Wat is fysieke beveiliging en hoe neem je die mee in de IT-benadering?

Fysieke beveiliging draait om de bescherming van mensen, gebouwen en andere fysieke assets tegen acties en gebeurtenissen die kunnen leiden tot schade of verlies. In de wereld van IT-beveiliging wordt dit vaak over het hoofd gezien, maar fysieke beveiliging is net zo belangrijk. Alle high-tech middelen die je inzet kunnen je immers niet beschermen als een aanvaller je opslagmedium uit je serverruimte steelt.

Waarom fysieke beveiliging zo belangrijk is

In de kern draait het om het beveiligen van je panden, personeel en middelen van niet-digitale dreigingen. Het omvat onder meer afschrikmiddelen, detectie van indringers en respons daarop. Het kan gaan om van alles van buiten de omgeving, maar meestal draait het in onze wereld om het belemmeren van toegang van mensen op plekken waar ze niet thuishoren; of dat nu mensen van buiten of interne medewerkers zijn.

Fysieke beveiliging betekent onder meer het weren van het publiek uit je hoofdkantoor, beveiligen van de toegang op plekken waar gevoelige werkzaamheden worden uitgevoerd of het voorkomen dat personeel toegang heeft tot missiekritieke ruimtes, zoals de serverruimte.

Zulke aanvallen kunnen allerlei vormen hebben, van inbraak in een beveiligd datacenter en het insluipen in afgeschermde ruimtes tot het gebruik van terminals waar deze persoon geen toegang tot zou moeten hebben. Aanvallers kunnen belangrijke IT-assets als servers en opslagmedia stelen of saboteren, toegang krijgen tot belangrijke systemen voor missiekritieke applicaties, informatie stelen met een usb-stick of malware uploaden bij je werkstations of servers. De meeste externe dreigingen zijn buiten te houden met beveiligers die de toegang tot het pand bewaken, terwijl interne toegangscontrole ervoor moet zorgen dat aanvallen of ongebruikelijke gedragingen worden opgemerkt.

Een van de fouten die bedrijven het meest maken als ze naar fysieke beveiliging kijken is dat ze vooral focussen op de voordeur, zegt CEO David Kennedy van penetratietestfirma TrustedSec. "Ze zetten alle bewaking in op de voordeur, met camera's, beveiligers, toegangscontrole met pasjes, maar ze kijken niet naar het gebouw als geheel." Vaak worden rookruimtes vergeten, de fitnessingang of zelfs de ingang voor laden en lossen, zegt hij. Draaihekken en andere tourniquet-constructies die alleen mensen van binnen naar buiten laten zonder pas (als nooduitgang) kunnen regelmatig gewoon worden omzeild door je hand naar binnen te steken en voor de sensor te bewegen.

De kosten na een succesvolle digitale inbraak blijven stijgen, maar fysieke schade aan je assets kan net zo problematisch zijn. Een notoir voorbeeld van falende fysieke beveiliging is een bedrijf in Chicago waarvan een co-locatie vier keer in twee jaar werd beroofd, waarbij de dieven er bij de laatste inbraak vandoor gingen met 20 servers. Fysieke beveiliging komt grotendeels neer op twee componenten: toegangscontrole en bewaking.

1. Toegangscontrole

Dit gaat om het afschermen van een grote ruimtes met basale barrières tot slagbomen en toegangspoorten tot ontgrendelen met cijferslot, identificatiepas of deuren die zijn beveiligd met biometrische sloten. In de eerste plaats gaat het om het gebouw zelf - de hekken, ramen, muren en deuren. Met deze en afschrikmiddelen als bewakers, prikkeldraad en signalering met bordjes houdt de terloopse inbreker meestal al buiten de deur.

