Cybersecurity zonder fysieke beveiliging is gatenkaas

Bedrijven investeren steeds meer in digitale verdediging, maar vergeten soms de fysieke kant van de zaak. Terwijl juist daar vaak het eerste lek ontstaat. Informeer je medewerkers, voer beleid, en test regelmatig. Want wie zich alleen digitaal wapent, vergeet dat hackers soms gewoon door de voordeur naar binnen wandelen.

Hacktools: van Hollywood naar kantoorrealiteit – gehackt in 5 seconden

In films zien we spionnen een USB-stick inpluggen waarna een lampje knippert en de computer gekaapt is. Maar dit is allang geen fictie meer. Deze tools bootsen toetsenborden na en voeren in enkele seconden scripts uit, zonder dat het slachtoffer iets merkt. USB-sticks van Keelog of HAK5 zijn online te koop, legaal, vanaf 40 dollar.

Fysieke toegang is een van de belangrijkste toegangspoorten tot digitale systemen. Zodra iemand zonder toestemming apparaten, datadragers of netwerkpunten kan benaderen, ligt een cyberincident via een USB-hack-stick al snel op de loer.

Praktische voorbeelden van fysieke cyberaanvallen

1. USB-aanvallen: Een aanvaller plugt een ogenschijnlijk onschuldige USB-stick in een computer. In werkelijkheid is dit een geavanceerd apparaat dat toetsaanslagen registreert, toegang geeft tot de camera of microfoon, en op afstand malware installeert via WiFi, 4G of andere verbindingen.
2. Netwerktaps: Iemand sluit heimelijk een apparaat aan op het netwerk dat al het dataverkeer doorstuurt naar een externe laptop buiten het gebouw.
3. Diefstal van niet-gecodeerde data: Wordt een back-upschijf of NAS zonder encryptie ontvreemd? Dan zijn alle gegevens vrij toegankelijk voor de dief.
4. Gestolen servers: Niet alleen data ligt dan op straat, maar ook inloggegevens kunnen worden achterhaald en misbruikt.

Toegangsbeveiliging – denk aan badges, sloten en alarmsystemen – is cruciaal. En dat betekent ook dat toegangsrechten tijdig worden ingetrokken wanneer iemand vertrekt.

Social engineering aan de voordeur

Een ander onderschat risico is tailgating: een onbevoegde persoon die ongemerkt achter een medewerker mee naar binnen loopt. Vaak vermomd als technicus met volle handen of als behulpzame bezoeker, maken deze aanvallers misbruik van ons sociale instinct om behulpzaam te zijn.

Richtlijnen om fysieke cyberrisico’s te beperken

1. Herken afwijkingen: Moedig medewerkers aan om verdachte situaties te melden, of voer een badgesysteem in en laat medewerkers onbekenden zonder badge melden.
2. Beveilig gevoelige ruimtes: Servers, netwerkapparatuur en back-ups horen achter slot en grendel.
3. Intrekbeleid: Zorg dat toegangsrechten meteen vervallen bij vertrek van medewerkers.
4. Beveilig bezoekersruimtes: Zorg dat er geen open netwerkpoorten zijn waar bezoekers bij kunnen.
5. Netwerkkabels beschermen: Installeer deze altijd binnen gebouwen en beveilig ze tegen manipulatie.
6. Beperk toegang tot oude systemen: Isoleer systemen zonder actuele updates fysiek.
7. USB-beleid: Onbekende USB-sticks mogen nooit zomaar worden aangesloten, maar moeten direct naar IT worden gebracht. NIS2 is all hazards. Fysieke beveiliging is straks verplicht voor NIS2 Entiteiten.

NIS2 is all hazards. Fysieke beveiliging is straks verplicht voor NIS2 Entiteiten.