Postbode, ingenieur, schoonmaker: Zijn hackers bezig met inbraak in uw kantoor?

Postbode, ingenieur, schoonmaker: Sluipen hackers jouw kantoor binnen?

Weet je echt wie er jouw kantoorgebouw binnenkomt? “Als je een uniform draagt, stelt niemand echt vragen,” zegt beveiligingsexpert Daniel Dilks van Sentinel Intelligence.

Wanneer we denken aan een cyberaanval, stellen de meesten van ons zich een klassieke hacker voor: een man in een hoodie, alleen gebogen over zijn computer, die op afstand toegang krijgt tot een bedrijfsnetwerk. Maar dat is niet altijd het geval.

Ondanks de beveiligingsdesk in kantoren is het eenvoudig om jezelf te vermommen en gewoon naar binnen te lopen, aldus een cyberbeveiligingstrainer. “Veel mensen denken: ‘Oh, deze persoon is een ingenieur’ wanneer ze iemand in een opvallend vest zien, en laten hen gewoon doorgaan.”

Hoewel we ons allemaal bewust zijn van cyberaanvallen en de toenemende dreiging die ze vormen voor bedrijven—vooral gezien recente aanvallen op merken zoals Pandora, Chanel, Adidas en Victoria’s Secret—onderschatten de meesten van ons de fysieke manieren waarop onze verdedigingen kunnen worden doorbroken.

De wereldwijde uitgaven voor cyberbeveiliging worden naar verwachting in 2025 $213 miljard (€183 miljard) bereiken, een stijging ten opzichte van $193 miljard (€166 miljard) in 2024, volgens de laatste gegevens van Gartner, Inc. Ondanks deze cijfers is volgens het cybersecurity-readinessindex van Cisco voor 2025 slechts 4% van de organisaties wereldwijd volledig voorbereid op moderne bedreigingen.

Volgens beveiligingsexperts van Sentinel Intelligence is fysieke beveiliging een cruciale blinde vlek in onze verdedigingen, en de gevolgen van het negeren van deze aanvalsvector kunnen desastreus zijn.

De fysieke frontlinie van digitale beveiliging

De totale cyberdreiging in Europa wordt geschat op €10 biljoen in 2025 en zal naar verwachting alleen maar toenemen, aldus een recent interview met softwarebedrijf Splunk. Wat fysieke cyberaanvallen betreft, is de dreiging reëel en gevaarlijk, zoals blijkt uit het Wereldbeveiligingsrapport 2023. Onderzoek heeft aangetoond dat grote wereldwijde bedrijven, met een gecombineerde omzet van $20 biljoen, in 2022 $1 biljoen (€860 miljard) aan verloren omzet rapporteerden, direct veroorzaakt door incidenten met fysieke beveiliging.

LEZEN Trump's Nieuwe Meme Coin en Crypto Token Stijgen op Zijn Eerste Dag in Functie

Dat kan betekenen dat een hacker toegang krijgt tot jouw kantoorgebouw om jouw digitale infrastructuur aan te vallen.

Penetratietests zijn een veelvoorkomende dienst die door bedrijfsleiders wordt ingeschakeld om hun interne verdedigingen te testen. Als je in een groot kantoor werkt, is het waarschijnlijk dat dit al om je heen is gebeurd, zonder dat je het wist.

Daniel Dilks, directeur van operaties bij Sentinel Intelligence, vertelde ons over enkele recente tests. In een van de gevallen kleedden Sentinel-medewerkers zich in formele kleding en kwamen ze binnen door mee te lopen met personeel tijdens de ochtenddrukte, met nep-ID-kaarten en een laptoptas om op te gaan in de menigte. Eenmaal binnen vonden ze een onbeveiligde vergaderruimte, maakten verbinding met het gasten-Wi-Fi, en lieten een rogue apparaat (een netwerkimplantaat) achter.

In een ander geval kregen testers toegang door een standaard eurocilinderslot op de zijdeur open te breken. Eenmaal binnen kregen ze toegang tot een ontgrendelde archiefkast met afgedrukte klantcontracten en wachtwoorden. Er werden geen alarmen geactiveerd.

Een crimineel die eenmaal weet hoe hij een gebouw binnen kan komen, kan dat mogelijk meerdere keren doen, elke keer meer informatie verzamelen of meer schade aanrichten.

In een derde geval deed een medewerker zich voor als een aannemer voor het verwarmings- en ventilatiesysteem van het gebouw. Nadat hij met een opvallend vest en een nep-werkorder naar binnen was gegaan, werd hij door het personeel naar een serverruimte gebracht omdat men dacht dat het bezoek was gepland. Binnenin fotografeerde hij blootgestelde inloggegevens en verbond hij een USB ‘dropbox’ met een werkstation. Het is gebruikelijk dat penetratietesters USB-sticks rond kantoor verspreiden, en veel werknemers, in de hoop behulpzaam te zijn, zullen ze in hun computers steken om te zien van wie ze zijn. In een echte aanvalsscenario zou dit malware direct in jouw bedrijfsnetwerk kunnen introduceren.

LEZEN Trump-regering legt eerste sancties tegen Iran op sinds aanvang van het ambt

In al deze voorbeelden kunnen slechte fysieke beveiligingsmaatregelen, aarzeling om onbekende personen uit te dagen of te verifiëren, en het maken van basisfouten zoals het opschrijven van wachtwoorden op post-itnotities leiden tot ernstige gevolgen.

Wat zijn de gevolgen van een cyberaanval?

Hoewel het moeilijk is om de exacte kosten van een beveiligingsinbreuk te bepalen, hebben aanvallen zowel korte- als langetermijngevolgen voor een bedrijf. Er zijn de initiële directe kosten die kunnen worden gekoppeld aan fysieke schade. “Iemand weet binnen te dringen en saboteert je systeem, ze vernielen het gewoon. Dus er zijn directe kosten aan de apparatuur,” legt de cybersecurity-expert uit.

“Maar als schade aan de apparatuur betekent dat je enkele dagen niet kunt functioneren, dan is dat verlies van zaken. En soms, als een klant je meerdere keren niet kan bereiken, kan hij besluiten ergens anders heen te gaan.”

De expert legt uit dat de gevolgen snel kunnen verergeren als gegevens worden gewist en back-ups niet werken, en voegt eraan toe dat organisaties kunnen instorten zonder hun systemen.

Indirecte kosten kunnen ook blijvende gevolgen hebben. “Stel dat iemand jouw gegevens steelt en er intellectueel eigendom of vertrouwelijke documenten worden gelekt. Wat zijn de kosten voor de organisatie? Er is een reputatiekost, ze kunnen contracten verliezen wanneer klanten het vertrouwen in hen verliezen.”

Bedrijven kunnen ook boetes krijgen voor dit soort datalekken.

Verrassende aanvalsvectoren

De cybersecurity-expert deelde enkele bijzonder verrassende manieren waarop criminelen in de afgelopen jaren in bedrijfssystemen zijn binnengedrongen. “Er was dit geval waarin aanvallers toegang kregen tot het netwerk van een casino in de VS, niet door direct door het hoofdgedeelte van het netwerk te gaan, maar door een waterregulerend apparaat in een aquarium dat met het systeem was verbonden, te compromitteren.”

LEZEN Nederland roept zeldzame noodwet in om Chinese chipmaker onder controle te krijgen

En hoewel we misschien niet allemaal aquaria in onze huizen en kantoren hebben, kunnen slimme apparaten ook kwetsbaar zijn.

“Toen slimme waterkokers voor het eerst uitkwamen, was de beveiligingsgemeenschap daar erg geïnteresseerd in,” legt de expert uit. “Als je naar een cybersecurityconferentie gaat, zie je soms een demo van iemand die een waterkoker hackt en vervolgens het Wi-Fi-wachtwoord eruit haalt, en dat vervolgens gebruikt om in een netwerk te komen. Dit kan een sneeuwbaleffect hebben.”

Als je een bedrijf runt, is het de moeite waard om alle mogelijke manieren te identificeren waarop je zou kunnen worden aangevallen. Toch benadrukte de expert dat, hoewel we voorzichtig moeten zijn, dit niet betekent dat we onbeleefd of ongezellig moeten zijn tegen vreemden op de werkvloer uit angst. “Wees gewoon voorzichtig en wees je bewust. We hoeven onze aard niet te veranderen en onvriendelijk te zijn tegen iedereen, maar we moeten ons gewoon bewust zijn dat er enkele kwade mensen daarbuiten zijn.”