Gemeentes zijn de hoeksteen van onze samenleving; we wonen er en vertrouwen erop dat onze persoonsgegevens goed bewaard blijven en dat niet iemand met kwaad in de zin zomaar toegang heeft tot deze gegevens. Helaas blijkt uit recente ervaringen dat dit vertrouwen soms misplaatst is.
Social Engineering Testen bij Gemeentes
De afgelopen tijd ben ik steeds vaker gevraagd om Social Engineering testen uit te voeren voor gemeentes. Deze testen zijn gericht op het beoordelen van de beveiligingsmaatregelen en bewustzijn van medewerkers. Het voelt soms bijna als een spelletje Capture the Flag, waarbij ik specifieke doelstellingen moet behalen om de test als geslaagd te beschouwen. Deze doelstellingen kunnen variƫren van het betreden van een serverruimte tot het innemen van een werkplek en het uitvoeren van een netwerkscan, of zelfs het kopiƫren van een werknemerspas.
De Printers Repareren Truc
Een van de meest effectieve methoden die ik toepas, is mezelf voordoen als een technicus die de printers komt repareren of updaten. Printers hebben vaak problemen en over het algemeen zijn mensen erg blij als deze weer werken, wat deze truc bijna altijd succesvol maakt.
De Eenvoud van Binnenkomen
In de afgelopen testen bleek het echter wel heel eenvoudig te zijn om binnen te komen. Ik werd zelden gevraagd naar mijn naam of het bedrijf waarvoor ik zou werken. Ook werd er niet gecontroleerd of er wel iemand langs zou komen voor de updates. Dit is bijzonder, aangezien men een vreemde direct toegang geeft tot cruciale systemen en gegevens.
Eenmaal binnen heb ik vaak vrij spel; een netwerkkabel in mijn laptop biedt al snel toegang tot de rest van het netwerk. Een gekopieerde tag of pas geeft me toegang tot andere ruimtes en soms krijg ik zelfs hulp van de ICT-afdeling om toegang te krijgen tot de serverruimte.
Lessen die We Kunnen Leren
Uit deze ervaringen kunnen een paar tips worden gehaald:
- Vraag regelmatig wie iemand is en wat deze persoon komt doen. Dit zou een standaardprocedure moeten zijn om ongeautoriseerde toegang te voorkomen.
- Laat deze niet rondslingeren. Ze zijn de sleutel tot gevoelige ruimtes en systemen.
- Het implementeren van een NAC kan helpen bij het weren van vreemde apparaten in het netwerk, waardoor ongeautoriseerde toegang wordt beperkt.