Niemand geeft zomaar zijn huissleutel aan een vreemde. Het wachtwoord van de computer is echter een stuk minder heilig. En daar maken kwaadwillenden dankbaar gebruik van. De mens is uiteindelijk de zwakste schakel in computerbeveiliging, dat bewijst social engineering.

"Social Engineering is een techniek waarmee mensen overtuigd worden om gegevens te verstrekken waardoor ongeautoriseerde personen toegang krijgen tot bedrijfsinformatie”, zegt Trajce Dimkov, Security Consultant bij Deloitte en gepromoveerd op het onderwerp social engineering.

Anders dan bij hacking wordt bij social engineering dus geen aanval gedaan op de techniek, maar wordt de mens gebruikt als sleutel. En uit ervaring weet Dimkov hoe eenvoudig het is om je - op een 'sociale’ manier - toegang te verschaffen tot gegevens die niet voor derden bestemd zijn.

Hij liet bij wijze van wetenschappelijk experiment ooit dertig laptops stelen. En niet door mannen met bivakmutsen, maar door studenten, midden op de dag. Ze pakten ze gewoon van tafel, of ze deden zich voor als technici en namen de computers mee 'voor onderhoud'.

Ketting

En dat terwijl de testgroep, die zonder het te weten deze laptops voor het experiment had gekregen, duidelijk verteld was de laptop altijd aan een ketting vast te maken en hun laptop bij afwezigheid te vergrendelen met een wachtwoord.

Het onderzoek van Dimkov bewijst dat een bedrijf uitstekende beveiligingssystemen kan hebben, maar dat cyber security valt of staat of bij menselijk gedrag.

Helpdesk

De methodes die gebruikt worden bij social engineering zijn divers: als een helpdesk je belt en je naar je wachtwoord vraagt, ben je geneigd die te geven. Maar is het wel de helpdesk die belt? Dat vriendelijk klinkende mailtje open je natuurlijk. Maar is de boodschap wel zo aardig bedoeld?

En hoe vaak loop je niet even weg van je bureau en is de weg vrij voor een wolf in schaapskleren die eens rustig je computer door kan spitten. Dat gebeurt jou niet? "Bij de bedrijven die wij getest hebben, bleek het in alle gevallen mogelijk om middels social engineering toegang te krijgen tot gegevens die niet voor onze ogen bestemd zijn."

Duidelijke regels

Het kan dus iedereen gebeuren, altijd. En dat is ook de kernboodschap van Dimkov. "Wees je bewust van de gevaren." Eigenlijk is bewustzijn en -wording volgens hem het enige medicijn tegen social engineering. En daarom is het van belang dat er binnen bedrijven duidelijke regels worden opgesteld over cyber security en over physical security en dat deze regels strikt worden nageleefd.

"Bewustzijn creëer je niet door mensen zeven dagen op een cursus te sturen en het daarbij te laten. Van de tien cursisten, vervallen er zeven ongetwijfeld in het oude gedrag", aldus Dimkov.

De promotus merkt wel dat informatiebeveiliging een steeds hogere plaats op de agenda krijgt bij bedrijven. En toch is er volgens hem nog een wereld te winnen: "Bedrijven worden steeds meer volwassen op het gebied van cyber security, maar physical security staat nog in de kinderschoenen.”