Observatie
De eerste deur vormde geen barrière, want de centrale hal was overdag voor iedereen toegankelijk. Via poortjes kon naar het alleen voor medewerkers toegankelijke gebied worden doorgelopen. Een korte observatie leerde de Red Teamer dat het nogal eenvoudige poortjes betrof, zonder sensoren die reageren als twee personen op één pas naar binnen willen.
De volgende dag keerde de Red Teamer terug op het drukste tijdstip in de ochtend. Wat al gedacht werd bleek waar. Het was kinderlijk eenvoudig om vlak achter een medewerker door de poortjes te lopen. Dit werd niet opgemerkt, omdat mensen die het hadden kunnen zien meer aandacht voor hun smartphone hadden. Met de lift ging de Red Teamer naar de tweede verdieping, waar de computerruimte was. Dat was bekend, omdat daar het enige geblindeerde raam was met daarboven een groot rooster voor de airconditioning. Het bedrijf was zodanig groot dat niet alle medewerkers elkaar kenden. Als de Red Teamer aangesproken zou worden, zou hij zeggen dat hij van een andere vestiging afkomstig was en ’s middags een vergadering had. Hij zag dat de computerruimte beveiligd was met een paslezer met biometrische identificatie. Na een klein half uur ging iemand naar binnen. Toen de medewerker terug kwam, viel de deur langzaam weer in het slot. De medewerker lette daar niet eens op. Dat het diezelfde ochtend nog lukte om illegaal in het kloppend hart van de organisatie binnen te komen, hoeft verder geen betoog. Niemand sloeg er acht op.
Awareness-trainingen
In het advies gaf het Red Team aan dat de toegang tot het gebouw beter beveiligd dient te worden. Veel poortjes hebben anti-tailgating en anti-passback om illegale toegang te bemoeilijken. Daarnaast werd aangedrongen op regelmatige security awareness-trainingen. Zeker op vitale afdelingen is het belangrijk dat onbekende personen worden aangesproken. Medewerkers die de computerkamer verlaten, dienen op het hart gedrukt te worden dat zij de deur handmatig sluiten en nooit ‘bezoek’ mee naar binnen mogen nemen. Tot slot werd geadviseerd om de computerruimte van glazen wanden te laten voorzien, zodat niemand er onopgemerkt aanwezig kan zijn.