Column


Column Rémon van Riemsdijk:

Culture eats security for breakfast

Wie nu het boek ‘Ghost in the wires’ leest van Kevin Mitnick over zijn belevenissen als hacker in de late jaren ’80 en vroege jaren ’90 van de vorige eeuw, zal merken dat de technologische hacks uiterst gedateerd overkomen; inbelverbindingen en telefoonmodems gebruiken om te hacken is pure nostalgie voor de gerespecteerde security professional anno 2016.

Grappig genoeg is de hacker van weleer, Kevin Mitnick, inmiddels een zeer gerespecteerde security professional. Dit geldt ook voor Frank Abagnale, auteur van het autobiografische boek 'Catch me if you can', waarin hij avontuurlijk zijn belevenissen als een hacker avant la lettre beschrijft in het met ponskaarten, cheques en lijm manipuleren van bancaire systemen middels opgedane systeemkennis van de bancaire ‘backbone’ en door slimme ‘reverse engineering’ en tevens manipulatie van de zwakheden van het systeem. Ook Frank Abagnale werd uiteindelijk een security professional.

Al met al stelde hun technische skills, zowel toen als nu, niet heel veel voor. Hun succes zat 'm dus ook niet in uitzonderlijke technische vaardigheden. En dat hoeft ook niet. De beste manier om een zwaar beveiligd object binnen te dringen was toen en ook nu wanneer iemand van binnenuit de deur even voor je openhoudt.

Hulp van binnenuit
Maar hoe wapen je je het best tegen ‘medewerking’ van binnenuit aan hackers of andere kwaadwilligen? Protocollen, beveiliging, camera’s en firewalls? Helaas niet. Een rolletje plakband en een schaar kunnen genoeg zijn om hightech beveiliging te omzeilen indien er van binnenuit hulp geleverd wordt. Maar hoe voorkom je dat er van binnenuit hulp geboden wordt aan kwaadwillenden?

Kortweg kun je hulp van binnenuit onderverdelen in bewuste en onbewuste hulp. Bewust betekent dat er een medeplichtige binnen de muren zit en onbewust betekent dat er via spoofing en dan vooral social engineering toegang wordt verleend aan iemand die aannemelijk heeft kunnen maken dat hij of zij naar binnen mag.

Sociale relaties
De oplossing? Sociale cohesie binnen een bedrijf. Het is dikwijls gebleken dat bedrijven die een goede sfeer kennen en waarbij collega’s oog voor elkaar hebben, het veel moeilijker is om ongemerkt iemand ‘om te praten’ of ‘om te kopen’.

Second best zijn trainingen en opleiding om bewustwording te verkrijgen of te vergroten. De houdbaarheid van training is recht evenredig met de sociale cohesie binnen een bedrijf. Binnen een bedrijf met een zeer negatieve, politieke bedrijfscultuur zal de uitwerking van de training niet in maanden maar in minuten te meten zijn.

En zoals Kevin Mitnick opmerkte: “Technology only is never the answer.” En daar heeft hij gelijk in. Techniek kan niet voorkomen dat de medewerker met bijna dezelfde voor- en achternaam als de CEO vertrouwelijke informatie ontvangt. Met een gezonde bedrijfscultuur is het minder waarschijnlijk dat er hier misbruik van gemaakt wordt.


Lees meer over