Gisteren lieten we al zien dat beveiligingsincidenten veelal veroorzaakt worden door factoren buiten het vakgebied. Een veel gehoorde term is dat de mens de zwakste schakel is. Ook duidelijk een factor buiten ons gebied, toch?
Onderzoeker Trajce Dimkov doet promotieonderzoek naar veiligheidsbeleving van organisaties en liet studenten laptops stelen bij wijze van wetenschappelijk experiment. Van de zestig pogingen die Dimkov liet doen, slaagden er dertig. Conclusie: je kan nog zo’n goed beveiligingssysteem hebben, menselijk gedrag geeft uiteindelijk de doorslag.
De studenten slaagden vrij eenvoudig in het stelen van de laptops, bijvoorbeeld door zich voor te doen als ICT-medewerkers. Ook vroegen ze met een smoes aan een conciërge om een deur te openen waardoor ze bij een laptop konden komen. Ze werden nooit betrapt, al mislukten wel enkele pogingen. Vals gewekt vertrouwen blijkt volgens het onderzoek een bedreiging te zijn voor de beveiliging van persoonlijke eigendommen maar zeker ook voor organisaties, waar dan ook. (bron)
Social engineering bestaat natuurlijk al jaren en we worden al jaren beïnvloed door allerlei factoren. Sterker nog daar zijn speciale branches voor in het leven geroepen zoals de marketingbranche, de reclamebureaus maar ook de psychologie bestaat daar voor een groot deel uit.
Als we mensen kunnen beïnvloeden dan kunnen we daar resultaten mee bereiken. We kunnen onze omzet er door laten groeien of kunnen mensen bijvoorbeeld van allerlei fobieën af helpen. Op zich prima allemaal, maar ook voor minder legitieme doelen kan de mens bespeeld worden (en of jij marketing en reclame een legitiem doel vindt, mag je dan zelf bepalen).
Het is natuurlijk al jaren bekend dat als je een laptop wilt stelen uit een bedrijf je er beter 10 tegelijk mee kunt nemen. Trek je overall aan, regel een karretje en zet daar 10 laptops op. Grotere kans dat de bewaker de deur voor je opent dan dat je onhandig met 1 laptop naar buiten wilt glippen. Hoe je dan binnen komt? Ach, ook daar zijn genoeg mogelijkheden voor. Regel 10 lege laptop dozen en geef aan dat je ze komt omruilen voor de oude laptops in het gebouw. Of loop mee met degene die net even een sigaretje zijn gaan roken buiten het gebouw. Overigens wil ik je nergens toe aanzetten. Want best leuk dat iemand zo’n onderzoek uitvoert, maar als je het niet goed regelt (door vooraf bijvoorbeeld toestemming te krijgen van het bedrijf) dan ben je gewoon illegaal bezig. Nu maar hopen dat er niemand wetenschappelijk uit gaat zoeken hoe makkelijk het is om iemand te vermoorden of te verkrachten.
Hoe opvallender je het doet, hoe kleiner de kans lijkt dat je er voor gepakt wordt. Dat geldt niet alleen binnen bedrijven maar ook voor simpelere zaken als winkeldiefstal. Een brutaal mens heeft de halve wereld, dat is al jaren zo en dat zal wel altijd zo blijven.
De conclusie is echter wat erg sterk neergezet. Conclusie: je kan nog zo’n goed beveiligingssysteem hebben, menselijk gedrag geeft uiteindelijk de doorslag. Tenzij je systeem natuurlijk puur als technisch iets ziet. Wat mij betreft horen ook de procedurele en organisatorische maatregelen tot het systeem. En regel je dat goed in dan houdt deze conclusie geen stand (maar ook dat is theorie, want in de praktijk blijft het voorlopig gewoon mogelijk).