Net als u bewaar ik mijn wachtwoorden op een veilige manier en klik ik niet op verdachte links. Een hacker heeft bij mij dus geen kans. Dacht ik. Maar onlangs ging het toch bijna mis. Lees en huiver.
De Greenport is zeer actief op het gebied van digitale veiligheid. Zo werken we met Security Delta en een consortium van bedrijven en instellingen aan een Cyberweerbaarheidscentrum. Doel daarvan is onder meer om bedrijven in de keten bekwaam te maken op het gebied van digitale veiligheid. Daarnaast zal het Cyberweerbaarheidscentrum dreigingsinformatie delen met partners. Idee daarachter: de keten is zo sterk als de zwakste schakel, zeker als het gaat om digitale veiligheid.
En u weet hoe het werkt: als je ergens induikt, dan wil je het maximale weten en doen. Logisch dus dat we binnen de Greenport dachten: hoe veilig zijn we eigenlijk zelf? Hoe groot is de kans dat wij gehackt worden? En die vragen kun je alleen laten beantwoorden door hackers zelf.
Nee, we hebben geen schimmig bedrijfje daarvoor ingehuurd, maar hebben er een studentenopdracht van gemaakt. De Haagse Hogeschool vroeg een paar studenten te onderzoeken hoe eenvoudig het was bij ons binnen te komen. We zouden pas na afloop horen welke methodes ze daarvoor gebruikten. In de tussentijd vertelde ik onze medewerkers niets over deze test.
De studenten probeerden op verschillende manieren binnen te komen, zoals het sturen van mailtjes met verdachte links. Maar ze probeerden niet alleen op een digitale manier bij onze geheimen te komen.
Enkele weken geleden kregen we bericht van de receptioniste van het pand waarin we zetelen. Er stonden drie studenten voor de deur. Ze zouden een afspraak hebben met een van ons. Op dat moment was er echter niemand op kantoor aanwezig. De dag erna kwamen ze alsnog. Weer zonder duidelijke afspraak, wel met de naam van een van onze medewerkers.
Nu hebben studenten een streepje voor bij ons. Ze zijn immers de talenten van de toekomst. Na wat belletjes over en weer besloot een van onze medewerkers ze binnen te laten voor een kort gesprek. Vanzelfsprekend haalde onze medewerker in de pantry een bakje koffie. Daarvoor waren twee van de drie studenten even alleen in ons kantoor. Maar ja, studenten = goed volk, toch?
U begrijpt: ze doken in de tussentijd op de aanwezige computer. Maar gelukkig, onze apparatuur staat uit, en dus konden ze nergens in. We zijn dus geslaagd voor de test. Dat is het goede nieuws. Maar de test leerde ons ook iets anders. Namelijk dat we blijkbaar ‘gepakt’ waren op een zwakke plek, namelijk ons vertrouwen in studenten. Als de jonge knullen zich hadden voorgedaan als vertegenwoordigers, encyclopedieverkopers of schoenverkopers waren ze nooit zo ver gekomen. Maar de titel ‘student’ gaf ze het voordeel van de twijfel.
Een hacker is dus niet per se iemand met een hoody aan en een plastic masker op die in een slecht verlichte zolderkamer op zoek is naar gaten in uw digitale verdediging. Een hacker kan ook gewoon op bezoek komen en uw vertrouwen proberen te wekken. En doet u dan open?