Om zekerheid te krijgen over de werking en de effectiviteit

Transcriptie

1 Artikel Fysieke toegangsbeveiliging: fysieke penetratietest Bent u bang voor inbrekers? Bij het treffen van fysieke beveiligingsmaat regelen ligt de focus meestal op technische maatregelen, zoals het plaatsen van camera s en toegangspaskaart lezers. De medewerkers die in het gebouw werkzaam zijn, vormen een onderbelicht risico. Uit ervaring blijkt dat de meest geavanceerde technische beveiligingsmaatregelen kunnen worden doorbroken door een meer traditionele vorm van inbraak, in de vorm van ongeautoriseerde fysieke toegang. Hoe anticiperen de medewerkers van uw organisatie als een monteur een brand blusser komt afleveren, terwijl dit bezoek niet van tevoren is aan gekondigd? Wordt deze persoon alsnog doorgelaten, of worden vragen gesteld om te controleren of deze persoon wel is wie hij beweert te zijn? U denkt de fysieke toegangsbeveiliging onder controle te hebben, maar is dat in de praktijk ook zo? Mr. S.M. Zegers RE is werkzaam als beveiligings adviseur bij het ministerie van justitie in arrondissement Arnhem. Voorheen is zij werkzaam geweest bij de Specialized Technical Services groep van Ernst & Young EDP Audit in Utrecht en veelvuldig coördinerend en uitvoerend betrokken bij het beoordelen van fysieke toegangsbeveiliging. Om zekerheid te krijgen over de werking en de effectiviteit van de getroffen maatregelen op het gebied van fysieke toegangsbeveiliging, kan een fysieke penetratietest door een onafhankelijke partij een eye-opener zijn. Bij een fysieke penetratietest proberen deskundigen een gebouw of bepaalde ruimtes in een gebouw binnen te komen zoals een inbreker dat zou kunnen doen, maar dan zonder schade aan te brengen. Getest wordt of vertrouwelijke informatie en beschermde objecten toegankelijk zijn voor onbevoegden en eventuele zwakheden in zowel mensen als processen worden geïdentificeerd. Deze methode van toetsen, is zeer realistisch en de resultaten van het onderzoek kunnen erg verrassend zijn. In dit artikel wordt eerst ingegaan op de problematiek van een sluitende fysieke toegangsbeveiliging. Vervolgens komen de werkwijze en de aandachtspunten van een fysieke toegangstest aan bod. Tenslotte laten we zien hoe een fysieke toegangstest kan bijdragen tot een hoger beveiligingsniveau. Waarom stelen als je het ook kunt vragen? Iedere organisatie beschikt over zaken die niet voor de buitenwereld toegankelijk behoren te zijn. Zoals dossiers van klanten, personeelsgegevens of andere bedrijfskritische informatie. Tevens heeft iedere organisatie een aantal wettelijke verplichtingen (onder andere op het gebied van de Wet Bescherming Persoonsgegevens en de Wet Computercriminaliteit) die om een zeker niveau van beveiliging vragen. Voor netwerken of internetkoppelingen wordt tegenwoordig vaak gebruik gemaakt van zogenaamde legal hacks om deze risico s in kaart te brengen. Bijvoorbeeld door vanuit de positie van een willekeurige derde te proberen via het Internet ongeautoriseerd toegang te verkrijgen tot interne systemen. Bij dit type testen, ook wel penetratietesten genoemd, wordt gebruik gemaakt van dezelfde methoden en technieken die hackers hanteren. Uit onderzoek blijkt echter dat de meeste inbraken op geautomatiseerde systemen niet van buitenaf via internet plaatsvinden, maar van binnenuit bijvoorbeeld door of met behulp van eigen medewerkers. Kwaadwillende personen kiezen over het algemeen de eenvoudigste weg. Indien toegang via Internet lastig is door allerlei technische beveiligingsmaatregelen, wordt gekeken naar andere manieren. Bijvoorbeeld door via inbraak toegang te verkrijgen tot het gebouw en daarmee tot het interne netwerk of vertrouwelijke gegevens van de organisatie. Het nadeel hiervan is dat bij een inbraak over het algemeen braakschade ontstaat en sporen worden achtergelaten, waardoor de ongeautoriseerde toegang (achteraf) wordt opgemerkt. Tegenwoordig wordt daarom steeds meer gebruik gemaakt van zogenaamde social engineering technieken om toegang te krijgen tot 17 de EDP-Auditor nummer

