Veel beveiligingssystemen in Nederland vormen voor de gemiddelde hacker een eenvoudige prooi. Niet zozeer omdat de techniek faalt, maar omdat bij de installatie van de systemen geen rekening wordt gehouden met de dreiging van cybercrime. Daarvoor waarschuwt Maria Genova tijdens het FireSafety & Security Congres, dat 1 oktober plaatsvindt in ’s-Hertogenbosch.

Maria Genova schreef onder andere de bestseller ‘Komt een vrouw bij de h@cker’, een verhelderend boek over cyberrisico’s, dat bepaald niet alleen voor vrouwen is bedoeld. “Er zijn mensen die door kleine stommiteiten op de rand van de afgrond zijn beland”, vertelt zij. “Zij mailden bijvoorbeeld in goed vertrouwen een kopie van hun paspoort, waarna criminelen de gegevens gingen misbruiken om auto’s en woningen te huren voor het plegen van misdrijven. Je kan dan nog zoveel in beveiliging hebben geïnvesteerd, maar op die manier ga je alsnog het schip in.”

Menselijke poort
De boodschap van Genova richt zich dus op de menselijke kant van veiligheidsrisico’s. Criminelen kunnen volgens het 3-poortenmodel langs drie wegen toeslaan. Fysiek door op de locatie in te breken, logisch door op afstand de ICT-beveiliging te kraken en menselijk door misbruik te maken van mentale zwakheden van medewerkers. De menselijke poort is de belangrijkste, want voor wie die weet te gebruiken stellen de fysieke en logische barrières ook niets meer voor. Met een ‘geleende’ pas van een corrupte medewerker kom je makkelijker binnen dan met een breekijzer. Een treffend bewijs voor deze stelling vormt de roemruchte kluisjesroof bij de Rabobank in Oudenbosch. Het dikke staal was niet bestand tegen onbetrouwbare beveiligingsmedewerkers.

Cyberrisico’s
Met de toenemende digitalisering van de fysieke beveiliging krijgt de traditionele beveiligingsbranche te maken met het fenomeen van cyberrisico’s. De meeste installateurs zullen wel bekend zijn met computervirussen en hackers, maar in hoeverre zijn hun beveiligingsinstallaties daartegen bestand? Ethisch hacker Wilco Baan Hofman stelde in 2013 vast dat het al jaren op grote schaal gebruikte alarmprotocol ‘SIA Highly Secure’ kinderlijk eenvoudig te hacken was, omdat de gegevens niet versleuteld werden. Hij zou met een simpel scriptje vrijwel de complete alarmering in Nederland hebben kunnen platleggen. Gelukkig informeerde hij eerst de fabrikant, die voor betere beveiliging zorgde alvorens het nieuws tijdens een conferentie wereldkundig werd gemaakt.

Nare verrassingen
Op het moment zijn veel camerasystemen te hacken. Meestal omdat de installateur of gebruiker verzuimd heeft de inloggegevens in te stellen. Met speciale zoekmachines zijn IP-camera’s eenvoudig op te sporen, waarbij ook direct te zien is om welk merk het gaat. De meeste hackers weten wel welke fabriekscodes bij welk merk camera’s horen en anders vinden ze wel een website waar dat op staat. “Als je al tevreden bent als het systeem werkt, kan je nog wel eens voor nare verrassingen komen te staan”, waarschuwt Genova. “Behalve dat de veiligheid en privacy gevaar lopen, kan de klant van de installateur ook nog eens met grote problemen met de Autoriteit Persoonsgegevens worden geconfronteerd. Ik weet niet of de bedrijfsaansprakelijkheidsverzekering dergelijke claims dekt.” Met de toenemende integratie van systemen en de daarbij gebruikte online-beheersystemen, worden cybersecurity en risicobewustzijn in een snel toenemende mate belangrijker. Een extra reden om de ‘eye opener’ van Maria Genova bij te wonen.

Het maximum aantal deelnemers aan het FireSafety & Security Congres is bereikt. Inschrijven is daarom niet meer mogelijk. Op BeveiligingNieuws.nl verschijnt uiteraard een uitgebreid en geïllustreerd verslag.