“Het doel van mijn bezoek was om te ontdekken hoe lastig – of eigenlijk: hoe gemakkelijk – het is om ongehinderd rond te lopen. Kom je zomaar binnen? Is het mogelijk om ongestoord rond te neuzen? En: hoe ver kom je als je op zoek gaat naar gevoelige informatie? Specifiek ging ik op zoek naar rondslingerende documenten met vertrouwelijke gegevens, onvergrendelde schermen, wachtwoorden op briefjes en niet-afgesloten kasten met gevoelige data.”

“Een Mystery Visit bereiden we voor. Zo had ik twee insiders die van mijn plannen op de hoogte waren. Ze gaven me een rondleiding, zodat ik er al bekend was en de in- en uitgangen kende. Daarnaast deed ik vooronderzoek op LinkedIn. Zo kon ik een naam opgeven als er werd gevraagd of ik een afspraak had, en had ik al diverse scenario’s voor het geval ik me als iemand anders voor moest doen.”

“Vol goede moed ging ik die kant op. Ondanks mijn goede voorbereiding moet je altijd maar net zien waar je op het moment zelf op in kunt spelen. Tijdens mijn eerste poging liep ik heel zelfverzekerd langs de receptie met een mapje papieren alsof ik er al jaren werkte. Eenmaal bij de poortjes deed ik alsof ik mijn token om binnen te komen die dag thuis was vergeten. Het kostte me nauwelijks moeite of een medewerker was al zo vriendelijk om me zonder verdere vragen binnen te laten. Heel aardig natuurlijk! Maar niet bepaald het gedrag wat ik hoopte te zien…”

Liever hadden we natuurlijk gezien dat er doorgevraagd werd. Zodat Paulien desnoods teruggestuurd kon worden naar de receptie, waar ze dat verder kunnen verifiëren.

…werd Paulien met open open armen ontvangen. “Zo’n warm bad is op zich heel fijn – behalve als je met de verkeerde intenties rondloopt. Door vriendelijk en proactief te blijven, won ik al snel meer vertrouwen. Zo deed ik me onder andere voor als HR-stagiaire die onderzoek deed naar het onboarding proces. Eén van de voorbedachte rollen, zodat ik bij eventuele vragen mijn antwoord snel klaar had. Ik kreeg zelfs een hele rondleiding…”

Maar gelukkig: de medewerker die de rondleiding gaf, stuurde ook de zogenaamde stagebegeleider even een appje, en keek in de agenda of het allemaal wel klopte. “Op deze manier viel ik uiteindelijk toch door de mand. Er werd dus goed gevalideerd of het wel pluis was.”

“Op een ander moment ging ik zomaar in een kantoorruimte zitten ‘werken’, wat eenvoudig werd gemaakt doordat deze organisatie gebruik maakt van flexwerkplekken, en je dus niet standaard met dezelfde collega’s in een ruimte zit. Daar zag ik helaas veel onvergrendelde schermen en zwervende papieren met gevoelige informatie. Wat ik gelukkig niét zag, was briefjes met wachtwoorden. Maar wie heeft er een wachtwoord nodig als een scherm niet is vergrendeld?”

“Het was de ideale gelegenheid geweest om een usb-stickje met gevaarlijke software in te pluggen, persoonlijke of zakelijke informatie op te zoeken of snel een e-mail te versturen vanuit een bedrijfsaccount.”

“Het werd lunchtijd, dus ik heb een andere outfit gepakt en ben met een zak broodjes naar een zij-ingang in de buurt van de keuken gelopen. ‘Hoi, catering!’ Ook zo lukte het om binnen te komen. Waarop ik naar het toilet vroeg om me los te weken van de medewerker die me binnen had gelaten, en weer verder kon snuffelen.”

Ook probeerde Paulien de voordeur nog eens. “Ik zei dat mijn token stuk was en ik nog geen vingerafdruk had ingesteld. Dat werd geloofd, dus: binnen.”

“Toen ik vervolgens eerlijk vertelde wie ik was, werd dat juist niét geloofd – wat erg grappig was. De medewerker wilde er niet nog eens intrappen en belde direct mijn contactpersoon bij de organisatie om mijn verhaal te bevestigen. Juist die openbaring heeft de boel dus wel op scherp gezet!”

Uiteindelijk kunnen we stellen dat we enkele goede dingen gezien hebben, zoals het valideren door middel van doorvragen en het nachecken bij de genoemde personen. Maar Paulien trof helaas ook meer dan een aantal voorbeelden waarbij het minder goed ging.

“Daar zijn belangrijke lessen uit te halen. Ten eerste natuurlijk dat kwaadwillende hackers niet alleen online opereren, maar ook fysiek kunnen toeslaan. En dat het daarbij bepaald niet om hackers in hoodies uit de traditionele beeldtaal gaat, maar juist om hele onopvallende bezoekers.”

“Het is daarom cruciaal dat we alert blijven en de regels rond informatieveiligheid nastreven – ook offline!”

Op de dag dat Paulien bij de organisatie langs is geweest, werd zij ’s middags op het intranet onthuld en werd daarbij verteld waar zij als mystery guest op gelet heeft en wat het doel van deze interventie was. Later die week ontving de organisatie een sfeerverslag ondersteund met foto’s van wat er zoal misging, en tips over hoe dat in het vervolg voorkomen kan worden.