Tekst: dr. Jan-Willem Bullee & Pauline Maas

VIVES MAGAZINE 180 januari/februari 2023

Veel mediawijsheidprogramma’s in het onderwijs richten zich op zaken als cyberpesten, sexting en grooming. Dit zijn echter niet de enige minder leuke kanten aan het online zijn. Het is goed om kinderen ook te informeren over de gevolgen van hacken, internetfraude en phishing, zodat er al op jonge leeftijd bewustwording is over de mogelijke gevolgen van dit soort negatieve effecten van het internet. Hiervoor is het programma Hackers de Baas ontwikkeld, Pauline Maas en dr. Jan-Willem Bullee zijn hier beide intensief bij betrokken.

De afgelopen 10 jaar is er in Nederland een afname in gerapporteerde fysieke misdrijven (zoals vandalisme, mishandeling, kidnapping en diefstal), terwijl online misdrijven (zoals bedrog, vervalsing, hacken en witwassen) met een factor 2 tot 13 zijn gestegen (CBS, 2022). Hacken en witwassen zijn tijdens de COVID-19 periode ( 2020-2022) het hardste gestegen. Een overzicht van de geregistreerde criminaliteit over tijd is weergegeven in Figuur 1. In deze periode is het internetgebruik onder volwassenen en ook kinderen flink toegenomen. Kinderen spenderen hun tijd online voornamelijk met het spelen van spelletjes, sociale media en het kijken van filmpjes. Dit doen ze niet altijd met toezicht van hun ouders (Nicholson, 2020).

Figuur 1: Geregistreerde criminaliteit over tijd, uitgesplitst per type misdaad. (CBS, 2022)

Een van de grootste online risico’s waar kinderen zich bewust van moeten worden is phishing, een veel voorkomende vorm van social engineering (Kaspersky, 2019). De verhoogde blootstelling aan het internet en de bijkomende gevaren die ze vaak in hun eentje tegenkomen, illustreert het belang van onderwijs op dit gebied. Om deze reden is in samenwerking met Gemeente Veenendaal, Bureau Regionale Veiligheidsstrategie Midden Nederland (RVS), Universiteit Twente en 4PIP een lessenpakket van drie lessen ontwikkeld die basisschoolkinderen uit groepen 7 en 8 bewust maakt van de gevaren online.

Het doel van de lessen was drieledig:

• De lessen kunnen door een individuele docent gegeven worden;
• De kinderen zijn beter in staat om onderscheid te maken tussen wat echt en nep is online;
• Aanmoedigen om de online cyber gevaren te bespreken.

Methode van onderzoek dr. Jan Willem Bullee van de Universiteit Twente
Het lessenpakket is in een pilotstudie geëvalueerd bij 4 basisscholen in de gemeente Veenendaal. Van de deelnemers waren er 39 (44%) vrouw, de gemiddelde leeftijd was 10,7 (tussen 9 en 13 jaar). Binnen het onderzoek is gebruikgemaakt van een pool van 8 student trainers van de Christelijke Hogeschool Ede (CHE) met verschillende achtergronden. De studenten hebben een training gehad om de lessen individueel te kunnen geven.

Het onderzoek
Voorafgaand aan de pilotstudie heeft de ethiek commissie van de Universiteit Twente goedkeuring gegeven. De ouders van de kinderen hebben voorafgaand aan de studie toestemming gegeven voor deelname van hun kind aan de studie. De deelname bestond uit 3 keer een sessie van één uur met een voor- en nameting. Deze metingen zijn nodig om de effectiviteit van de lessen vast te stellen.

Meting: De voormeting bestond uit 18 vragen in de vorm van verschillende screenshots van legitieme of phishing berichten (e-mail, website, sociale media). Voor ieder screenshot is gevraagd wat de leerling zou doen, er waren steeds 2 opties: A) Ik negeer deze e-mail/website/bericht en B) Ik ga door en klik op de link/ knop. Een van de vragen is weergegeven in Figuur 2, weet jij waarom dit wel of geen phishing is?

Figuur 2: Voorbeeld vraag uit de meting.

Het lessenpakket Hackers de Baas
Het lessenpakket bestond uit drie lessen dieallemaal dezelfde structuur hadden:

• Introductie (15 minuten)
• Groepsactiviteit (25 minuten)
• Groepsgesprek (15 minuten)

De drie lessen zijn opgebouwd rond drie thema’s
Echt of nep: dit thema relateert aan wat is echt of nep online en hoe je dit kunt herkennen, denk bijvoorbeeld aan phishing, nepnieuws of Tikkie/Marktplaatsfraude.
Hacken: dit thema bespreekt wat hackers zijn, wat ze doen en wat ze kunnen.
Baas over je gegevens: dit gaat over hoe en waarom je jouw gegevens moet beschermen.

Het overstijgende doel van de lessen is om het bewustzijn en het herkennen van gevaren online te vergroten.

Les 1: Kwartet  
In de eerste les is een kwartetspel gespeeld voor 20 minuten. De kaarten waren in de context van de gevaren online en waren speciaal voor dit lespakket ontwikkeld. Topics binnen het spel waren bijvoorbeeld: sterke wachtwoorden verdachte URL’s, en het herkennen van phishing.

Les 2: Minipresentaties 
In de tweede les worden de leerlingen in groepjes van 2 verdeeld en moeten voor hun klasgenoten een minispreekbeurt voorbereiden van 2-3 minuten. De onderwerpen voor de spreekbeurten zijn hetzelfde als deze op kwartetkaarten.

