Column/ De zwakste schakel /1 reactie

Column: Wilfred van Roij

Na een loopbaan van 25 jaar bij politie Nederland, waarvan de laatste 10 jaar als tactisch (digitaal) rechercheur, heeft Van Roij in mei 2007 de overstap gemaakt naar het bedrijfsleven. Hij is nu algemeen Directeur bij www.digitaleopsporing.nl Digitale opsporing heeft een eigen particulier recherchebureau en forensisch onderzoeksbureau en maakt onderdeel van de Securitygroep van Com-Connect. De unit 112Academy ook onderdeel van Com-Connect verzorgd opleidingen op het gebied van veiligheid.

Bij een groot bedrijf in het zuiden van het land was jaren gewerkt aan een nieuwe, duurzame milieutechnologie die zeer innovatief zou zijn. Enkele weken voordat men met het nieuwe product op de markt wilde verschijnen, kwam een Duitse concurrent met nagenoeg dezelfde technologie op de markt. Het werk van hackers?

Interesse

Omdat het bedrijf overtuigd was van een gerichte computeraanval op het bedrijfsnetwerk, werd de politie ingeschakeld. Na een langdurig rechercheonderzoek bleek dat het lek niet binnen het fysieke computernetwerk lag maar dat een van de managers al jaren contact had met iemand uit Duitsland.
De betreffende manager dacht dat hij en deze man alleen maar dezelfde interesse hadden in oldtimers van een bepaald Duits automerk. Dat de manager in de vele contacten van de laatste jaren met deze persoon meer had vrijgegeven dan alleen maar oldtimer wetenswaardigheden bleek al snel.

Menselijke factor

Al heeft een bedrijf de beste beveiligingstechnologie die er bestaat, zijn alle werknemers zo geïnstrueerd dat ze voor ze naar huis gaan alle gevoelige bedrijfsinformatie veilig opbergen en is er ook nog 24 uur per dag fysieke bewaking in en rondom het bedrijfsgebouw, toch blijft een bedrijf zeer kwetsbaar.
Waarom? Omdat de menselijke factor in de totale beveiliging altijd de zwakste schakel zal blijven.

Firewalls

Veel ICT-professionals en beveiligingsexperts vinden dat ze aanvallen op het bedrijfsnetwerk en dus ook de diefstal van bedrijfsinformatie vrijwel onmogelijk hebben gemaakt omdat ze standaard beveiligingsmiddelen zoals firewalls, virusscanners en detectiesystemen optimaal gebruiken. Maar wie denkt dat deze middelen voldoende zijn voor echte veiligheid, neemt genoegen met schijnveiligheid.

Social engineer

Wat vormt dan wel de grootste bedreiging voor de veiligheid in en om een bedrijf? De social engineer. Definitie van een social engineer volgens de Wikepedia:
Social engineering is een techniek waarbij een computerkraker een aanval op computersystemen tracht te ondernemen door de zwakste schakel in de computerbeveiliging, namelijk de mens, te kraken. De aanval is erop gericht om vertrouwelijke of geheime informatie los te krijgen, waarmee de hacker dichter bij het aan te vallen object kan komen.

Misleiding

Om deze vertrouwelijke of geheime informatie in bezit krijgen, gebruikt de social engineer misleiding. Een social engineer beschikt meestal over zeer goede sociale vaardigheden en is zo vriendelijk en behulpzaam dat de meeste werknemers blij zijn dat ze hem of haar zijn tegengekomen. Social engineers zijn charmant, beleefd en aimabel en weten meestal snel het vertrouwen van hun slachtoffer te winnen.

Zodra een social engineer het voor elkaar krijgt zijn slachtoffer te misleiden, beïnvloeden of manipuleren zodat deze gevoelige informatie prijsgeeft, is er geen technologie op deze wereld die een bedrijf - en dus de cruciale bedrijfsinformatie - kan beschermen.

Gedragsregels

De enige echt effectieve manier om de bedreiging van social engineers te verminderen is een reeks technologische middelen gecombineerd met beveiligingsprocedures die gedragsregels en protocollen vastleggen, plus een goede awarenesstraining en voorlichting voor de werknemers. Alleen getrainde, waakzame en zorgvuldige werknemers kunnen bedrijfsinformatie echt beveiligen.
En als het personeel deze bewustwording eenmaal bezit, zal er extra inspanning nodig zijn om deze werknemers op dat hoge niveau te houden.

Iedereen binnen een bedrijf moet ervan doordrongen zijn dat er gewetenloze criminelen bestaan die misleiden en psychologisch manipuleren. Zoals ik in een vorige column opmerkte: de oplichter die vroeger zijn activeiten op de hoek van de straat ontplooide, heeft die plek tegenwoordig verrruild voor een plaats achter de computer.

Wanneer

Zonder getrainde en alerte werknemers die goed ontwikkelde procedures en protocollen naleven is het dan ook geen kwestie van of, maar van wanneer een social engineer waardevolle bedrijfsinformatie van een bedrijf in handen zal krijgen. Het is geen overdreven luxe om tenminste veertig procent van het veiligheidsbudget in te zetten voor het bevorderen van waakzaamheid van werknemers.
Wachten op een aanval van een social engineer om pas daarna aan de slag te gaan met procedures en trainingen is geen optie. In 2008 zou de prioriteit binnen de totale bedrijfsbeveiliging dan ook moeten liggen bij de security awareness van de medewerkers.