Can network security be fun? : an agent-based simulation model and game proposal

Abstract

NORSK: Altfor ofte lærer man om nettverk- og informasjonssikkerhet gjennom egne, dårlige, erfaringer, eller gjennom såkalt “learning by burning”. Dette kan være en kostbar affære. De fleste internettbrukere mangler motivasjonen og kunnskapen som skal til for å beskytte deres systemer godt nok, og det kan være vanskelig å finne kunnskapen i litteraturen når man ikke vet hva man skal søke etter. Ved å bruke design research metoden designet vi et nettverkssikkerhetsspill basert på en kompleks agent-basert simulasjon. Vi ønsket å se om det var mulig å lage en slik spill-prototype innenfor en tidsperiode på fem måneder. Vi ønsket også å undersøke om dette spillet kunne oppleves som morsomt å spille. Et spill design, både modellen og en prototype blir presentert og utviklet. Vår undersøkelse viser at det er mulig å utvikle en spillprototype og at dette kan gjøres innenfor den nevnte tidsrammen hvis utvikleren har de tekniske forkunnskaper som skal til og er villig til å bruke mer enn 1200 mannetimer på oppgaven. Graden av erfart underholdning i den nåværende versjonen ser ut til å være for lav til at noen ønsker å spille spillet over en lengre periode. Spillet burde utvides med flere utfordringer og bedre grafikk, lyd og lydeffekter. I tillegg bør man i videre studier fokusere på andre konkurranseelementer som for eksempel en flerspillerversjon med både angresps- og forsvars- scenarioer for å gjøre spillet mer morsomt. Videre studier må utføres med flere deltakere for at man men nok grad av sikkerhet kan si at et nettverksspill er morsomt å spille.

ENGELSK: Too often, people’s knowledge about network and information security is built from their own experiences with accidents, or through “learning by burning”. This could be a very costly affair. Most Internet users lack the motivation and knowledge needed to have the appropriate protection. It is hard to seek knowledge from the literature when you do not know what to look for. Using design research, a network security game based on a complex agent-based simulation was designed, and we wanted to see if it was possible to build a game prototype within a time-period of five months. We also wanted to investigated if this game could be fun to play. A game design, both model and prototype, are presented and developed. Our study showed that it is possible to build a game prototype and that it can be built in five months if the developer have the prior technical skills required, and that (s)he are willing to use more than 1200 man-hours to complete the game. The degree of enjoyment experienced in the current version, does not seem to be high enough for people to keep playing the game for a longer period of time. The game should be extended with more challenges and better graphics, music and sound effects. In addition, further studies should focus on competitive elements, like multi-player and real-time attack/defend scenarios, to make it more enjoyable. Further studies must be conducted with more participants to tell with enough degree of confidence that a network security game is fun to play.