Spionage
Red Team Experts test of uw bedrijf bestand is tegen spionage door spionage simulaties uit te voeren.
Hoe snel detecteert uw beveiliging spionagemateriaal?
In de laatste jaren is steeds meer te doen rondom de zogenaamde spionagedreigingen. Zo hebben er in de laatste jaren meer incidenten voorgedaan rondom mogelijke spionage (zie bijvoorbeeld de uitzet van Russische diplomaten). Tevens worden er in verschillende verslagen van de AIVD/NCTV beschreven dat de spionagedreiging reëel is. Volgens de AIVD betekent spionage het heimelijk verzamelen van informatie die geheim of vertrouwelijk is. Bij spionage wordt tegenwoordig snel gedacht aan de digitale omgeving, het hacken van infrastructuur vanaf de andere kant van de wereld. Dit is deels waar. Een spionagedreiging kan zich ook via de fysieke wereld uitten. Zie bijvoorbeeld het incident rondom de Organisatie voor het Verbod op Chemische Wapens (OPCW). Tevens zijn er andere mogelijkheden om via de fysieke wereld informatie te bemachtigen. Bij Redteam Experts zijn we inmiddels bekend met werkwijzen die aansluiten bij de steeds prominenter wordende spionagedreigingen.
Spionage middels transmissies
Eén van de meer geavanceerde vormen van spionage betreft spionage middels het opvangen van elektromagnetische straling. Wanneer een elektronisch apparaat aanstaat, bijvoorbeeld een server of een computer, straalt deze elektromagnetische straling uit. Deze elektromagnetische straling kan door een kwaadwillend persoon worden opgevangen en bewerkt tot bruikbare informatie. Dat betekent dat een kwaadwillende, welke als doel heeft informatie te stelen, gebruik zou kunnen maken van het lekken van elektromagnetische stralingen van uw apparatuur zoals computers en servers. Er zijn organisaties die maatregelen hebben getroffen om te voorkomen dat kwaadwillende elektromagnetische straling kunnen compromitteren.
Bij Redteam experts kunnen wij middels een simulatie aantonen in hoeverre uw organisatie voldoende is bestand tegen dit risico. Er is in de markt nog vrij weinig kennis over dit risico, bij Redteam experts hebben we hier onderzoek naar gedaan en kunnen wij naast het aantonen van mogelijke GAPs u ook adviseren op dit gebied. Organisaties investeren veel in het ondervangen van de digitale dreigingen maar als vervolgens aan de achterkant informatie wordt gelekt via elektromagnetische stralingen is het feitelijke risico helemaal niet ondervangen. Met name gezien de huidige ontwikkelingen in de wereld, waar cyber(spionage)dreigingen alsmaar groter worden, is het van belang dat organisaties ook tegen deze categorie risico’s zijn beschermd. Is uw organisatie voldoende beschermd tegen dit risico?
Drones
Spionage kan tevens plaatsvinden door het gebruiken van drones. Deze zijn tegenwoordig zeer gemakkelijk te kopen tegen een zeer lage prijs. Dat betekent dat er genoeg personen zijn die aan deze middelen kunnen komen. Middels drones kunnen kwaadwillende personen nabij objecten komen waar men normaliter niet gemakkelijk kan komen. De drone kan voorzien zijn van een camera waardoor vertrouwelijk en/of geheime informatie ingezien kan worden. Tevens kunnen drones worden ingezet voor het afleveren van bepaalde middelen, welke weer voor een andere kwaadwillende actie kunnen worden ingezet (zoals bij gevangenissen vaak plaatsvindt). Bij Redteam experts zijn we in staat om drones in te zetten om hier vervolgens vertrouwelijke en/of geheime informatie te bemachtigen.
Afluisterapparatuur
Met Red Teaming zoeken wij met toestemming van u als opdrachtgever de grenzen van het toelaatbare op. Vergeet niet dat de aanvaller er vaak heel onorthodoxe principes op na houdt. Wij benaderen die zo dicht mogelijk, zonder de wet te overtreden of uw organisatie, proces en medewerkers schade te berokkenen. Heel belangrijk is het om rekening te houden met het volgende: Red Teaming is zeker niet bedoeld om het functioneren van medewerkers of (beveiligings)leveranciers te bekritiseren. Het gaat om het geheel. Een medewerker kan fouten maken of bewust kwaad aanrichten, maar als dat tot grote schade leidt, is vaak niet de medewerker, maar diens authorisatie de zwakke schakel. Wij kennen de wet en zorgen ervoor dat u die als onze opdrachtgever niet overtreedt. Denk bijvoorbeeld aan het risico dat u de persoonlijke levenssfeer van uw medewerkers schendt. Wij zoeken de randen op, maar wel met de grootst mogelijke zorgvuldigheid, deskundigheid en vertrouwelijkheid.
Dumpster diving
De voorgaande werkwijzen zijn met name gericht op het vergaren van informatie binnen de beveiligde omgeving van een organisatie. Maar er gaat ook informatie naar buiten toe, namelijk via het afval. Zo wordt informatie zoals documenten ontsloten via een afvalstroom. Een kwaadwillend persoon kan afval een organisatie doorzoeken naar nog mogelijke bruikbare informatie. Voor een kwaadwillend persoon met enige expertise is veel informatie van bruikbare waarde om vervolgens daarmee een volgende kwaadwillende actie in te zetten (zie identiteitsfraude, sociale engineering). Indien informatie niet op de juiste wijze bij het afval terechtkomt kan dit grote gevolgen hebben voor uw organisatie. Niet alleen fysieke documenten komen bij het afval terecht, zo wordt ook oude hardware zoals usb-sticks, harde schijven en computers/laptops aangeboden aan afvalverwerkers. Heeft u inzicht op welke informatie hiermee vrij wordt gegeven aan mogelijke kwaadwillende personen? Bij Redteam experts hanteren we ‘dumpster diving’ als één van onze werkwijzen om aan informatie te komen. Wij kunnen u helpen inzicht te krijgen in welke risico’s uw organisatie in dit proces kent.
Veiligheid altijd op nummer 1
Bij de uitvoering van een Red Team Assessment of penetratietest staat de veiligheid van uw medewerkers, onze specialisten en de bedrijfsvoering altijd op de eerste plaats. Daarom maken wij voorafgaand aan een assessment altijd een project risicoanalyse. Zo nemen we nooit onverantwoorde risico’s, die ongewenste schade kunnen uitrichten binnen onze organisaties. Daarnaast maken wij duidelijke afspraken met de opdrachtgever en hebben indien nodig ook contact met de lokale autoriteiten, zoals de politie of de gemeente.
