door Mo Ballari - 19 september 2022
Ik kan het niet vaak genoeg zeggen: cybersecurity bestaat bij de gratie van een goede beveiliging van de ICT systemen. Maar ik zeg het minstens net zo vaak: een keten is zo sterk als de zwakste schakel. Je bent nergens met techniek alleen. Op het moment dat je fysieke beveiliging niet op orde is, kunnen kwaadwillenden nog steeds de systemen binnendringen. In de praktijk blijkt dit zelfs kinderlijk eenvoudig. Van de inlooptesten die Hoffmann uitvoert, slaagt maar liefst 89%! En niet alleen bij kleinere organisaties, óók bij grote datacenters, overheidsinstanties en multinationals.
Praktijkvoorbeeld
Enige tijd geleden kregen we van de Rekenkamer van een van de vijf grote steden de opdracht om de cybersecurity van die stad te testen. Die leek behoorlijk goed op orde. Vanaf het internet en met penetratietests lukte het niet om de systemen binnen te dringen. Maar na een inlooptest lukte het wel. Het lukte ons namelijk om een onbeheerde laptop mee te nemen waarop een post-it met het wachtwoord was bevestigd. Hiermee kregen we eenvoudig toegang tot de systemen. Sterker nog, terwijl wij bezig waren met deze laptop, bood een van de medewerkers ons nog een kopje koffie aan!
Hoe gaat een inlooptest in zijn werk?
Bij een inlooptest zijn er verschillende methodes om een organisatie binnen te komen. Vaak maken we daarbij gebruik van de behulpzaamheid en het vertrouwen van de medewerkers, door:
- Ons voor te doen als koerier, beveiliger of ICT-monteur.
- Met een groep medewerkers mee naar binnen te lopen, bijvoorbeeld vanuit de rokersruimte.
- Ons bij de receptie te melden met de mededeling dat we ons pasje zijn vergeten. Moeten we een naam opgeven? Dan noemen we de naam van een medewerker van de organisatie, die we van tevoren via LinkedIn hebben opgezocht.
- Binnen te komen met onze armen vol ordners en iemand te vragen om even de deur voor ons open te houden.
Zijn we eenmaal binnen? Dan is het vervolg afhankelijk van de opdracht en de afspraken met onze opdrachtgever. Soms is het de opdracht om tot de serverruimte of het kantoor van de CEO binnen te dringen. Of krijgen we bepaalde (met malware geïnfecteerde) apparatuur mee, om deze achter te laten of aan de systemen van de organisatie te koppelen. Maar we krijgen ook wel eens de opdracht om te kijken of we mee kunnen lunchen met het personeel. Of om net zo lang binnen te blijven tot we door een medewerker worden aangesproken. Dat moment laat helaas vaak vrij lang op zich wachten. Mensen blijken toch vrij terughoudend om een vreemde aan te spreken en kritisch door te vragen over het hoe en waarom van zijn of haar aanwezigheid.
Conclusie
Om een echt hoog niveau van beveiliging te realiseren, moet een organisatie verschillende beveiligingsmaatregelen nemen die complementair aan elkaar zijn. Níet alleen digitaal, maar ook fysiek. Deze maatregelen moeten bovendien periodiek worden gecontroleerd. Een inlooptest is een goede manier om te checken hoe het met de fysieke beveiliging is gesteld.