Les 3: Dilemma 
De derde les staat in het teken van online dilemma’s. Ieder dilemma bestaat uit een kleine casus en twee opties voor gedragingen. Een voorbeeld casus: “Je kunt de nieuwste iPhone winnen als je deze vragenlijst invult: a) invullen, b) niet invullen” De spelers kiezen een van de gedragingen door middel van hand opsteken of naar de linker- of rechterkant van de klas te lopen. Daarna bespreken zij met elkaar en de spelleider waarom voor die optie gekozen is.

In het gemodereerde groepsgesprek wordt de kinderen gevraagd om verhalen te delen van cybercrime slachtoffers. De gespreksleider vraagt of de kinderen iemand kennen die slachtoffer is geworden van phishing, identiteitsfraude of ransomware. De leider vraagt door op: wat was de situatie, wat hebben de aanvallers gedaan, wat waren de consequenties voor het slachtoffer en hoe had dit voorkomen kunnen worden?

Het gesprek wordt afgesloten met 4 tips:

• Weet met wie je aan het communiceren bent. Wie is de afzender van de e-mail of het sociale media bericht?
• Weet je waar je naar toe gaat?
• Is het te goed om waar te zijn, dan is dit waarschijnlijk zo.
• Praat er met je ouders, docenten en vrienden over.

Hoe effectief zijn de lessen?      
Voor een overzicht van het verloop van de scores over tijd, zie Figuur 3. De scores van de meting direct na de eerste les (kwartet) zijn statistisch significant anders dan de scores van voor de meting. Na twee weken (week 3) zijn de scores niet meer significant anders dan de voormeting van week 1. Gedurende deze twee weken is de kennis die opgedaan is in de lessen vervlogen. Na de tweede les is de kennis een beetje gestegen, naar een niveau dat statistisch significant anders is dan de eerste voor-meting. Ook hier is in de twee weken daarna weer een afname zichtbaar, maar deze is niet zo sterk als na de eerst les. De lijn tussen week 3 en 5 loopt minder steil dan die van week 1 naar week 3. Tot slot steeg de kennis ook na de derde les en vervloog deze na twee weken; dit was wel tot een punt wat nog statistisch significant hoger is dan dat van voor de eerste les. Daarnaast is het start niveau van iedere les steeds hoger dan dat van de voorgaande. Tot slot laat de vertraagde na-meting zien dat negen weken na de laatste les, de kennis niet meer significant anders is dan van voor de eerste les.

De resultaten laten zien dat de lessen een positief effect hebben op het herkennen van nep berichten. De dalende lijnen laten ook zien dat de kennis over tijd vervliegt. De steeds minder steile lijnen suggereren dat door regelmatig aandacht te geven aan het onderwerp, de scores minder hard achteruitgaan. Iedere les bestond uit een activiteit en een nagesprek. Hierbij kunnen we ons afvragen welk onderdeel van de lessen verantwoordelijk is voor het effect. Dit is een vraag die we in vervolgonderzoek willen beantwoorden.

Figuur 3: scores over tijd. De zwarte cirkel geeft de score van de eerste voor-meting weer. De kruizen geven de scores die daarna komen. Wanneer een kruis rood is, betekent dit dat de score statistisch significant anders is dan de score van de eerste voor-meting. Een zwart kruis is niet significant anders dan de score van de eerste voor-meting.

In groepjes of klassikaal?
De helft van de leerlingen heeft lessen in klassikale vorm gekregen en de andere helft van de leerlingen in kleine groepjes van 5. De scores van de leerlingen die in kleine groepjes aan de lessen hebben deelgenomen, was niet statistisch significant anders dan dat van de leerlingen die klassikale lessen gevolgd hebben. Op basis van deze bevindingen is er geen voordeel om de lessen in kleine groepen te geven.

Bespreken van gevaren online 
Voor een overzicht van hoe vaak de gevaren online besproken worden voor en na de lessen, zie Figuur 4. De resultaten laten zien hoe vaak leerlingen aangeven over te gevaren online te praten. Hoewel er een procentueel verschil is tussen de percentages van voor en na de lessen, zijn deze resultaten niet statistisch significant. Vervolgonderzoek is nodig om hier meer uitspraken over te kunnen doen.

Figuur 4: percentage leerlingen dat gevaren online bespreekt met vrienden, ouders en op school voor en na de 3 lessen.

Het lessenpakket met deze drie lessen kan gratis worden gedownload en het kwartet spel kan worden besteld. De vormgeving van het kwartet is gemaakt door Hackshield (een online cybersecurity game voor kinderen tussen de 8 en 12 jaar). Hackers de Baas! wordt doorontwikkeld om een leerzaam en effectief lessenpakket aan te kunnen bieden. Benieuwd hoe jouw school hierbij kan helpen, we vertellen het je graag! Stuur een bericht naar j.h.bullee@utwente.nl of pauline@4pip.nl voor meer informatie.

Praktische links

Gratis online Lessenpakket: joinhackshield.nl/hackersdebaas

Kwartet bestellen: joinhackshield.nl/hackersdebaas

Hackshields: global.joinhackshield.com/nl

BRONNEN:

CBS. (2022). Geregistreerde criminaliteit; soort misdrijf, regio. Centraal Bureau voor de Statistiek. Retrieved 22-06-2022, from https://opendata.cbs.nl/statline/#/CBS/nl/dataset/83648NED

Kaspersky (2019). Internet Safety for Kids: Top 7 Internet Dangers. Retrieved 22-06-2022, from: https://usa.kaspersky.com/resource-center/threats/top-seven-dangers-children-face-online.

Nicholson, J., Javed, Y., Dixon, M., Coventry, L., Ajayi, O. D., & Anderson, P. (2020). Investigating Teenagers’ Ability to Detect Phishing Messages. In 2020 IEEE European Symposium on Security and Privacy Workshops (EuroS&PW). 2020 IEEE European Symposium on Security and Privacy Workshops (EuroS&PW). IEEE. https://doi.org/10.1109/eurospw51379.2020.00027