Toegangscontrolesystemen zijn heel divers en al deze middelen hebben hun eigen voor- en nadelen. Simpele kaartscanners zijn goedkoop, maar eenvoudig te stelen of te kopiëren. NFC en RFID maken het al een stapje moeilijker, maar zijn verre van waterdicht. In Zweden is in opkomst dat werknemers worden uitgerust met een NFC-chip - dergelijke plannen zijn in andere landen op verzet gestuit - en dat verkleint de kans op kaartverlies.

"RFID-passen zijn eenvoudig te klonen", weet Kennedy. "Gebruik daarvoor in de plaats liever magnetische strips die je daadwerkelijk door een lezer moet halen en een tweede authenticatielaag, bijvoorbeeld met een pincode."

Biometrische beveiliging is ook een veelvoorkomende optie om panden en apparaten te beveiligen. In theorie hebben we unieke identificerende kenmerken - of het nu vingerafdruk, iris, gezicht of zelfs hartslag is - die lastiger te stelen zijn dan een losse kaart. Een rapport van ABI Research voorspelt dat het gebruik van dit soort middelen alleen maar zal groeien in de toekomst. In de eerste plaats blijven vingerafdrukken de biometrische methode die het vaakst voorkomt, maar ABI denkt dat ook gezichts-, iris-, en hartslagherkenning meer gebruikt gaan worden.

"Ik heb nog niet zoveel gezichtsherkenning gezien bij bedrijven, maar mijn advies is om biometrie niet te gebruiken", zegt Kennedy. "Veel bedrijven willen dat wel, maar er is een heleboel issues." Nagemaakte vingerafdrukken verslaan vingerafdruklezers, foto's en maskers kunnen gezichtsherkenning omzeilen en op CCC werd een manier gedemonstreerd om irisherkenning te foppen met enkel een foto en een contactlens.

2. Bewaking

Bewaking is alles van bewakers die rondlopen, inbraakalarmsystemen en beveiliginginscamera's, tot geluids- en bewegingssensoren, en het bijhouden van logboeken van mensen die binnenkomen en vertrekken plus waar ze heengaan in het pand. Bij locaties met een hoger risicoprofiel kunnen gevanceerde detectoren worden ingezet, zoals nabijheidssensoren, infrarood, optisch, temperatuur, rook en druksensoren om een holistisch beeld te vormen van de staat van het pand.

Fysiek en digitaal komen samen met AI en IoT

Waar doorgaans fysieke en digitale beveiliging twee gescheiden gebieden zijn in de meeste organisaties, raken ze meer met elkaar verwikkeld: bewakingssystemen zijn steeds vaker internetverbonden, toegangscontrole en monitoringssystemen houden digitale logs bij en use cases voor kunstmatige intelligentie voor fysieke beveiliging worden steeds populairder.

Beelherkenning kan bijvoorbeeld worden toegepast op beelden van de bewakingscamera om op de hoogte te zijn van arriverende bezoekers of voertuigen. In geavanceerdere systemen wordt zelfs gezichtsherkenning of looppatroonherkenning gebruikt om je te verwittigen als er een onbekend persoon op het terrein is of een werknemers zich ergens bevindt waar hij of zij niet mag zijn.

Gedragsanalyse wordt gebruikt bij deze systemen om afwijkende bewegingen op te merken. Verder beginnen bedrijven drones in te zetten voor de inspectie en bewaking op terreinen en fabrikanten werken steeds vaker aan meer geautomatiseerde features om ze voor dit doe in te kunnen zetten. AI-gebaseerde video-analytics kunnen de fysieke beveiligingsmarkt gaan domineren de komende vijf jaar, zo blijkt uit onderzoek van Memoori.

"De afgelopen twee jaar is de focus bij fysieke beveiliging verschoven van gezondheid en veiligheid naar ook informatiebeveiliging en het beveiligen van gegevens naast de fysieke locatie zelf", zegt Kennedy van TrustedSec. "We zien fysieke en digitale beveiliging samenkomen: als je een pasje door een lezer haalt in New York, maar je bent tegelijkertijd ingelogd via een VPN in China, is dat een signaal dat er mogelijk malafide activiteiten worden uitgevoerd en je gebruikt fysieke data om inbraakdetectie in de omgeving te verbeteren."

