حدود یک ساعت و ۱۰ دقیقه از آغاز بازی نقشآفرینی که برای مشاهده آن دعوت شدهام، یک حمله سایبری فاجعهبار شبیهسازیشده به تأسیسات آب و فاضلاب ایالات متحده، میگذرد که ناگهان کل ماجرا کمتر شبیه به یک بعدازظهر سرگرمکننده با بازی «سیاهچالها و اژدهایان» (Dungeons & Dragons) و بیشتر شبیه به یک تهدید واقعی برای تمدن میشود.
در این سناریوی تخیلی، ۲۴ ساعت کامل از زمان بازی از زمانی که هکرها ۵۰۰۰ تأسیسات آب و فاضلاب در سراسر ایالات متحده را مختل کردند، گذشته است. «جاشوا کورمن» (Joshua Corman)، استراتژیست سابق آژانس امنیت سایبری و زیرساخت (CISA) که نقش مدیر بازی را بر عهده دارد، در جلوی یک فضای کنفرانس در برجی بلند در میدان تایمز ایستاده و آخرین بهروزرسانیها را برای شرکتکنندگان بازی، یعنی چند ده مدیر بیمه که در شش تیم سازماندهی شدهاند، روایت میکند. همه آنها به طرز نگرانکنندهای ساکت شدهاند.
کورمن میگوید: «آمادهاید؟ قرار است سختتر شود. قرار است چند چیز را به اشتراک بگذارم و دردناک خواهد بود.»
البته، هنوز همان بعدازظهر آوریل است که شروع کردیم—اما در زمان بازی، اثرات ثانویه قطعی گسترده آب شروع به آشکار شدن کرده است. سیستمهای خنککننده مواد غذایی در انبارهای سردخانهای از کار افتادهاند. تولید دارو و مواد شیمیایی وابسته به آب با مشکل مواجه شده و منجر به کمبود انسولین شده است. سیستمهای خنککننده مراکز داده از کار افتاده و باعث قطعی خدمات ابری شدهاند. از همه مهمتر، ۲۰۰۰ بیمارستان بدون آب ماندهاند که مراقبت از بیماران را مختل کرده و در برخی موارد منجر به تخلیه شده است، زیرا سیستمهای تهویه مطبوع (HVAC) از کار افتاده و گرمای ماه ژوئیه—بازی درست قبل از روز استقلال در سال ۲۰۲۷ اتفاق میافتد—تأسیسات را تحت تأثیر قرار داده است.
بدتر از آن، کورمن یک ویدیوی تکراری را روی صفحه نمایش، در جلوی اتاق، پخش میکند که یک لوله آب ترکیده را نشان میدهد: هکرها موفق شدهاند نه تنها اختلال در فناوری اطلاعات، بلکه در حداقل برخی موارد، تخریب فیزیکی واقعی را نیز ایجاد کنند که ترمیم آن زمان بسیار بیشتری خواهد برد. کورمن میگوید: «همه پاییندست بدون فشار آب هستند. همه چیز به آب بستگی دارد.»
(تنش در اتاق نیز به اوج خود رسیده است، تا حدی به دلیل تصمیم کورمن برای عدم اعطای استراحتهای سازمانیافته برای دستشویی به شرکتکنندگان. کورمن درست قبل از اینکه لوله آب غولپیکر روی صفحه نمایش شروع به فوران کند، توضیح میدهد: «در واکنش به حوادث واقعی، استراحتی وجود ندارد. اگر مجبورید به دستشویی بروید، بروید. اما ممکن است چیز حیاتی را از دست بدهید.» هیچکس به دستشویی نمیرود.)
وظیفه اصلی که کورمن برای این دور به تیمهای شرکتکننده، که همگی نقش محوری و شگفتانگیز شرکتهای بیمه را بازی میکنند، محول کرده است، این است که چگونه منابع خود—پاسخدهندگان به حوادث امنیت سایبری قراردادی و پول—را تخصیص دهند و کدام مشتریان اولویت خواهند داشت.
آیا روابط تجاری آنها با مشتریان، واکنش آنها را دیکته خواهد کرد؟ یا آنها بر به حداقل رساندن آسیب برای بیشترین تعداد ممکن از افراد تمرکز خواهند کرد؟ و با توجه به اینکه برخی سرنخها در بازی از قبل نشان میدهند که این حمله سایبری فاجعهبار توسط ارتش چین برای جلوگیری از واکنش ایالات متحده به حمله این کشور به تایوان انجام شده است، آیا بیمهگران ملزم خواهند بود که بر حفظ عملیاتی بودن تأسیسات نظامی تمرکز کنند؟
در این سوال، طیف دیگری از احتمالات فاجعهبار برای خود بیمهگران ناگفته مانده است: آیا این فاجعه آنها را ورشکست خواهد کرد؟ یا آنها بند «عمل جنگی» را در بیمهنامههای خود—یک بند استاندارد که شرکتهای بیمه را از هرگونه مسئولیت در هنگام وقوع درگیری مسلحانه معاف میکند—اعمال خواهند کرد و هیچ مبلغی به مشتریان خود پرداخت نخواهند کرد، و در نتیجه خطر تبدیل شدن به شخصیتهای منفی داستان را به جان خواهند خرید؟
تیمها ۱۵ دقیقه فرصت دارند تا در مورد یک سیاست تصمیم بگیرند. کورمن میپرسد: «باشه؟ حالا ساعت را شروع کنیم.»