Fysieke beveiliging als onderdeel van security awareness training
Een dief met wraakgevoelens en een in ongenade gevallen journaliste willen hun gemeenschappelijke vijand voor eens en altijd uitschakelen. Van de rijke zakenman bestaan videobeelden waarop hij wapens verkoopt aan terroristen, maar die beelden moeten de dief en de journalist eerst weten te bemachtigen om de man ten val te brengen. De dief besluit in te breken op de plek waar de videoband hoogstwaarschijnlijk gevonden kan worden: in het archief van de tijdschriftredactie waar de journaliste haar hele carrière werkte.
Om binnen te komen doet de dief zich voor als een belangrijke bron voor een onderzoeksjournalist die nog altijd werkzaam is bij het tijdschrift. De receptionist en beveiliger vertrouwen zijn verhaal niet helemaal. Maar als de voormalig journaliste naar de receptie belt en zich uitgeeft voor de onderzoeksjournalist in kwestie – en bevestigt dat er iemand naar de redactie komt met geheime informatie – krijgt de dief toch toegang tot het gebouw en het archief. Niet veel later ontdekt de beveiliging dat de onderzoeksjournalist waar het om gaat helemaal niet aanwezig is in het pand. Dan is het al te laat: de dief trekt een sprintje met de gevonden videoband en stapt bij de oud-journaliste in de vluchtauto.
Komt deze anekdote bekend voor? Dat komt omdat het een scène is uit de Franse Netflix-serie Lupin. Hoofdrolspeler Omar Sy kruipt in de huid van Assane Diop, een charismatische crimineel die met zo min mogelijk geweld en zoveel mogelijk slimme trucs de dood van zijn vader wil wreken. Vader werd er 25 jaar eerder ingeluisd door zakenman Hubert Pellegrini, die hem veroordeeld kreeg voor het stelen van een diamanten collier.
Goede smoes
Lupin benadrukt het belang van goede fysieke beveiliging van organisaties. Het is doodzonde als bedrijven veel geld en moeite steken in online security awareness en het zo klein mogelijk maken van het digitale aanvalsoppervlak, terwijl kwaadwillenden gewoon via de voor- en achterdeur naar binnen kunnen lopen. Met een goede smoes, een technologisch handigheidje of een interne handlanger is het vaak opvallend makkelijk om ergens binnen te raken. Criminelen kunnen dan fysieke data en apparatuur stelen – zoals Assane Diop de videoband meenam uit het redactiearchief – of kunnen voorbereidingen treffen voor een latere inbraak of cyberaanval.
En nee, dat gebeurt echt niet alleen in Netflix-series. Bij KnowBe4 hebben we onze eigen Assane Diop, in de persoon van chief hacking officer Kevin Mitnick. Als meest gezochte hacker door de FBI en later ook als ethisch hacker wist hij diverse keren fysiek bij organisaties in te breken. Dat deed hij telkens met een goed uitgedachte strategie en met behulp van technologische snufjes.
Zo werd hij als ethisch hacker eens ingehuurd door een Amerikaanse bank om te kijken of hij de fysieke beveiliging van hun kantoor kon omzeilen (denk aan gewapende beveiligers, een legitimatieplicht en toegangspasjes om op de juiste verdieping te komen). Mitnick belde naar de verhuurmakelaar van het kantoorgebouw voor een bezichtiging van een leegstaande verdieping, met het verhaal dat hij ondernemer was en zijn eigen kantoorpand recent verwoest was door een brand. Eenmaal in het pand vroeg hij naar de beveiligingsmaatregelen en liet de makelaar haar toegangspas zien. Door die pas bij de map te houden die Mitnick bij zich droeg – waar technologie in zat om een kopie van de pas te maken – kon hij later een leeg pasje voorzien van de juiste gegevens om het pand binnen te komen. Dat werkte. Kort daarna gebruikte hij het zelfgemaakte pasje om via de achteringang en de goederenlift naar de etage te gaan waar de bank gevestigd was. Eenmaal daar kon hij zijn opdrachtgever melden dat hij ondanks de serieuze beveiliging toch binnen was gekomen.
Onzichtbare beveiliging
Hoe houd je zulke geslepen indringers tegen? Helaas geldt voor organisaties dezelfde wijsheid als voor huizenbezitters: als kwaadwillenden écht naar binnen willen, dan lukt dat ze vroeg of laat. Maar er is een hoop te doen om criminelen te ontmoedigen. Naast zichtbare beveiliging (camera’s, een receptie, een toegangs- en alarmsysteem) is onzichtbare beveiliging een sterk wapen om ongenode gasten tegen te houden of te betrappen. Daarmee doelen we met name op medewerkers als extra beveiligingslaag.
Medewerkers kunnen leren om alert te zijn op onbekende aanwezigen en ze aan te spreken. Het uitlenen van toegangspasjes of het openhouden van deuren voor mensen die komen aanlopen kunnen juist afgeleerd worden. Trainingen over fysieke beveiliging hoeven niet op zichzelf te staan. Integendeel. Door fysieke beveiliging onderdeel te maken van security awareness training kan zowel offline als online een effectieve gedragsverandering plaatsvinden. Fysieke en digitale beveiligingsrisico’s bekijken als één geheel is bovendien hard nodig, omdat criminelen zich nogal eens bedienen van een combinatie van offline en online methodes om een organisatie aan te vallen. De spannende dramaserie The Inside Man – zeg maar een educatieve versie van Lupin gemaakt door KnowBe4 – toont hoe zo’n combinatie van aanvalstactieken eruit kan zien. Misschien een goede vervolgserie om te bingewatchen?