2 een gebouw, of vertrouwelijke informatie. Onder social engineering wordt verstaan mensen te misleiden en zo gewenste (vertrouwelijke) informatie te verkrijgen. De boosdoener doet zich voor als iemand anders, bijvoorbeeld als een collega van een andere locatie, en probeert op deze wijze ongeautoriseerde toegang te krijgen tot vertrouwelijke informatie in het gebouw. Gevoel van veiligheid Veel organisaties hebben diverse technische en organi satorische toegangsbeveiligingsmaatregelen getroffen om dergelijke ongewenste bezoekers buiten de deur te houden. Enkele voorbeelden hiervan zijn: beveiligingsmedewerkers of receptionisten houden toezicht op de hoofdingang; videocamera s bewaken het terrein en de ingangen tot het gebouw; bezoekers worden aangemeld, voorzien van een bezoekerspas en opgehaald door een contactpersoon van de eigen organisatie (haal- en brengplicht); toegangspaskaartlezers voorkomen toegang tot de beveiligde gebieden en het zichtbaar dragen van een toegangspas met foto zorgt ervoor dat onbevoegdenherkenbaar zijn. Organisaties steunen echter vaak ten onrechte op de aanwezigheid van deze procedures en technische toegangsbeveiligingsmaatregelen. Waar zitten de zwakheden en wat zijn de gevolgen ervan voor de organisatie? Hierna volgen enkele voorbeelden. Uit de toelichting blijkt dat deze in de praktijk niet altijd werken. De organisatie gaat er vanuit dat ongewenste bezoekers bij de hoofdingang worden tegengehouden. De leveranciersingang en de personeelsingang van het gebouw bevinden zich echter veelal buiten het zicht van de bewakingsdienst of receptie; De organisatie vertrouwt erop dat pogingen van ongewenste bezoekers worden opgemerkt omdat camera s bij alle ingangen van het gebouw zijn geplaatst. De beelden van deze camera s worden in veel gevallen weergegeven op enkele kleine zwart-wit monitors. Het is echter onmogelijk om de hele dag alle beelden te bekijken en niet alle ingangen zijn continue zichtbaar door het rouleren van de beelden tussen de verschillende camera s. Bovendien worden deze beelden niet altijd opgenomen om eventueel later te bekijken in geval van een incident; Mensen zijn van nature best behulpzaam en zijn geneigd een bezoeker die niet geheel aan de voorwaarden voldoet omdat zijn of haar bezoek niet is aangemeld of hij of zij niet beschikt over een toegangspas alsnog toegang te verlenen; Een onbevoegde bezoeker in het gebouw valt op de afdeling niet op omdat regelmatig externe medewerkers over de vloer komen en een nieuw gezicht weinig vragen meer oproept. Met name als je met twee per sonen in het gebouw loopt wordt je weinig aangesproken door medewerkers; Ongeloofwaardig? Mensen zijn van nature geneigd om anderen te vertrouwen en beseffen vaak niet wat de waarde is van de informatie waarover zij beschikken, zij zijn er niet op bedacht dat zij doelwit kunnen zijn. De tester doet zich voor als een medewerker van de helpdesk en belt een willekeurige medewerker op met de mededeling dat een nieuwe versie van de programmatuur voor netwerkproblemen zorgt. Hij vraagt de gebruiker om zijn of haar gebruikersnaam en wachtwoord om te controleren of de problemen opgelost kunnen worden. De kans is groot dat deze medewerker doet wat hem of haar wordt gevraagd. Gaat u eens na of dit in uw eigen organisatie