In Rotterdam bleek het mogelijk om in enkele uren vier gemeentelijke panden zonder geldende toegangspas te betreden. Daarbinnen was er vrije toegang tot werkplekken, technische ruimten en vertrouwelijke informatie. De personen die naar binnen liepen, werden niet door medewerkers aangesproken. Besmette usb-sticks die door de binnendringers werden achtergelaten – en die bestanden bevatten om verder in het systeem te komen – zijn in een kwart van de gevallen gewoon door medewerkers van de gemeente gebruikt.
Het paradigma cyber security
Cyber security is zo langzamerhand het paradigma van (informatie)beveiliging geworden. Het is een stelsel van modellen en theorieën dat het primaire denkkader vormt van waaruit we de informatiebeveiliging bij bedrijven en organisaties beschouwen. Maar ons inziens schuilt er een groot gevaar!
Informatie is meer dan alleen de geautomatiseerde vorm die we met man en macht proberen te beschermen tegen het kwaad van (vooral) buitenaf. ICT, ofwel informatie- en communicatietechnologie, is het vakgebied dat zich bezighoudt met informatiesystemen, telecommunicatie en computers.
De informatie zelf, ofwel de input voor die systemen, wordt bijna per definitie gegenereerd buiten die geautomatiseerde gegevensverwerking om. Denk aan het gesproken woord, het geheugen van belangrijke medewerkers, notities, rapporten, onderzoeken, research & development etc.
Die ICT systemen, ook wel cyber genoemd, vormen feitelijk maar één van de drie ‘poorten’ die toegang geeft tot informatie of tot het primaire (productie)proces. Maar ook de mens, meestal de zwakste schakel, en assets zoals terreinen en gebouwen zijn net zo goed toegangspoorten. Poorten die, zo blijkt uit onze ervaring, vaak veel kwetsbaarder zijn dan we durven te denken.
Hoe kan het dan zo zijn dat bedrijven en organisaties op grote schaal blijven investeren in cybersecurity terwijl het net zo makkelijk mis blijkt te gaan bij de fysieke beveiliging en bij menselijke actoren. Moeten we daar niet nu ook veel aandacht op vestigen? Moeten we de huidige kwetsbaarheden niet meteen in een veel breder perspectief onderzoeken?
Moeten we cyber risico’s niet tegelijk met fysieke risico’s beschouwen om te voorkomen dat we zaken missen. Zaken die kwaadwillenden dan juist kunnen gebruiken om een aanval op de organisatie uit te voeren?
Het belang van een fysieke penetratietesten of een inlooptest
Het doel van een fysieke penetratietest of een inlooptest is om een fysieke aanval realistisch te simuleren. Op deze manier kunnen onze getrainde ‘indringers’ veiligheidslekken binnen uw organisatie zichtbaar maken.
Op een effectieve manier wordt er een grondige pentest uitgevoerd door onze ervaren beveiligingsexperts. Zij onderzoeken of het mogelijk is om ongezien toegang te krijgen tot essentiële of bedrijfsgevoelige informatie.
Onze activiteiten worden in nauwe samenwerking met uw stakeholders uitgevoerd. Natuurlijk brengen we informatie, processen en mensen niet in gevaar. Soms is het al voldoende om een vlaggetje te plaatsen in een vitale ruimte binnen het gebouw om zo te bewijzen dat een bepaalde modus operandi realistisch is.
Uiteindelijk ontvangt u een overzichtelijk resultatenrapport. Op deze manier kunt u binnen uw organisatie effectief evalueren. Wat gaat er goed? Wat kan er beter? Hoe voorkomen we een volgende aanval?
Lees hier het oorspronkelijke artikel over de gemeente Rotterdam: https://www.volkskrant.nl/nieuws-achtergrond/dit-zijn-de-vier-grootste-beveiligingslekken-van-rotterdam~bfc2fc57/
Neem vrijblijvend contact met ons op als u meer wilt weten over een fysieke penetratietest of inlooptest!
