Nepagenten overvallen woning

Twee nepagenten hebben, compleet in uniform, de bewoners van een woning aan de Straat van Magelhaens in Amstelveen overvallen (bron).

Het is alweer een poosje stil geweest rondom overvallen uitgevoerd door criminelen in een politieuniform. Misschien dat de vorige dadergroep is opgepakt of misschien is hun geld inmiddels alweer op waardoor ze weer aan de slag moeten.

Daarom toch maar weer eens een dergelijk bericht. Je moet toch wel erg op je hoede zijn, wil je agenten die voor je deur staan wantrouwen. Toch moeten we ons er van bewust zijn dat een politieuniform je nog geen politie agent maakt.

Het zou toch heerlijk zijn als we daar wel vanuit konden gaan. Niet alleen voor politieagenten natuurlijk, maar voor iedereen in een bepaald “uniform”. Iemand in een witte jas is een arts, iemand in een overall een onderhoudsmonteur, iemand in een krijtstreep een bankier, iemand in een groen uniform een militair en iemand met een kapiteinspet een kapitein.

Helaas weten criminelen maar al te goed dat de gemiddelde man of vrouw er inderdaad van uitgaat dat deze stereotypen kloppen. Trek een overall aan en je bent een onderhoudsmonteur. Hiermee staat de crimineel al 1-0 voor. Hij meldt zich bij de receptioniste en verteld dat hij komt voor een liftstoring. Als er op dat moment geen storing is dan zal de receptioniste misschien nog wat moeilijk kijken. Maar de “monteur” verteld natuurlijk dat de melding tegenwoordig al binnenkomt voordat de lift in storing gaat…de techniek staat voor niets, toch?

Grote kans dat de receptioniste de monteur vrolijk bedankt en alle deuren voor hem open doet. Laten we nu niet denken dat dit alleen geldt voor een receptioniste, want dat is slechts een voorbeeld. Nee, met een beetje social engineering lukt het keer op keer om mensen te overtuigen.

Nu kunnen we natuurlijk denken dat social engineering alleen wordt ingezet door criminelen, maar eigenlijk zetten we het allemaal iedere dag in. Alleen noemen we het dan geen social engineering. Maar hebben we niet allemaal wel eens een leugentje om best wil? Manipuleren we niet allemaal wel eens? Proberen we allemaal niet zo af en toe iemand in onze richting te bewegen? Zolang we dat doen voor “het goede doel” is er niet zoveel aan de hand…maar als we het inzetten met een verkeerde intentie dan wordt het een ander verhaal.

Menselijk gedrag geeft doorslag bij diefstal

Gisteren lieten we al zien dat beveiligingsincidenten veelal veroorzaakt worden door factoren buiten het vakgebied. Een veel gehoorde term is dat de mens de zwakste schakel is. Ook duidelijk een factor buiten ons gebied, toch?

Onderzoeker Trajce Dimkov doet promotieonderzoek naar veiligheidsbeleving van organisaties en liet studenten laptops stelen bij wijze van wetenschappelijk experiment. Van de zestig pogingen die Dimkov liet doen, slaagden er dertig. Conclusie: je kan nog zo’n goed beveiligingssysteem hebben, menselijk gedrag geeft uiteindelijk de doorslag.

De studenten slaagden vrij eenvoudig in het stelen van de laptops, bijvoorbeeld door zich voor te doen als ICT-medewerkers. Ook vroegen ze met een smoes aan een conciërge om een deur te openen waardoor ze bij een laptop konden komen. Ze werden nooit betrapt, al mislukten wel enkele pogingen. Vals gewekt vertrouwen blijkt volgens het onderzoek een bedreiging te zijn voor de beveiliging van persoonlijke eigendommen maar zeker ook voor organisaties, waar dan ook. (bron)

Social engineering bestaat natuurlijk al jaren en we worden al jaren beïnvloed door allerlei factoren. Sterker nog daar zijn speciale branches voor in het leven geroepen zoals de marketingbranche, de reclamebureaus maar ook de psychologie bestaat daar voor een groot deel uit.

Als we mensen kunnen beïnvloeden dan kunnen we daar resultaten mee bereiken. We kunnen onze omzet er door laten groeien of kunnen mensen bijvoorbeeld van allerlei fobieën af helpen. Op zich prima allemaal, maar ook voor minder legitieme doelen kan de mens bespeeld worden (en of jij marketing en reclame een legitiem doel vindt, mag je dan zelf bepalen).