ook zou kunnen gebeuren? Ook in de media worden regelmatig vergelijkbare praktijk testen uitgevoerd om risico s in de fysieke toegangs beveiliging aan te tonen. Onlangs is een test uitgevoerd door een actualiteitenprogramma om te kijken of het mogelijk was het Binnenhof binnen te komen. De tester trok een witte overal aan en deed zich voor als een schilder die met een ladder op het dak bezig was. Toen de schilder op het raam klopte werd deze persoon zo binnengelaten in de beveiligde gebieden. Om te kijken hoe het met de beveiliging in ziekenhuizen is gesteld, heeft een cameraploeg in het verleden onopgemerkt een lijk kunnen meenemen uit een ziekenhuis. Wat is een fysieke penetratietest? Door middel van een fysieke penetratietest is het mogelijk inzicht te krijgen in de werking en de effectiviteit van het geheel van organisatorische en technische toegangsbeveiligingsmaatregelen. Ook de eventuele detectie van ongeautoriseerde toegangspogingen en het beveiligingsbewustzijn (kennis, houding, gedrag) van de medewerkers worden in de test meegenomen. Vanuit de directie zijn richtlijnen opgesteld, maar in hoeverre zijn de medewerkers op de werkvloer hiermee bekend? Hoe wordt omgegaan met communicatie rondom informatiebeveiliging, bereikt deze de medewerker ook? Werken procedures voor het melden van beveiligingsincidenten ook echt en hoe reageren medewerkers als een onbekende om vertrouwelijke informatie vraagt? Andere vragen die beantwoord kunnen worden, zijn: hoe gaan medewerkers om met de wachtwoordbeveiliging op de werkplek als zij deze even verlaten? Wordt vertrouwelijke informatie aangetroffen op aanwezige printers? Een fysieke penetratietest is geen volledige audit. Het doel van een fysieke penetratietest is een momentopname te maken van de dagelijkse praktijk om te beoordelen of het gewenste beveiligingsniveau bereikt wordt. Ter vergelijking, een traditionele audit kan gezien worden als een videoopname en de fysieke penetratietest als een foto. Door het geheel aan maatregelen op het gebied van technische, organisatorische en fysieke toegangsbeveiligingsmaatregelen in totaal en in samenhang te beoordelen, kunnen nieuwe risico s aan het licht komen die bij een reguliere audit wellicht onopgemerkt zouden blijven. Bij een reguliere audit zijn betrokken medewerkers veelal op de hoogte van het onder- 18 de EDP-Auditor nummer

3 zoek en kunnen zij zich voorbereiden waardoor het kan zijn dat de resultaten niet geheel representatief zijn voor de normale werksituatie. Ook beperkt een traditionele audit zich vaak tot een deelgebied, enkel technische maatregelen, of procedures waardoor gecombineerde risico s niet aan het licht komen. Zo kan blijken dat het mogelijk is om via de fietsenkelder het gebouw binnen te komen omdat deze deur enige tijd openblijft nadat een eigen medewerker hierdoor naar binnengaat. Als vervolgens de procedures voor het verkrijgen van een toegangspas niet waterdicht zijn, kan een onbevoegde van binnenuit onopgemerkt in het bezit van een toegangspas komen. Omdat de fysieke toegangsbeveiliging van gebouwen of kritische ruimten een steeds belangrijker rol in de totale beveiliging speelt, worden EDP- Auditors regelmatig betrokken bij de beoordeling van de fysieke toegangsbeveiliging binnen een organisatie. Grenzen en werkwijze Het informatiebeveiligingsbeleid en aanwezige beveiligingsrichtlijnen van de organisatie vormen het uitgangspunt voor het testplan. Samen met de opdrachtgever worden vooraf het doel en de globale werkwijze afge sproken en vastgelegd in een testplan. De selectie van het object van onderzoek en de scope van het onderzoek geschiedt op basis van een risicoanalyse. Dit kan een