Veel mensen denken bij een mystery guest direct aan iemand die anoniem de service-kwaliteit van een winkel beoordeelt en rapporteert. Wist u dat u ook een mystery guest kunt inzetten om inzicht te krijgen in de kwetsbaarheid van uw bedrijf op het gebied van informatiebeveiliging?
Om de IT-beveiliging van een bedrijf te beoordelen wordt vaak gekeken naar de security van het netwerk, het gevoerde beleid en het al-dan-niet veilige gedrag van de mensen in de organisatie. Dat veilige gedrag van mensen gaat echter véél verder dan de activiteiten achter het toetsenbord.
Alles wat “rondom” de werkplek gebeurt speelt namelijk ook een belangrijke rol bij de informatiebescherming en daarmee dus de continuïteit van het bedrijf. Denk bijvoorbeeld aan het slordig omgaan met bedrijfsinformatie die “voor het grijpen ligt”. In dat geval kun je de beste securitymaatregelen in je netwerk hebben geïnstalleerd, maar je blijft dan als bedrijf kwetsbaar.
Een mystery guest brengt deze kwetsbaarheden in beeld. Geloof me: de resultaten zijn verrassend, soms verbazingwekkend en vaak zorgwekkend.
Doel
Een mystery guest bezoek wordt altijd goed voorbereid in nauw overleg met de opdrachtgever. De mystery guest mag natuurlijk niet worden opgemerkt tijdens zijn/haar activiteiten. Het is de bedoeling dat de organisatie leert van de resultaten van het bezoek en de kwetsbaarheden van het bedrijf goed in kaart krijgt. Die kwetsbaarheden kunnen zowel door indringers maar ook door mensen van binnenuit (!) worden misbruikt. Het gaat overigens niet alleen over het misbruiken van informatie maar ook over de privacy van persoonsgegevens die binnen het bedrijf worden verwerkt. Iemand die niet betrokken is bij een sollicitatieprocedure mag bijvoorbeeld geen inzage hebben in een CV wat bij iemand op een bureau rondslingert.
Het beste resultaat wordt verkregen als de mystery guest het eindrapport zelf presenteert. De door de mystery guest gemaakte beelden (verborgen camera of foto’s) krijgen dan ook de juiste toelichting.
Toegang tot het bedrijf
De mystery guest gaat meestal naar het bedrijf als een onderhoudsmonteur, keurig netjes in bedrijfskleding en voorzien van een opdrachtbon inclusief logo. Er wordt eerst gekeken op welke manier er toegang verkregen kan worden in het pand. Zijn er open buiten(achter)deuren? Vaak kan de mystery guest simpel met iemand meelopen door een poortje of een deur waarvoor je een pasje nodig hebt (tail-gating). Over een toegangs-hekje stappen komt vaak voor waarbij meerdere omstanders geen vragen stellen.
In de hal of bij een receptie even naar het toilet. Als toegangspoortjes/hekjes buiten het zicht van de receptie is zo mogelijk over het hekje stappen of met iemand mee naar binnen lopen. Het is de dagelijkse praktijk van de mystery guest!
U kunt zich wel voorstellen: een mystery guest moet elke seconde van zijn bezoek alert zijn en constant improviseren. Je weet niet wat je tegenkomt. De mystery guest heeft ook veel ervaring.
En als de mystery guest eenmaal binnen is …
De mystery guest oriënteert zich door rond te lopen. Hij/zij let op papieren informatie, beeldschermen met open applicaties, gele post-its of “boekjes” met wachtwoorden, rapporten, kasten met informatie, informatie in vuilnisbakken, etc.
Wat treft de mystery allemaal aan ?
De mystery guest maakt foto’s van wat hij/zij aantreft. Bij een gemeente werden in een kast tientallen paspoorten gefotografeerd. In een CFO-kantoor werden overnameplannen aangetroffen. Personeelsdossiers bij HR. En dan maar te zwijgen over de hoeveelheid medische informatie in medische dossiers van bedrijven in de zorg.
Werkplekken met onbeveiligde werkstations
Bij gelegenheid wordt een onbemand systeem even snel doorzocht op termen als “wachtwoord” of “legitimatie”. Ook de wachtwoordlijsten in de (openstaande) browsers geven veel informatie. Een andere manier om wachtwoorden te verkrijgen is een “Keylogger” die achterin je computer wordt ingeplugd. Deze neemt alle toetsaanslagen op en stuurt ze door. Deze goedkope plug-ins (zie de foto hiernaast) worden zelden tot nooit opgemerkt.
Social Engineering voor professionals
Echt spannend wordt het natuurlijk als de mystery guest in contact komt met medewerkers. Er wordt dan geprobeerd om met een smoes “even” op zijn/haar computer te mogen. Vervolgens wordt er “per ongeluk” een lock van het systeem uitgevoerd (met toetscombinatie “Windows – L”) en dat brengt het gesprek direct naar de vraag “Wat is je wachtwoord?”. Je houdt het niet voor mogelijk hoeveel mensen dan hun wachtwoord zelf aan de mystery guest doorgeven.
Printers
Printers zijn ook interessant: Het geheugen bevat vaak zéér interessante en vertrouwelijke informatie. Als de mystery guest als ”Printer monteur” is binnengekomen is dit voor hem/haar een veilige plek om te zijn. Er is daar ook vaak tijd en de mogelijkheid om via de netwerkkabel van de printer een snelle netwerkscan uit te voeren om te controleren welke netwerk-poorten openstaan.
IT-afdelingen
De grootste successen worden behaald op de IT-afdelingen. Hier ligt het “goud” onder de informatie en IT-medewerkers hebben vaak overal toegang toe. Een memorabele situatie ontstond toen de mystery guest in een datacenter zonder enige schroom de sleutel van een kluis meekreeg waarin onder andere master-keys lagen en lijsten met wachtwoorden.
Of wat denkt u van een datacenter waarbij een hek door de facilitaire dienst met een smoes werd geopend. Vervolgens moest de mystery guest door een deur met een pincode. U raadt het al: 1234 en de deur was open. Eerlijkheidshalve werd dit wel opgemerkt en ontstond er een zoekactie naar de “indringer”.
Gaat het ook wel eens mis?
Eerlijk is eerlijk. Ja het gaat heel soms mis. Slechts een enkele keer is er sprake geweest van een “heterdaad”. Maar dat is dan wel een goed teken! De mystery guest heeft altijd een door de directie getekende brief bij zich dat hij/zij een mystery guest is.
Wilt u meer informatie ontvangen over de mogelijkheden van een mystery-guest bezoek? Laat dan even een bericht achter op https://www.kochconsultancy.nl/security-awareness/mystery-guest
Reactie plaatsen
Reacties