Ook bij een streng beleid zijn laptops te jatten

Al is een laptop nog zo goed vastgeklonken aan een bureau, het effect van dit soort beveiligingsmaatregelen blijft afhankelijk van menselijk gedrag. Dit blijkt uit een wetenschappelijk experiment op de Universiteit Twente waarbij een promovendus studenten de opdracht gaf om net uitgedeelde laptops achterover te drukken.

Onder het voorwendsel van een gebruikersonderzoek leende onderzoeker van de Universiteit Twente Trajce Dimkov laptops uit aan dertig willekeurig gekozen medewerkers van de universiteit. De medewerkers die de laptops leenden, werden geïnstrueerd om de laptop altijd aan het bureau vast te maken met een ketting. Ook moesten ze de deur van de kamer afsluiten als ze weggingen en de laptop met een wachtwoord vergrendelen. Helemaal 'real life' was het experiment overigens niet. Om te voorkomen dat de studenten in de cel zouden belanden was van tevoren wel de beveiliging op de campus ingelicht.

1 op 2 succesvol
Dimkov instrueerde andere studenten om de net uitgedeelde laptops terug te stelen als wetenschappelijk experiment. De studenten deden zestig pogingen, waarvan er dertig slaagden. De promovendus concludeerde op basis van dit experiment en ander onderzoek dat een organisatie uitstekende beveiligingssystemen kan hebben, maar dat het systeem staat of valt bij het menselijk gedrag. “Mensen vergaten bijvoorbeeld de deur op slot te doen. Soms verzonnen de studenten een goede smoes, waarna de schoonmaakster of conciërge de deur voor ze opende", zegt Dimkov. Ook lukte het studenten om toegang tot de notebooks te krijgen door zich voor te doen als technici. "Mensen hebben de neiging zich dienstverlenend op te stellen en gladde praatjes zijn soms moeilijk te doorzien", concludeerde de promovendus over het ongekende succes van de social engineering-technieken die in een aantal gevallen toegepast werden.

Om diefstal tegen te gaan, ontwikkelde Dimkov een prototype van een soort navigatiesysteem dat inzichtelijk maakt op welke manieren laptops gestolen kunnen worden. In dit model stopte hij gegevens, zoals een plattegrond, informatie over medewerkers, beveiligingsvoorschriften, sloten en beveiligingscodes. Het model verbindt deze informatie door middel van algoritmes en produceert hiermee scenario’s die zwakke plekken in de beveiliging blootlegt. Dimkov voerde zijn promotieonderzoek getiteld ‘Alignment of Organizational Security Policies, Theory and Practice’ uit binnen de vakgroep Distributed and Embedded Security van het onderzoeksinstituut CTIT.