gebouw zijn, maar ook een gedeelte van het gebouw, of een bepaalde afdeling. Het testplan en de daarin opgenomen testscenario s vormen de basis voor de testen en geven de grenzen aan bij de uitvoering. Het is belangrijk om voorafgaand met de opdrachtgever heldere afspraken te maken zodat aanvaardbare grenzen niet worden overschreden. Mogen bijvoorbeeld wel of geen vertrouwelijke documenten worden meegenomen, welke hoedanigheden kunnen worden aangenomen? Wat zal de tester tijdens zijn bezoek trachten voor elkaar te krijgen? Hierbij kan gedacht worden aan het betreden van verboden ruimtes, het achterhalen van wachtwoorden of het verkrijgen van bepaalde dossiers. Omdat het verloop van de uitvoering in grote mate afhankelijk is van de omstandigheden op het moment dient wel voldoende tijd en ruimte beschikbaar te zijn voor improvisatie binnen de gestelde grenzen. De regels op het gebied van medezeggenschap dienen in acht te worden genomen indien wordt besloten tot een fysieke penetratietest. De test kan ook invloed hebben op de privacybescherming van de medewerkers. Mede werkers kunnen persoonlijk in aanraking komen met de testers en dit kan achteraf tot woede of onbegrip leiden omdat zij zich belazerd voelen. Dit risico kan worden verminderd door voorafgaand alle medewerkers goed te informeren over de afspraken en richtlijnen op het gebied van informatiebeveiliging en waarom het belangrijk is deze na te leven. Door alle medewerkers te wijzen op de mogelijkheid van het plaatsvinden van dergelijke testen komen deze niet koud uit de lucht vallen. Door tegelijkertijd de exacte datum niet prijs te geven, is onbekend in welke periode de test zal plaatsvinden zodat medewerkers zich niet kunnen voorbereiden op de test. Ook een fiets, een werkoverall en een doos met appelflappen behoren tot te mogelijkheden Om zo realistisch mogelijk de werking van de fysieke toegangsbeveiliging te beoordelen, wordt de test uitgevoerd door deskundigen die vooraf geen kennis hebben van de organisatie en/of de gebouw(en), anders dan publiek verkrijgbare informatie, zoals bijvoorbeeld via websites. Door beschikbare publieke informatie mee te nemen in de test kan duidelijk worden dat ogenschijnlijk onschuldige informatie voor een kwaadwillende van onschatbare waarde kan zijn. Denk bijvoorbeeld aan werkmethodes of typisch jargon genoemd in een gepubliceerd interview met de projectleider van een implementatie van een nieuw ERP-pakket. Een boosdoener zal ook eerst alle mogelijke informatie verzamelen voordat daadwerkelijk contact wordt gelegd met het doelwit. De fysieke penetratietest start met een observatie van het gebouw en de omgeving vanuit de positie van een willekeurige derde. Tijdens de observatie worden de eventuele zwakke plekken in de beveiliging zoveel mogelijk geïdentificeerd. De ingangen worden in kaart gebracht, eventuele aanwezigheid van camera s, maar ook hoe laat de medewerkers beginnen en welke huisleveranciers langskomen. Met deze informatie wordt de strategie bepaald voor de fysieke penetratietest. Hier wordt ook bepaald welke zaken worden meegenomen voor de uitvoering van de scenario s. Denk hierbij aan een pasfoto en een schaar om eventueel een eigen toegangspas te maken die lijkt op de kaarten die door de organisatie worden gebruikt. Maar ook een fiets, een werkoverall of een doos met appelflappen kunnen tot de mogelijkheden behoren. Vervolgens wordt op basis van het testplan en de bepaalde strategie getracht om daadwerkelijk ongeautoriseerd toegang te verkrijgen tot het gebouw. Hierbij is de nodige 19 de EDP-Auditor nummer

