Dramaserie The Inside Man: cybersecurity was nog nooit zo spannend

Een van de grootste uitdagingen van security awareness training is voorkomen dat het een saai ‘moetje’ wordt. Dat kan op allerlei manieren, maar eentje is wel heel revolutionair: een Netflix-waardige dramaserie die medewerkers kunnen bingewatchen. Waarom werkt educatief entertainment zo goed?

Security awareness gaat over het gedrag van eindgebruikers. Daar is geen speld tussen te krijgen. Of wel? Persoonlijk vind ik dat we, als het om cybersecurity gaat, niet moeten spreken over eindgebruikers maar over mensen. Mensen met gevoelens, mensen die de verjaardag van hun collega vieren, mensen die ananas op hun pizza doen (of nooit zullen doen). Over die mensen gaat het als je zegt dat je de organisatie wil beschermen tegen cyberaanvallen. En die mensen, met al hun emoties en gedachten, moet je zien te betrekken bij security awareness training.

Getalenteerde hacker

Eigenlijk wil ik het woord training niet eens gebruiken. In mijn bedrijf – we begonnen in 1993 Leicestershire in Engeland – spreken we liever over engagement. Ons doel is om van een ongelooflijk saai onderwerp iets spannends en meeslepends te maken, en dat doen we door educatief entertainment te creëren voor organisaties. We bedachten in de afgelopen 29 jaar vele comedyseries, reclames en verhalende films rondom infosecurity en compliance voor de grootste bedrijven ter wereld. Maar ons vlaggenschip is The Inside Man, een spannende dramaserie die we maakten voor KnowBe4 en waarvan het eerste seizoen in 2019 verscheen.

Voor wie de serie niet kent: in The Inside Man krijgt hacker Mark de opdracht om het Londense bedrijf Khromacom van binnenuit ten gronde te brengen. De getalenteerde hacker raakt echter al snel met zichzelf in de knoop, omdat zijn nieuwe collega’s meer voor Mark betekenen dan hij dacht. Zijn loyaliteitsprobleem en relaties zorgen in de volgende seizoenen voor bloedstollende (internationale) ontwikkelingen. Terwijl ik dit schrijf leggen we de laatste hand aan het script voor het vijfde seizoen.

Neurologisch onderzoek

Iedere aflevering van de serie leert mensen op een heel natuurlijke manier over digitale gevaren als phishing, ransomware en deepfakes. Niet op detailniveau, want daar zijn andere methoden voor. Nee, als mensen een aflevering zo spannend vonden dat ze erover napraten met collega’s is onze missie geslaagd. Hoe we dat doen? Met emotie. Het verhaal moet nooit gaan over cybersecurity an sich, maar over de impact die (een gebrek aan) cybersecurity heeft op mensen. Alleen dan raken mensen betrokken bij een onderwerp dat anders heel abstract blijft.

Vandaar dat de onderlinge relaties en familiebanden in The Inside Man minstens zo krankzinnig zijn als in Goede Tijden, Slecht Tijden. Als regisseur wist ik vanaf het begin dat de serie over familie moest gaan en niet zozeer over cybersecurity. Iedereen heeft namelijk gecompliceerde relaties met familieleden – er is altijd wel die gekke broer of een lastige schoonmoeder. Dat maakt het verhaal herkenbaar, en dat is de crux: als we mensen iets willen leren moet de serie zo realistisch mogelijk zijn.

Uit neurologisch onderzoek blijkt namelijk dat realistische verhalen met herkenbare hoofdpersonen door ons brein niet anders beschouwd worden dan onze eigen realiteit. Rationeel weten mensen dat ze naar iets kijken wat niet echt is, maar het brein verplaatst zich volledig in het verhaal. Op MRI-scans is te zien dat bij mensen die naar een horrorfilm kijken dezelfde gebieden in het brein actief zijn als wanneer ze in het echt met een angstprikkel geconfronteerd worden. Hoewel The Inside Man niet draait om angst maar om liefde (verpakt in een spannend jasje), het effect op het brein blijft hetzelfde. Daarom werkt educatieve storytelling zo goed.

Colonial Pipeline

Om de aflevering zo realistisch mogelijk te maken halen we inspiratie uit waargebeurde cyberaanvallen en datalekken. Zo was seizoen vier gebaseerd op de ransomware-aanval die in 2021 de Colonial Pipeline in de Verenigde Staten trof. Omdat we nu eenmaal een aantrekkelijke serie willen maken zijn de voorvallen gedramatiseerd, maar alles in The Inside Man kan in werkelijkheid gebeuren. We hebben de luxe dat de cybersecurityexperts bij KnowBe4 ons vertellen over nieuwe hackingtechnieken en hoe die worden uitgevoerd. Zo namen we in het script van seizoen vier de controle over een elektrische auto over (en ja, dat kan dus echt).

Wat er ook gebeurt: mensen leren van mensen. En dus moeten kijkers zich met de hoofdpersonen kunnen identificeren. Zolang dat lukt, gaan we door met The Inside Man. Emotie betekent namelijk betrokkenheid. En betrokkenheid van alle medewerkers is nodig als het gaat om cybersecurity. Alleen zo zijn organisaties beschermd tegen de dramatische scenario’s die wij ze in de serie voorschotelen.

The Inside Man is exclusief te zien als onderdeel van KnowBe4’s Kevin Mitnick Security Awareness Training. Meld je hier aan voor een preview.

Door: Jim Shields, regisseur van The Inside Man en oprichter Twist & Shout (onderdeel van KnowBe4)