Een medewerker loopt met een pasje door de beveiligde deur. Vlak achter hem loopt iemand met een stapel papieren en een lichte frons op het voorhoofd. Zonder nadenken houdt uw medewerker de deur open. Een vriendelijk gebaar, toch? In de wereld van fysieke beveiliging is dit gebaar – ook wel bekend als ‘tailgating’ – de meest succesvolle en meest onderschatte methode om een organisatie binnen te dringen.
Bij Vermetis Consulting zien we dit wekelijks. Onze expertise ligt in het blootleggen van kwetsbaarheden die niet in systemen, maar in menselijke routines verborgen zitten. Wat ons het meest opvalt, is dat de duurste sloten en meest geavanceerde camerasystemen nutteloos zijn als de menselijke factor wordt genegeerd.
De schokkende cijfers achter een vriendelijke glimlach
De spanning tussen beleefdheid en beveiliging is geen aanname, maar een bewezen risico. De cijfers zouden elke facility manager, CISO en directeur zorgen moeten baren:
- 85% van de medewerkers is te misleiden. Uit een bekende test van technologiebedrijf Siemens, aangehaald door de wereldwijde beveiligingsorganisatie ASIS International, bleek dat maar liefst 85% van de kantoormedewerkers door social engineering-technieken kon worden misleid, waaronder het simpelweg meelopen door een beveiligde deur.
- Een plausibel verhaal opent deuren. Onze ervaring uit de praktijk leert dat een tester met een goed verhaal in meer dan 70% van de gevallen toegang krijgt. Een klusjesman die een storing komt verhelpen, een “nieuwe collega” die zijn pasje is vergeten; met een beetje zelfvertrouwen worden deuren geopend die gesloten moeten blijven.
- Een datalek blijft lang onopgemerkt. Gemiddeld duurt het meer dan 200 dagen voordat een datalek – veroorzaakt door een fysieke of digitale inbraak – wordt ontdekt. Tegen die tijd is de schade vaak onomkeerbaar.
Van open deur tot datalek
Tijdens een inlooptest, de specialiteit van Vermetis, is ons doel niet om sloten te forceren. Ons doel is om te bewijzen dat we met een vriendelijke knik en een zelfverzekerde houding toegang kunnen krijgen tot uw meest gevoelige ruimtes. De serverruimte, het archief met persoonsgegevens, een onbeheerde laptop op een bureau van de financiële afdeling.
Eenmaal binnen is de weg naar een datalek kort. Het fotograferen van documenten of het plaatsen van een klein apparaatje in het netwerk is dan kinderspel. De fysieke schil en de digitale wereld zijn onlosmakelijk met elkaar verbonden.
Hoe wapent u zich tegen beleefdheid?
De oplossing is niet om een cultuur van wantrouwen te creëren. De oplossing zit in bewustwording en heldere protocollen.
- Train uw medewerkers: Maak hen bewust van technieken als tailgating en social engineering. Een simpele regel als “Iedereen badget, zonder uitzondering” kan al een wereld van verschil maken.
- Test uw organisatie: Weet u écht hoe makkelijk een buitenstaander binnenkomt? Een onafhankelijke inlooptest legt de zwakke plekken in uw procedures bloot, nog voordat een kwaadwillende dat doet.
- Combineer fysiek met digitaal: Terwijl wij de fysieke kwetsbaarheden testen, kan onze partner Wietse Boonstra, een zeer ervaren en bekroonde ethisch hacker, uw netwerk en systemen aan een grondige pentest onderwerpen. Zo dekt u het volledige spectrum aan risico’s af.
Uw organisatie is zo veilig als de minst alerte medewerker. Is uw voordeur wel zo gesloten als u denkt?