4 Verbeterpunten liggen vooral op het gebied van het beveiligingsbewustzijn creativiteit belangrijk. In eerste instantie zal alleen getracht worden om het gebouw onopgemerkt binnen te komen. Als een ongewenste bezoeker ongezien het gebouw is binnengekomen, wat dan? Kan deze bezoeker ongestoord zijn zoektocht voortzetten, of wordt hij steeds geconfronteerd met vragen van medewerkers of afgesloten deuren? Indien de bezoeker kan gaan en staan waar hij wil, wordt verder gezocht naar kritische informatie of ruimtes in het gebouw. Is het met of zonder hulp van medewerkers mogelijk om deze te betreden? Het is ook belangrijk om afspraken te maken over wat te doen indien een bezoeker wordt ontmaskerd. Wordt het onderzoek voortgezet of afgebroken? Maar ook hoe de bezoeker kan aantonen dat hij in opdracht van de directie handelt. Indien zonder toestemming van de opdrachtgever wordt getracht de beveiliging te doorbreken door het aannemen van een valse hoedanigheid of onder valse voorwendselen pleegt men een strafbaar feit. Een juridische verklaring kan handig zijn om problemen op dit gebied voorkomen. Een aparte geheimhoudingsverklaring of aanvullende screening kan wenselijk zijn omdat de bezoeker in aanraking kan komen met zeer vertrouwelijke informatie. Alle uitgevoerde activiteiten worden gedetailleerd vast gelegd in een dossier. Om eventuele aanwezigheid achter af te bewijzen, worden aangetroffen situaties (indien mogelijk) met behulp van digitale fotocamera of video opname vastgelegd. Ook wordt na afloop bij de opdrachtgever geïnformeerd of meldingen zijn binnen gekomen van medewerkers die de ongeautoriseerde bezoeker hebben opgemerkt. Deze incidentmeldingen worden ook meegenomen bij de analyse van de resultaten van het onderzoek. Na afloop worden alle bevindingen zorgvuldig geanalyseerd en in een conceptrapportage verwerkt. Hierbij wordt veel aandacht besteed aan het recht op privacybescherming van werknemers. Zo worden situaties zoveel mogelijk anoniem opgenomen om te voorkomen dat een mede werker bijvoorbeeld wordt ontslagen omdat hij of zij zich niet aan de afspraken heeft gehouden. Het is uitdrukkelijk niet het doel van een dergelijke test om individuele medewerkers te straffen. De rapportage geeft duidelijk weer welke testen zijn uitgevoerd, welke tekortkomingen zijn aangetroffen en welk risico de organisatie daardoor loopt. Ten slotte worden adviezen ter verbetering gegeven om eventuele risico s op te heffen. Hoe verder? De ervaring leert dat een geslaagde fysieke penetratietest veel impact heeft omdat de gevolgen van geconstateerde beveiligingslekken duidelijk worden aangetoond. Ook als organisaties van tevoren vermoeden dat de fysieke toegangsbeveiliging niet optimaal is en mogelijk vertrouwelijke informatie toegankelijk is, schrikken managers en medewerkers toch van de resultaten. Een presentatie met afbeeldingen van aangetroffen personeelsdossiers of zeer vertrouwelijke stukken maakt veel indruk en leidt ertoe dat medewerkers (in ieder geval tijdelijk) alerter worden op het belang van beveiliging. Na analyse van de resultaten blijken de verbeterpunten voor veel organisaties op het gebied van beveiligingsbewustzijn te liggen: Maak medewerkers attent op de gevaren door de resultaten van de fysieke penetratietest bekend te maken op bijvoorbeeld intranet. Informeer medewerkers welke informatie vertrouwelijk is en welke afspraken zijn gemaakt over het verstrekken van Ter illustratie enkele praktijkvoorbeelden van tijdens de testen aangetroffen situaties: gebruikersnamen en wachtwoorden op memo s onder bureaumat, bureauagenda of bovenste lade. Er lijkt een verband te zijn tussen de status van de werkplek en de aanwezigheid van wachtwoorden: hoe gezelliger de kamer, hoe groter de kans op het aantreffen