Sneaker-hack blijkt uiterst eenvoudig
Het Amerikaanse Ponemon Institute stuurde onderzoekers op pad naar 43 vestigingen van 7 grote organisaties die toestemming verleend hadden voor het onderzoek. Doel: het verzamelen van gevoelige informatie. Slaagkans: 88 procent. Maar het meest opmerkelijk is wel dat de onderzoekers totaal niet gestoord werden bij hun onderzoek, ook niet als ze behoorlijk merkwaardig gedrag ten toon spreiden.
Shutterstock
Shutterstock
De onderzoekers spendeerden 2 uur in ieder kantoor, waarbij ze in het zicht van de medewerkers rondliepen, foto's van beeldschermen maakten en documenten met de classificatie vertrouwelijk oppakten en zelfs in hun tas stopten. In slechts 2 kantoren werd hen gevraagd wat ze deden als ze over de gangen dwaalden en rondkeken wat er op bureaus, printers en kopieermachines lag. Bij het lichten van vertrouwelijke documenten volgde op slechts 4 kantoren een reactie. En bij het maken van foto's van onbeheerd achtergelaten beeldschermen werd slechts 7 maal gevraagd wat de bedoeling was. In 36 organisties vond men dat heel normaal, ook als een Excel-sheet werd vergroot om het beter te kunnen fotograferen.
Verschil met een normale situatie is, dat de onderzoekers van het Ponemon Institute toegang hadden gekregen als tijdelijke medewerker, en daarbij ruim de tijd kregen om rond te struinen. Daar staat tegenover dat hun gedrag zelfs als het om een vaste collega ging vragen op zou moeten roepen. Bovendien wisten ze veelal al binnen een kwartier gevoelige informatie buit te maken.
Natuurlijk maakt het ook verschil dat de organisaties de onderzoekers zelf toegang had verschaft. Maar zo bijzonder is het rondlopen van vreemden in een kantoorpand nu ook weer niet. Medewerkers zijn gewend aan bezorgers, servicepersoneel en anderen die met legitieme reden - veelal alleen - rondlopen. En bij veel organisaties is het niet heel erg moeilijk binnen te dringen zonder legitieme reden, bijvoorbeeld via de achterdeur die rokers gebruiken met als smoes dat je pasje nog op je bureau ligt.
Het onderzoek van Ponemon Institute onderstreept nog eens dat bij alle zorgen rond cybersecurity aandacht voor fysieke beveiliging niet veronachtzaamd moet worden, om te voorkomen dat hackers te voet halen wat online wellicht wel goed afgeschermd is. Meer specifiek moet men collega's op het hart blijven drukken dat:
- documenten met vertrouwelijke gegevens in een afgesloten bureaula horen zodra men zijn bureau uit het zicht verliest;
- documenten met vertrouwelijke gegevens direct na het geven van de afdrukopdracht opgehaald moeten worden bij de printer - als men niet over een methode beschikt waarbij dergelijke documenten pas gedrukt worden als de eignaar zich bij de printer met een pasje of wachtwoord gemeld heeft;
- ze hun systeem moeten vergrendelen wanneer ze hun bureau uit het zicht laten;
- ze op moeten letten wat mensen die ze niet kennen uitvoeren, deze vreemden erop moeten aanspreken als ze verdachte activiteiten ontplooien en hun leidinggevende op de hoogte moeten stellen als ze dergelijk gedrag constateren.
Gerelateerde artikelen
Gerelateerde artikelen
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee