Awareways Mystery Guest

2 september 2022

Wolf in schaapskleren: allang niet meer de hacker in de hoodie

Digitale informatie bescherm je met wachtwoorden en een vergrendelde computer, maar ook met fysieke gegevens moeten we voorzichtig omgaan. Een groot deel van beveiligingsincidenten vindt namelijk ‘gewoon’ plaats op de werkvloer. Denk daarbij aan je eigen werkplek, maar ook aan gedeelde ruimtes zoals de vergaderzaal en de kantine. Daar zijn medewerkers zich lang niet altijd van bewust.

Gaat jouw organisatie offline net zo bewust om met de informatie die dagelijks verwerkt wordt? We onderzochten het in een nieuwe aflevering van de Awareways Mystery Guest.

Mystery Guest

Het is voor organisaties uiteraard belangrijk dat zij hun online informatie beschermen, maar dat geldt offline net zo goed. Want vaak is het namelijk gemakkelijker dan je denkt om zomaar binnen te sluipen. Zeker als je je kleedt en gedraagt alsof je er dagelijks komt.

Wie in google zoekt op ‘hacker’, komt altijd bij het bekende plaatje van een hacker in een hoodie uit, achter een laptop en meestal ook nog op een donkere zolderkamer. In de praktijk is het heel anders – nog los van de ethische hacker die zijn digitale skills juist inzet om cybercrime te voorkomen.

In diezelfde praktijk zien we bij organisaties regelmatig dat medewerkers hun computerschermen niet vergrendelen, gevoelige gegevens te gemakkelijk delen, en papieren met vertrouwelijke informatie zomaar laten slingeren. Zo wordt het voor een kwaadwillende kinderspel. Om te testen hoe alert de medewerkers zijn bij één van de organisaties waar we voor werken, stuurden we Paulien van Diepen, een van onze programmamanagers, als Mystery Guest.

Paulien

Hacker zonder hoodie

“Het doel van mijn bezoek was om te ontdekken hoe lastig – of eigenlijk: hoe gemakkelijk – het is om ongehinderd rond te lopen. Kom je zomaar binnen? Is het mogelijk om ongestoord rond te neuzen? En: hoe ver kom je als je op zoek gaat naar gevoelige informatie? Specifiek ging ik op zoek naar rondslingerende documenten met vertrouwelijke gegevens, onvergrendelde schermen, wachtwoorden op briefjes en niet-afgesloten kasten met gevoelige data.”

“Een Mystery Visit bereiden we voor. Zo had ik twee insiders die van mijn plannen op de hoogte waren. Ze gaven me een rondleiding, zodat ik er al bekend was en de in- en uitgangen kende. Daarnaast deed ik vooronderzoek op LinkedIn. Zo kon ik een naam opgeven als er werd gevraagd of ik een afspraak had, en had ik al diverse scenario’s voor het geval ik me als iemand anders voor moest doen.”

Mission: Possible

“Vol goede moed ging ik die kant op. Ondanks mijn goede voorbereiding moet je altijd maar net zien waar je op het moment zelf op in kunt spelen. Tijdens mijn eerste poging liep ik heel zelfverzekerd langs de receptie met een mapje papieren alsof ik er al jaren werkte. Eenmaal bij de poortjes deed ik alsof ik mijn token om binnen te komen die dag thuis was vergeten. Het kostte me nauwelijks moeite of een medewerker was al zo vriendelijk om me zonder verdere vragen binnen te laten. Heel aardig natuurlijk! Maar niet bepaald het gedrag wat ik hoopte te zien…”

Liever hadden we natuurlijk gezien dat er doorgevraagd werd. Zodat Paulien desnoods teruggestuurd kon worden naar de receptie, waar ze dat verder kunnen verifiëren.

Eenmaal binnen…

…werd Paulien met open open armen ontvangen. “Zo’n warm bad is op zich heel fijn – behalve als je met de verkeerde intenties rondloopt. Door vriendelijk en proactief te blijven, won ik al snel meer vertrouwen. Zo deed ik me onder andere voor als HR-stagiaire die onderzoek deed naar het onboarding proces. Eén van de voorbedachte rollen, zodat ik bij eventuele vragen mijn antwoord snel klaar had. Ik kreeg zelfs een hele rondleiding…”

Maar gelukkig: de medewerker die de rondleiding gaf, stuurde ook de zogenaamde stagebegeleider even een appje, en keek in de agenda of het allemaal wel klopte. “Op deze manier viel ik uiteindelijk toch door de mand. Er werd dus goed gevalideerd of het wel pluis was.”

Een paar seconden is genoeg

“Op een ander moment ging ik zomaar in een kantoorruimte zitten ‘werken’, wat eenvoudig werd gemaakt doordat deze organisatie gebruik maakt van flexwerkplekken, en je dus niet standaard met dezelfde collega’s in een ruimte zit. Daar zag ik helaas veel onvergrendelde schermen en zwervende papieren met gevoelige informatie. Wat ik gelukkig niét zag, was briefjes met wachtwoorden. Maar wie heeft er een wachtwoord nodig als een scherm niet is vergrendeld?”

“Het was de ideale gelegenheid geweest om een usb-stickje met gevaarlijke software in te pluggen, persoonlijke of zakelijke informatie op te zoeken of snel een e-mail te versturen vanuit een bedrijfsaccount.”

Cyberveiligheid

Ding-dong, catering!

“Het werd lunchtijd, dus ik heb een andere outfit gepakt en ben met een zak broodjes naar een zij-ingang in de buurt van de keuken gelopen. ‘Hoi, catering!’ Ook zo lukte het om binnen te komen. Waarop ik naar het toilet vroeg om me los te weken van de medewerker die me binnen had gelaten, en weer verder kon snuffelen.”

Ook probeerde Paulien de voordeur nog eens. “Ik zei dat mijn token stuk was en ik nog geen vingerafdruk had ingesteld. Dat werd geloofd, dus: binnen.”

“Toen ik vervolgens eerlijk vertelde wie ik was, werd dat juist niét geloofd – wat erg grappig was. De medewerker wilde er niet nog eens intrappen en belde direct mijn contactpersoon bij de organisatie om mijn verhaal te bevestigen. Juist die openbaring heeft de boel dus wel op scherp gezet!”

Tot slot

Uiteindelijk kunnen we stellen dat we enkele goede dingen gezien hebben, zoals het valideren door middel van doorvragen en het nachecken bij de genoemde personen. Maar Paulien trof helaas ook meer dan een aantal voorbeelden waarbij het minder goed ging.

“Daar zijn belangrijke lessen uit te halen. Ten eerste natuurlijk dat kwaadwillende hackers niet alleen online opereren, maar ook fysiek kunnen toeslaan. En dat het daarbij bepaald niet om hackers in hoodies uit de traditionele beeldtaal gaat, maar juist om hele onopvallende bezoekers.”

“Het is daarom cruciaal dat we alert blijven en de regels rond informatieveiligheid nastreven – ook offline!”

Op de dag dat Paulien bij de organisatie langs is geweest, werd zij ’s middags op het intranet onthuld en werd daarbij verteld waar zij als mystery guest op gelet heeft en wat het doel van deze interventie was. Later die week ontving de organisatie een sfeerverslag ondersteund met foto’s van wat er zoal misging, en tips over hoe dat in het vervolg voorkomen kan worden.

Ben je benieuwd hoe het in jouw organisatie met informatieveiligheid is gesteld?
Neem dan vrijblijvend contact met ons op!