Het is natuurlijk al jaren bekend dat als je een laptop wilt stelen uit een bedrijf je er beter 10 tegelijk mee kunt nemen. Trek je overall aan, regel een karretje en zet daar 10 laptops op. Grotere kans dat de bewaker de deur voor je opent dan dat je onhandig met 1 laptop naar buiten wilt glippen. Hoe je dan binnen komt? Ach, ook daar zijn genoeg mogelijkheden voor. Regel 10 lege laptop dozen en geef aan dat je ze komt omruilen voor de oude laptops in het gebouw. Of loop mee met degene die net even een sigaretje zijn gaan roken buiten het gebouw. Overigens wil ik je nergens toe aanzetten. Want best leuk dat iemand zo’n onderzoek uitvoert, maar als je het niet goed regelt (door vooraf bijvoorbeeld toestemming te krijgen van het bedrijf) dan ben je gewoon illegaal bezig. Nu maar hopen dat er niemand wetenschappelijk uit gaat zoeken hoe makkelijk het is om iemand te vermoorden of te verkrachten.

Hoe opvallender je het doet, hoe kleiner de kans lijkt dat je er voor gepakt wordt. Dat geldt niet alleen binnen bedrijven maar ook voor simpelere zaken als winkeldiefstal. Een brutaal mens heeft de halve wereld, dat is al jaren zo en dat zal wel altijd zo blijven.

De conclusie is echter wat erg sterk neergezet. Conclusie: je kan nog zo’n goed beveiligingssysteem hebben, menselijk gedrag geeft uiteindelijk de doorslag. Tenzij je systeem natuurlijk puur als technisch iets ziet. Wat mij betreft horen ook de procedurele en organisatorische maatregelen tot het systeem. En regel je dat goed in dan houdt deze conclusie geen stand (maar ook dat is theorie, want in de praktijk blijft het voorlopig gewoon mogelijk).

Communicatietraining voor medewerkers

De titel van vandaag zal misschien wat vreemde blikken opleveren: communicatietraining? We hebben het hier toch over beveiliging en risicomanagement?

Klopt helemaal. Maar zoals we steeds proberen aan te tonen is beveiliging niet iets dat losstaat van de rest van de organisatie maar is het een aspect dat voor alles geldt en dat bij iedereen tussen de oren moet zitten. Daarbij willen we zeker weten dat medewerkers die veel contact hebben met de buitenwereld ook getraind zijn in die communicatie.

De vraag is daarom niet voor niets:
Is er aan (specifieke groepen van) medewerkers meegedeeld om bij communicatie via telefoon, fax of email terughoudend te zijn met het delen van (vertrouwelijke) informatie aan derden (onbekenden)?

De buitenwereld kan op zoek zijn naar informatie die we liever niet prijsgeven. Denk alleen maar aan social engineers, de pers en de concurrenten. Op geraffineerde wijze proberen zij de informatie los te peuteren. Daarbij zoeken ze natuurlijk eerst goed op het internet maar al snel nemen ze ook contact op met receptionisten, secretaresses of helpdesks.

We zorgen er natuurlijk voor dat de vertrouwelijke informatie afgescheiden is en niet zomaar door iedereen kan worden ingezien, dan wordt het immers wel heel makkelijk om informatie te verliezen. Maar we moeten ons ook achter de oren krabben als het gaat om, op het eerste gezicht, minder vertrouwelijke gegevens.

Het kan voor een buitenstaander erg interessant zijn om bijvoorbeeld achter de namen en telefoonnummers van bepaalde medewerkers te komen. Medewerkers die minder in contact komen met de buitenwereld, medewerkers die over interessante details beschikken of medewerkers die een bepaalde positie binnen de organisatie bekleden.

Degene die op zoek is naar informatie weet dondersgoed dat de receptioniste niet over veel vertrouwelijke gegevens beschikt. Maar met een smoes kan hij via haar vaak wel achter de namen van andere medewerkers komen. Er wordt een mooi verhaal opgehouden en er wordt gebruik gemaakt van de psyche van de mens.