Facilitair en IT-beveiliginsgteams

Deze groei van beveiligingstechnologie betekent dat IT en gebouwbewaking nauwer moeten samenwerken. Digitale logs moeten worden verwerkt, opgeslagen en gepresenteerd aan de juiste mensen. AI-modellen moeten mogelijk worden aangemaakt en systemen getraind. Belangrijk is ook dat alle internetverbonden apparaten goed beveiligd zijn.

"Fysieke beveiligingssystemen draaien niet meer simpelweg om een sensor die een melding maakt aan een gebruiker als er beweging wordt gedetecteerd", zegt Kennedy. "Dit zijn zware technische systemen die elk jaar geavanceerder worden. Leveranciers van bewakings- en beveiligingsproducten zijn in de eerste plaats producenten, maar nu de IoT-business erbij begint te raken worden ze een steeds belangrijkere ontwikkelaar. We zien dat ze met deze apparaten meer gaten in de netwerken blootleggen dan met de gesloten systemen die we in het verleden zagen."

Deze apparaten kunnen vaak op afstand worden overgenomen. Een botnet als Mirai vol met juist bewakingscamera's en die werden ingezet in 2016 gedurende een grote DDoS-aanval op Dyn, waardoor een deel van de infrastructuur van grote netwerken begon te kraken. Als je sensoren niet afdoende zijn gesegmenteerd en beveiligd, kan een fout in één apparaat aanvallers in staat stellen om hele delen van je beveiligingsproces te omzeilen.

"De technologie die deze bedrijven beginnen te implementeren is veelbelovend en zijn erop gericht om te voorkomen dat mensen je gebouw binnenkomen, maar ze zijn nog lang niet volwassen genoeg in hun ontwikkelprocessen en het gaat lang duren om dat op te lossen", aldus Kennedy.

Een gevolg van deze samensmelting van fysiek en digitaal is dat beveiliging vaker samenkomt in één team. Sommige bedrijven gebruiken Security Operation Centers (SOC's) die zich richten op beide vormen van de beveiliging. "Een klein aantal bedrijven werkt op deze manier", zegt ontwikkelhoofd en architectuurontwerper Steve Kenny van Axis Communications. "Maar je ziet dat de focus momenteel ligt op beheersystemen: in plaats van verschillende losse controleposten hebben ze één grote faciliteit om operationeel efficiënter te werken."

Zelfs als de twee teams niet fuseren tot één grotere is het volgens Kenny nog steeds belangrijk dat ze samenwerken en een gedeelde verantwoordelijkheid hebben "Criminelen malen er niet om welke rollen en verantwoordelijkheden er zijn voor personeel en verschillende afdelingen kunnen totaal verschillende talen spreken." Om die reden is het belangrijk dat een CSO verantwoordelijk is voor zowel de fysieke als IT-beveiliging, zegt Kenny. Omdat de AVG ook fysieke beveiliging opvoert is het erg belangrijk dat alle teams naar hetzelfde doel werken.

Social engineering en fysieke beveiliging

Het is bekend dat je bijna overal kunt binnenkomen met een ladder en een geel hesje, omdat mensen inherent goed van vertrouwen en behulpzaam willen zijn. Pentesters proberen vaak binnen te komen door bouwpersoneel, schoonmakers of zelfs IT'ers te imiteren. "Onze makkelijkste manier is het zoeken naar een locaties waar werknemers in een pak binnenlopen. Ik trek een pak aan om een bestuurder na te doen en loop achter iemand aan die casual kleding draagt en negen van de tien keer vragen ze zich niet af wie ik ben omdat ik er belangrijk uitzie. Ze willen niet voor oponthoud zorgen of iemand uitdagen die veel hoger dan zijzelf op de ladder staan", vertelt Kennedy.

