Elke organisatie richt zijn systemen en processen zo in om zo goed mogelijk beveiligd te zijn. Maar daarmee ben je er niet. Bij publieke instanties speelt de mens een belangrijke rol. Er is vaak een open cultuur, maar in die mooie goedheid en gastvrijheid zit ook een kwetsbaarheid. En kwaadwillenden maken hier vaak misbruik van.
Lees verder
Gebouwen van publieke instanties zijn vaak heel toegankelijk. Soms zitten er zelfs meerdere instanties in één pand, waardoor het niet in één opslag duidelijk is wie er wel en niet thuishoort. De mensen die er werken zijn vaak heel gastvrij en behulpzaam. Daar zijn de kwetsbaarheden meestal hoog. Het gedrag van de medewerker bepaalt uiteindelijk of de gestelde regels uit de processen werken en of de techniek echt zo goed beveiligd is als het is ingeregeld.
Vertrouwelijke informatie
Bij publieke instanties is veel vertrouwelijke informatie te behalen. Denk aan persoonsgegevens zoals kopieën van paspoorten, adresgegevens en BSN nummers waarmee identiteitsfraude gepleegd zou kunnen worden. Maar denk ook aan andere gevoelige informatie over bijvoorbeeld langlopende contracten en aanbestedingen waarmee een kwaadwillende voordeel zou kunnen behalen. Om de vertrouwelijke informatie te beschermen is er veel aandacht voor de technische en organisatorische beveiliging, maar is dit wel voldoende?.
In deze video laten een psycholoog en een ethical hacker van Hoffmann zien hoe zij in een Red Teaming actie op creatieve wijze hun specialistische kennis van techniek en psychologie combineren, in een poging om de beveiliging van publieke instanties te omzeilen. Wat maakt deze organisaties zo kwetsbaar en hoe gaat het Red Team van Hoffmann te werk om deze kwetsbaarheden bloot te leggen? Zij leggen de kwetsbaarheden bloot om met de bevindingen de beveiliging naar een hoger niveau te tillen.
Informatieveiligheid onderdeel van jaarcyclus
Om de informatieveiligheid optimaal te kunnen regelen, moet het een integraal onderdeel worden van de jaarcyclus. Het is niet een eenmalige actie of check die je uitvoert, waarna alles weer voor lange tijd geregeld is. Veiligheid hoort permanent op de bestuursagenda, met periodiek aandacht voor beleid, techniek en zeker ook de mens.
Realistisch testen van beveiliging
Een waardevol onderdeel van deze cyclus is om de informatieveiligheid te laten testen. Red Teaming biedt deze mogelijkheid. Zo weet je precies waar de kwetsbaarheden zijn en waar je op korte termijn prioriteit aan zou moeten geven om de beveiliging te verbeteren.
Een Red Teaming-actie wordt in overleg opgesteld. De inzet is altijd een realistische aanval, gebruikmakend van de nieuwste technieken die kwaadwillenden ook zouden gebruiken, zodat de test realistisch, relevant en raak is. Zo ontdekt ons Red Team in 9 van de 10 oefeningen kritieke kwetsbaarheden in het op het oog goed georganiseerde beveiliging.
Bij een ultieme Red Teaming-oefening wordt niet alleen gebruik gemaakt van ‘gaten’ in de techniek, maar de Red Team leden kunnen zich ook voordoen als een monteur of installateur om zich toegang tot een gebouw te verschaffen. Ze kunnen medewerkers bellen om belangrijke informatie te verkrijgen, of zelfs met een vals cv de organisatie binnendringen. De fysieke wereld wordt gecombineerd met de digitale. En dit alles zodat u voorbereid bent op een echte aanval. Zodat u op het juiste moment kunt meebewegen.
Dit artikel is gesponsord door Hoffmann.
