. Een maatschappelijk probleem waar geen eenduidige oplossing voor lijkt te bestaan. De overheid beweegt log en traag, verzekeraars en banken zijn zoekende, docenten weten er vaak niet genoeg vanaf om kinderen te kunnen onderwijzen en het bedrijfsleven is te druk met het afslaan van serieuze hackers. 

Juist daarom is HackShield zo’n belangrijk project, zei ESET Nederland-directeur Maasland in oktober. “Met HackShield kunnen wij het probleem bij de kern aanpakken: we gaan een nieuwe generatie opleiden hun digitale skills op een positieve manier over te brengen op anderen. Je zou daarom kunnen zeggen dat het opleiden van kinderen de enige duurzame oplossing is tegen cybercriminaliteit.”

Steun van de overheid

Lovende woorden voor HackShield-medebedenker Murck, maar zover is het natuurlijk nog lang niet. Om tot die ambitie van tweehonderdduizend actief spelende kinderen te komen, moet er nog veel werk verricht worden. Eind 2020 tekende HackShield daarom een zogeheten city deal. Spelers merken daar niet meteen iets van, Murck wel. 

“Als je drie jaar geleden de politie belde met je idee over een cybercampagne, hield het op omdat je alleen nog een idee had. Maar als je 57 gemeenten hebt aangesloten en een city deal hebt waarbij een aantal overheidsorganisaties zijn aangesloten, kom je makkelijker met nieuwe partijen in gesprek en kun je serieuzer plannen maken omdat zij weten dat je aan een aantal volwaarden voldoet.” 

Meer gemeenten aansluiten en een landelijke samenwerking met de politie zijn belangrijke doelen voor Murck. Een duurzaam verdienmodel ontwikkelen voor HackShield ook. “Private organisaties en wij als creatieve partij dragen HackShield grotendeels zelf, en ik zou het cool vinden als de overheid een grotere financiële rol kan spelen bij het duurzaam verankeren van dit project. Maar pas op het moment dat we hebben bewezen dat HackShield waardevol is voor de maatschappij.” 

Murck benadrukt dat hij geen voorstander is van volledige subsidie en liever een balans vindt tussen financiering door de overheid en het bedrijfsleven.

Stap naar het buitenland

Partners uit het bedrijfsleven Rabobank en ESET zijn wereldwijd actief en het concept van HackShield kan overal ter wereld gebruikt worden. Denkt Murck stiekem al na over een internationale expansie?

Wie verwacht had dat hij zou zeggen dat het daar nog te vroeg voor is, komt bedrogen uit: “We zijn van plan om in de eerste helft van 2021 een eerste pilot in het buitenland te doen”, aldus Murck. 

“Het is vooralsnog honderd procent focussen op Nederland, maar we voeren wel gesprekken met potentiële organisaties die voor ons die stap zouden kunnen zetten. Want ik denk dat we wel een distributiepartner nodig hebben die onze waarden deelt.” 

Murck zegt te waken voor een te snelle uitbreiding. “Het mag niet ten koste gaan van wat je in Nederland doet. Sterker nog: het moet het versterken. We willen zoveel mogelijk kinderen bereiken en ze helpen leren over cyberveiligheid.”

Tips voor ouders 

Tim Murck houdt zich dagelijks bezig met de ontwikkeling van een educatieve game voor kinderen. Aan tips voor ouders tenslotte geen gebrek. Hij geeft er drie:

Tip 1: Onderzoek spelletjes

De meeste kinderen gamen graag, weet ook Murck. Hij geeft ouders het volgende advies: “Verdiep je in de online spelletjes en apps die je kind gebruikt of wil gebruiken. Vraag jezelf af: wat leert mijn kind hiervan?”

“Natuurlijk kan een spelletje dienen als entertainment, maar veel games zitten zo vol met verslavende elementen dat het echt heel makkelijk is om erin opgezogen te worden. Dat zie ik ook aan mijn eigen zoontje. Maar je hoeft echt niet per se HackShield te spelen om leuk en leerzaam bezig te zijn. Er zijn meerdere spelletjes die leuk zijn en waar je wat van leert.”

Tip 2: Internetrisico’s leren begrijpen

Vraag Murck hoe je kinderen bewust maakt van de risico’s van het internet en hij antwoordt: “Door HackShield te spelen, natuurlijk! Onze game zit vol dialoogstarters, bijvoorbeeld over online games. Want wie is de persoon aan de andere kant van het spelletje? Op het moment dat je een vriendje maakt in een spel, weet je wel of hij/zij zegt wie hij is? En zo niet, wie zou het kunnen zijn en wat kunnen de motivaties van die persoon zijn?”

“Wat ik het liefste aan ouders mee wil geven is: maak je kind niet bang. Dus zeg niet ‘achter elk avatar schuilt een pedofiel’ maar stel je kind veel vragen. Maak je kind de expert. Vraag aan je kind hoe je moet omgaan dit soort situaties. Maak het niet bang, maar strijdbaar.”

Tip 3: Verantwoord smartphone-gebruik

Hoe kunnen ouders omgaan met het smartphone-gebruik van hun kind? Murck: “Ik zou er veel over lezen, vooral bij partijen die er veel vanaf weten en tips geven. Ik zie mensen wel een paar fouten maken. Geef niet zomaar je oude smartphone aan je kind, want een ouder model krijgt nu of straks geen beveiligingsupdates meer en loopt daarom meer risico. Controleer daarom tot wanneer het toestel updates ontvangt.”

“Ik zie ook vaak dat ouders hun kind geen mobiel abonnement geven, waardoor ze hun kind onbewust verleiden om overal verbinding te maken met openbare wifi-netwerken. Dat is ook iets om over na te denken. En zorg ervoor dat een kind gewoon slaapt ‘s nachts, dus zonder de verleiding van de smartphone op het nachtkastje.”

Geschreven door: Rens Blom op

Category: Nieuws, Security

Tags: hack, cybercrime, koplopers