Op een buitenlocatie van een financiële organisatie kreeg Kennedy bijvoorbeeld toegang door te zeggen dat hij van een IT'er van het hoofdkantoor was die de servers kwam updaten. Een andere keer kon hij een bewaker bij een elektriciteitsbedrijf ervan overtuigen dat hij een servercrash kwam oplossen, terwijl hij gekleed in zwarte kleren om drie uur 's nachts in het pand rondliep. Omdat de mens een factor is in zulke aanvallen, is het lastiger om hier tegen te beveiligen. De beste beveiligingstechnologie gaat onderuit als werknemers vriendelijke maar onbekende 'collega's' toelaten in ruimtes waar ze niet horen te zijn. Training en bewustwording van het personeel is belangrijk om de angel uit deze social engineering-aanvallen te halen.

Fysiek beveiligingsbeleid

De schaal en technische kunde van je controle- en monitoringssystemen zullen variëren aan de hand van locaties en behoeftes, maar er zijn enkele best practices die je overal kunt toepassen om een robuustere fysieke beveiligingshouding te voern.

Maak een risicobeoordeling en doe onderzoek. Stel een risicoprofiel op en pas de controlemiddelen daarop aan. Zet geen team van bewakers in als een slot met toegangspas in combinatie met een camera voldoen. "Vooral in de supply chain is het een must om je huiswerk te doen, omdat een leverancier zijn klanten moet beschermen", zegt kenny. "Met wie werken we samen, wat zijn de interne processen en welke frameworks gebruiken we om systemen te verstevigen?" Zorg ervoor dat de mensen die over de aanbesteding gaan de risico's begrijpen en dingen als kwetsbaarhedenbeheer en advisory-meldingen gebruiken wanneer iets misgaat.

Zorg ervoor dat toegang is gekoppeld aan specifieke mensen en maak toegang op maat. Elke ID-kaart of pincode zou moeten zijn gekoppeld aan een unieke gebruiker. Lopers en toegangskaarten die iedereen toegang geven maken datalekken waarschijnlijker en lastiger te volgen. Als je bedrijf strikte planningen gebruikt, zorg er dan voor dat toegang beperkt wordt tot personeel voor specifieke functies: bijvoorbeeld geen catering in de nacht.

Houd de audit en de inventaris in de gaten. Houd logboeken bij, niet alleen van wie waar toegang tot verkreeg, maar ook van de mislukte pogingen. Herhaalde pogingen om toegang te verkrijgen kunnen duiden op oneigenlijk gebruik. Weet wie de kaarten, sleutels en andere toegangsmiddelen bezit en verwerkt. Trek de toegang van kaarten in zodra hij verloren raakt of de functie van een werknemer wijzigt. Claim sleutels direct terug als iemand de organisatie verlaat.

Geef personeel een handleiding van hoe ze om moeten gaan met bezoekers en geef ze daar training in. Mensen zijn vaak vriendelijk en behulpzaam. Leer werknemers - inclusief de bewakers - om gezonde scepsis te behouden, de juiste procedure te volgen en niet te veel informatie te geven die de kans vergroten dat je eigen personeel tegen je wordt gebruikt.

Zorg ervoor dat identiteitskaarten worden gecontroleerd, geplande bezoeken zijn aangemeld en heb een procedure voor onverwachte bezoekers. Laat ze niet alleen achter in gevoelige ruimtes. "Het trainen van personeel is altijd een goed idee om te voorkomen dat ze zich ongemakkelijk voelen om iemand te vragen naar hun identiteitspas", zegt Kennedy. "Leg ze ook uit dat ze hun identificatiepas in hun broekzak stoppen als ze het gebouw verlaten om kopiëren of klonen te voorkomen."

En als laatste: test de processen. Draai simulaties en probeer toegang te krijgen tot je eigen panden. Net zoals je ziet dat bedrijven steeds vaker een phishingmail sturen om personeel bewust te maken van dit risico, kun je ook testen of werknemers informatie geven over de telefoon of ongeverifieerde gasten binnenlaten.