van wachtwoorden op de werkplek. bij de aanvraag van een bezoekerspas werd na aandringen van de tester een toegangspas zonder beperkingen verstrekt; onopgemerkt een grote groep mensen via de leveranciersingang in het gebouw kunnen loodsen; ongeautoriseerd een interview houden met een systeembeheerder en gezamenlijk de computerruimte doorlopen om per systeem de functie en getroffen beveiligingsmaatregelen door te nemen; een cijfercode paneel waarvan een 4-tal cijfers een stuk donkerder gekleurd waren ten opzichte van de overige cijfers vermoedelijk omdat de cijfercode gedurende lange tijd ongewijzigd is. 20 de EDP-Auditor nummer

5 deze informatie aan onbekenden. Het is voor medewerkers veel eenvoudiger om te weigeren bepaalde informatie te verstrekken als het beleid hierover helder is. Benadruk dat het belangrijk is om de identiteit van een aanvrager te controleren voordat vertrouwelijke informatie wordt vrijgegeven. Ook op het gebied van technische maatregelen blijkt vaak veel te verbeteren: Voorkom dat de voorkant hermetisch is afgesloten terwijl de personeelsingang of leveranciersingang aan de achterzijde van het gebouw slecht beveiligd is; een ketting is zo sterk als de zwakste schakel. Het is ook mogelijk dat in de loop der tijd door interne verhuizingen of verbouwingen in het verleden geïmplementeerde maatregelen niet meer correct functioneren. Een goed voorbeeld hiervan vormen bewegingsmelders die geen zicht meer hebben op de ruimte doordat in de loop de tijd een kast voor het gezichtsveld is geplaatst. Zorg ook in het gebouw voor een zonering waarbij de kritische ruimtes zijn voorzien van extra beveiligingsmaatregelen als een speciaal autorisatieniveau. Maatregelen als een clean desk, automatische screen saver met wachtwoordbeveiliging zijn belangrijk om te voorkomen dat alle informatie vrij toegankelijk is mocht de buitenschil worden doorbroken. Elke ongewenste toegang voorkomen, is in de praktijk niet mogelijk. Voor een goede beveiliging is het belangrijk dat zowel organisatorische als fysieke beveiligingsmaat regelen zijn getroffen om kwaadwillenden buiten de deur te houden. Zorg ervoor dat deze in balans zijn met elkaar, dat de eigen medewerker niet wordt vergeten en dat er sprake is van een gelaagdheid zodat ook eenmaal binnengekomen in het gebouw steeds nieuwe hindernissen moeten worden overwonnen door een ongewenste bezoeker. Door periodiek een buitenstaander naar het geheel van maatregelen in samenhang te laten kijken, komen resterende zwakke plekken naar boven en kan door een relatief kleine inspanning een beter niveau van fysieke toegangsbeveiliging worden bereikt. Noten 1 Zie Ernst & Young Global Security Survey Pentasafe Security Awareness Index Report 2002, bijna 60% van de ondervraagden geeft aan het wachtwoord aan een netwerk administrator af te geven indien deze erom zou vragen. ADVERTENTIE Vooruit denken Strategie voor uw eigen toekomst Erasmus Universiteit Rotterdam. Vooruit denken. Internal/Operational Auditing (RO) (EMIA) Internal/Operational Auditing richt zich op meer dan beheersing alleen. Het richt zich in onze visie op het functioneren van de gehele management control cyclus, waaronder de risico s die het behalen van doelstellingen in de weg kunnen staan. Het leervermogen staat voor de auditor voorop. De internal auditor is expert op het gebied van risico en beheersing. Voor Accountants (RA), EDP-Auditors (RE) of Controllers (RC) duurt de opleiding ruim een jaar. De opleidingsduur voor kandidaten met een universitair of HBO-diploma is afhankelijk van de vooropleiding en bedraagt anderhalf of twee jaar. Denk vooruit en kijk voor meer informatie op 21 de EDP-Auditor nummer