Het komt vaker en vaker voor; berichten op TV en radio dat een organisatie gehackt is. De ICT-beveiliging is gewoonweg niet op orde.
Ik vind dat naar aanleiding van deze incidenten de security managers zich moeten afvragen of hun organisatie dat ook kan overkomen. Vaak komt dit door de combinatie van een tekort aan digitale en fysieke beveiliging en gebrekkige ‘security awareness’. Hierdoor wordt gevoelige informatie binnen het bedrijf kwetsbaar.
Toegangsverlening wordt belangrijker gevonden dan toegangscontrole
Het verschil kan groot zijn tussen diverse instanties, maar security awareness is vaak niet top of mind en toegangsverlening wordt belangrijker gevonden dan toegangscontrole. Daardoor is men meestal al tevreden met een toegangscontrolesysteem, waarbij met een toegangspas de deuren open en dicht gaan.
Alleen fysieke beveiliging is onvoldoende
De hacks tonen aan dat dergelijke eenvoudige systemen kwetsbaar zijn nu organisaties worden geconfronteerd met nieuwe risico’s. Met een toegangscontrolesysteem zorg je voor de fysieke beveiliging en voorkom je dat mensen in ruimtes komen waar ze niet mogen zijn. Maar tegenwoordig hebben organisaties ook te maken met de snel toenemende cyberdreiging, waarbij hackers via de IT-systemen een organisatie proberen binnen te komen.
Ook een toegangscontrolesysteem kan worden gehackt
IT-afdelingen anticiperen op deze nieuwe dreigingen door netwerken en systemen te beveiligen met encryptie en authenticatiecertificaten. Maar ook een toegangscontrolesysteem kan worden gehackt. Toch is men zich hiervan niet bewust, omdat een toegangscontrolesysteem niet wordt gezien als een IT-systeem.
Toegangscontrolesysteem de zwakste schakel?
Dit is op zijn zachtst gezegd vreemd. Want je schaft een toegangscontrolesysteem aan om de organisatie te beveiligen, dus dan zou je toch ook dat systeem goed moeten beveiligen. Je wilt immers niet dat het toegangscontrolesysteem de zwakste schakel is, waardoor hackers toegang krijgen tot allerlei privacygevoelige informatie. Daarom is het van belang na te denken over de beveiliging van het toegangscontrolesysteem, waarbij het zaak is logische en fysieke beveiliging bij elkaar te brengen.
Gefaseerde overgang naar end-to-end toegangscontrolesysteem
Ik snap dat het moeilijk is om per direct over te stappen naar een nieuw, bij voorkeur end-to-end toegangscontrolesysteem, zoals dit in de markt wordt genoemd. Het is echter ook mogelijk om te kiezen voor een gefaseerde overgang, bijvoorbeeld door nu al een geëncrypte deurcontroller te installeren. In een volgende fase kunnen dan de kaartlezers worden vervangen.
Laat het toegangscontrolesysteem niet de ‘open deur’ zijn voor hackers
Facility en security managers die zich wél zorgen maken, zou ik willen aanraden om allereerst te kijken naar de (on)mogelijkheden van hun huidige toegangscontrolesysteem en de risico’s ervan in kaart te brengen. Het zal geen verbazing wekken dat ik ze zou adviseren dit samen met hun IT-collega’s op te pakken. Denk in elk geval na over de beveiliging van je toegangscontrolesysteem, zodat dit uiteindelijk voor hackers niet de ‘open deur’ blijkt te zijn om op het netwerk en zo bij gevoelige data te komen.
Jeroen van Os, business developer bij Nedap
>> Lees ook Fysieke beveiliging en cybersecurity: integrale aanpak vereist
>> Wilt u weten hoe u de digitale weerbaarheid van uw organisatie kunt vergroten, download dan hier de whitepaper Trends in cybersecurity.