Ieder mens wil een ander graag helpen, zo zijn we nu eenmaal geprogrammeerd. Dat weet de ander ook. Hij of zij biedt je hulp aan door bijvoorbeeld te verklaren dat je binnenkort een update op je werkplek krijgt. Het installeren van die update duurt minimaal 4 uur en in die 4 uur kun jij niet werken. De organisatie heeft daarom besloten om de update voor de medewerker uit te voeren in de nachtelijke uren, maar daarvoor is je inlognaam en wachtwoord nodig…uiteraard wordt er nog even bij verteld dat je morgen wel direct je wachtwoord moet wijzigen om beveiligingsredenen.

Grote kans dat je enorm opgelucht bent dat je niet zelf 4 uur hoeft te gaan zitten klooien…met het risico dat de update vastloopt en je nog meer tijd kwijt bent. In de waan van de dag klinkt het verhaal heel plausibel en je geeft je wachtwoord af, zonder enige argwaan.

Zo makkelijk kan het gaan en dit is slechts een voorbeeld. Er zijn vele manieren om informatie te achterhalen door eerst behulpzaam te zijn. Grote kans dat het verhaal op een dusdanige wijze verteld wordt dat je er niet eens bij stil staat. En sta je er al wel bij stil, bij wie moet je dit dan melden? Bij je manager die er zelf het risico niet van in ziet? Bij een centrale security desk waar je niet echt duidelijk kunt maken waarom je belt?

Communicatietraining voor medewerkers is hierbij een belangrijk aspect. Maar ook daarvoor geldt weer dat we beveiliging niet als los staand moeten zien, maar moeten samenvoegen met de andere onderdelen van communicatietraining, zoals bijvoorbeeld het omgaan met klanten. Een juiste en positieve communicatie zorgt er zo niet alleen voor dat de klanttevredenheid kan toenemen, maar zorgt er ook voor dat ridicule vragen ons misschien wakker schudden en we niet zomaar onze gegevens prijsgegeven.

Hacker laat BP geheime informatie lekken

Na de olielek heeft BP nu nog met andere lekken te maken.

Via slechts twee telefoontjes is het een hacker gelukt om te achterhalen welke laptops, besturingssystemen, virusscanners en virtual private network software BP gebruikt…Informatie zoals browser, gebruikte Adobe versie of wie het afval ophaalt zijn interessant voor een aanvaller. “Als we kwaadaardige hackers waren geweest, hadden we ze naar een website met een kwaadaardig bestand kunnen sturen, dat de persoon in kwestie waarschijnlijk had gedownload”, aldus Chris Hadnagy van Offensive Security, organisator van de wedstrijd (Bron).

BP heeft het zwaar te verduren de laatste tijd en ze zijn daar zelf deels debet aan. Ben je ook zo benieuwd hoelang BP nog langs de snelweg aanwezig zal zijn of wanneer ze geheel en al vergeten de geschiedenisboeken ingaan? Een lastige situatie en als we het dan toch hebben over de continuïteit van een organisatie dan heeft BP nog wel wat robbertjes te vechten.

De andere kant van de medaille is natuurlijk dat als ze hier uitkomen dan zijn ze voor de andere olieleveranciers nooit meer te verslaan. Een crisis kan leiden tot faillissement maar er zijn ook veel gevallen bekend van crisissen die leiden tot een sterke onverslaanbare organisatie. De crisis is dan snel vergeten en de naam van de organisatie staat bij iedereen op het netvlies.

Slechte reclame is ook reclame zullen we maar zeggen. Het kan wat mij betreft met BP dus twee kanten op en ik ben zeer benieuwd welke kant ze kiezen. Kiezen, vraag je je af? Heeft een organisatie dan een keuze na een crisis? Ja zeker wel, het gaat er om hoe je er mee omgaat, daar zijn inmiddels vele onderzoeken naar gedaan en volgens mij heeft BP de lessons learned daaruit nog niet echt in de praktijk gebracht. Maar goed, misschien staan ze 6-0 achter, dat wil niet zeggen dat ze ook daadwerkelijk zullen verliezen.

We houden het natuurlijk allemaal in de gaten en voor de onderzoekers is er straks weer een interessante business case over het omgaan met een crisis. Helaas voor het natuurschoon en de dieren in de Golf van Mexico, maar zij zullen de (hoge) prijs moeten betalen.

Eeuwig zonde, of althans voor de duur dat de troep niet is opgeruimd en dat zal jaren duren. Vreemd overigens dat er voor allerlei rampen gironummers in het leven worden geroepen maar dat we de troep nu aan BP over laten…ach, dat zal wel aan mij liggen.