Infrastructure Services

Infrastructure Services

Meningen op deze blog weerspiegelen de opvattingen van de schrijver en niet per definitie die van de Capgemini Group

Slachtoffers leer denken als attackers!

Categorie: Security

Er zijn tegenwoordig veel technische mogelijkheden om jezelf of een bedrijf goed te beschermen. Helaas zal dit nooit waterdicht zijn, als er ook nog mee gewerkt moet worden. Om zo goed mogelijk beschermd te zijn is het belangrijk dat, naast de technische defensie laag, gebruikers snappen waarom het belangrijk is om veilig te werken en hoe dit toe te passen. De theorie van situational crime prevention gaat hier op in.


Het is een theorie waar gesteld wordt dat drie verschillende actoren allen moeten samen komen om criminaliteit te laten plaatsvinden; Een gemotiveerde dader, een geschikt slachtoffer en de afwezigheid van een capabele toezichthouder. Hoe kunnen we dit nu inzetten om situation crime te laten dalen:

- Een attacker zal minder geneigd zijn om te stelen als het moeilijker wordt gemaakt om de buit te bereiken. Dit houdt ook de gelegenheid dieven tegen.

- Een toezichthouder zal veel meer tegenhouden als er actief wordt gecontroleerd. Als duidelijk is dat een toezichthouder aanwezig is om de buit te beschermen zullen minder attackers de moeite nemen om iets te ondernemen.

- Een slachtoffer die niet op zijn spullen let en ze niet achter slot zet zal veel eerder bestolen worden. Daarom is het nodig dat mogelijke slachtoffers (lees: wij allemaal!) bewust worden van de gevaren en leren hoe ze zich hier tegen kunnen wapenen.

Een verbetering van de combinatie van de hierboven genoemde actoren zal ervoor zorgen dat er minder slachtoffers vallen. Een attacker wordt het al lastig gemaakt om fysiek in te breken bij een bedrijf. Op technisch vlak is dit helaas een stuk makkelijker. Vooral door menselijk falen is het nog steeds gemakkelijk om de buit (in welke vorm dan ook, bijvoorbeeld bedrijfsgegevens, klantgegevens etc.) te bereiken.

Het wordt dan ook tijd om meer op de slachtoffers te focussen. Ik zie veel laptop tassen staan tijdens WK wedstrijden die gemakkelijk meegenomen kunnen worden. Ik denk dat als ik een programma had gemaakt voor het invullen van een WK poule veel mensen deze zomaar zouden hebben geïnstalleerd zonder ook maar na te denken over de consequenties. Dat er zomaar malware bij had kunnen zitten…. Dit blijkt wel uit een onderzoek waar veel mensen een onbekend programma hebben geïnstalleerd, die na een tijdje een code zou genereren om geld te krijgen (minder dan één euro!).

Is het niet tijd dat slachtoffers leren denken als een attacker? Zou dit niet een stuk effectiever zijn dan keer op keer investeren in de techniek? Worden slachtoffers op deze manier niet bewuster van alle mogelijke risico’s? Bedrijven moeten maatregelen nemen om werknemers bewuster te maken en ze leren om zichzelf (en daardoor ook het bedrijf) te beschermen. 

Over de auteur

Arjen Hartog
Arjen Hartog
Security Consultant, cluster Security, Risk, Compliance, ITS

Plaats een reactie

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *.