Een van de manieren om de zwakheden in bewaking op te sporen is red teaming. Je laat een aantal personen scenario’s verzinnen om ergens binnen te komen, iets te stelen of iets kapot te maken. En vaak laat je ze het nog proberen ook! Social engineering, mystery guests, niets is te dol. Het kan leuk en leerzaam zijn.
Vandaag ga ik u leren om een slechterik te worden, maar wel een van de goede soort. De manier waarop we dat gaan doen zullen we met een modieuze Engelstalige term adverse security noemen. Het beestje moet immers een pakkende naam hebben. Kwaadaardige security is letterlijk het omkeren van security principes. De security manager vraagt zich af: ‘waarom gaat iets fout?’ U, als booswicht vraagt zich nu af: ‘hoe kan ik het fout laten gaan?’ Adverse security gaat over misbruiken, omkeren, corrumperen, versjteren en het wijzigen van security principes voor je eigen voordeel. Heerlijk menselijk, nietwaar?
Security principes
De eerste stap die u als would-be terrorist zet is dat u eerst kijkt naar de wisselwerking tussen het doel en zijn omgeving en de (security) processen die dat oproept. Dat kan van alles zijn: variërend van de personeelsingang, water-, energie- of luchttoevoer, voedsel- en productstromen, informatieprocessen als post en ICT, parkeergarages, tot en met het riool en de omringende ruimte toe.
Misbruiken
De tweede stap is het eigenlijke kwaadaardige proces: u gaat nadenken hoe u deze processen kunt misbruiken voor uw eigen kwaadaardige doel door omkeren, veranderen, corrumperen enzovoorts. Daar komen tal van voor de hand liggende zaken uit zoals een Bewaker uitschakelen, een Barrière slopen, een virus versturen via een computernetwerk of een bom binnensmokkelen via de post. Maar ook minder voor de hand liggende, want hoe zou je een productstroom bijvoorbeeld kunnen misbruiken, of een parkeergarage?
Gezonde geest
Ik zal u niet alles gaan verklappen, dat laat ik aan uw eigen gezonde geest over, maar bij een eerdere (en minder bekende) mislukte aanslag op de Twin Towers werd een autobom gewoon de parkeergarage binnengereden. Uit deze methode komt niet alleen dit scenario uit de bus rollen, maar ook onbekende. De scenario’s waarvan we niet eens weten dat we ze niet weten.
Sociaal aspect
Wanneer u en ik dat kunnen verzinnen, kunnen anderen dat ook. En als we niet oppassen staat er straks een nieuwe generatie criminelen op onze poorten te bonzen die security gaat gebruiken om hun doel te bereiken. Schokkend, wanneer u ziet hoe gemakkelijk het is om uw organisatie aan te vallen. Maar vraag u ook meteen af waarom dat niet gebeurt. Blijkbaar zit er meer tussen gelegenheid en daad. Dat is het sociale aspect van security wat het zo lastig maakt. Misschien zou al die sociale en ethische rimram wel eens een onderschatte barrière van formaat kunnen blijken. Want sommige dingen doen zelfs terroristen (nog) niet.