Hoe wij jullie beveiliging makkelijk omzeilen

Drie Predictive Profiling praktijktips om het ons moeilijk te maken #truestory

Twee mannen lopen naast elkaar de aula binnen van een ROC-scholengemeenschap.

De langste van de twee draagt in beide handen een brandblusser. De ander heeft een blauwe documentenklapper onder zijn arm.

Ze zijn gekleed in een spijkerbroek. De langste met de brandblussers draagt een zwarte Adidas hoodie. De ander een wit overhemd met een kaartje met daarop zijn naam en een logo.

Ze melden zich bij de receptie en vertellen dat ze de brandblussers komen verwisselen. De man met de blauwe klapper vist een printje van een e-mail uit zijn map en geeft het aan de receptioniste. In de tekst staat een verzoek om de brandblussers te vervangen in de computer- serverruimte. De e-mail is afkomstig van de facility- manager die bij vragen gebeld kan worden.

De receptioniste leest het vlug door en vraagt beide heren even plaats te nemen en te wachten. De langste zegt meteen ‘dat ze hierna nog naar Gouda moeten en krap in de tijd zitten. ’Hij kijkt geïrriteerd op zijn horloge.

Na vijf minuten loopt een medewerker naar de beide heren, die ze vraagt mee te lopen naar de serverruimte. Daar aangekomen, vraagt de medewerker of alleen de blussers in deze ruimte vervangen moeten worden. Hij zegt dat er nog een serverruimte is die als back-up dient. ‘Dat is niet per se nodig toch?’, vraagt de man met de klapper vertwijfeld aan zijn collega.

Wat is er gebeurd?

De mannen die de blussers komen vervangen doen dat in opdracht van ons en het ROC. Het is een Red Teaming oefening, en de missie van vandaag is om toegang te krijgen tot de serverruimte. De e-mail is nep, en het verhaal is nep.

Maar het is wel gelukt.

De receptioniste die wij na deze Red Teaming oefening spreken heeft maar één overheersende gedachte en gevoel gehad, en dat is:

Klopt dit wel?

Hoe zit dat met dat negatieve security gevoel?

Twijfel, negatief securitygevoel, wie kent het niet. Maar wat moet je ermee als alles lijkt te kloppen? Mensen hebben een ingebouwd systeem om anderen te vertrouwen. Dat heeft te maken met de overleving van de menselijke soort. Samenwerken kan alleen maar op basis van vertrouwen, en dat is hét ingrediënt waar mensen op drijven. Lees ‘De Meeste Mensen Deugen’, van Rutger Bregman er maar op na.

Het is een lastig dilemma; juist voor die mensen, die beroepsmatig hun absolute vertrouwen in andere mensen beter thuis kunnen laten. Beveiligers of receptiemedewerkers bepalen of iemand wel of geen toegang krijgt. Die beslissing moet in één keer goed zijn.

Hoe ontwikkel je een professionele vorm van wantrouwen zodat beveiligings-maatregelen ook echt doen wat je ervan verwacht?

Daarvoor moeten we eerst concrete taal vinden die dat gevoel van ‘Klopt dat wel?’ bij de receptiemedewerker heeft veroorzaakt. Pas als je dat helder hebt, kan je ook de juiste open vragen stellen en verifiëren of het wel of niet klopt. Profilers gebruiken hiervoor verdachte indicatoren. Die indicatoren maken het makkelijker om het gevoel concreet te maken. Van hart naar hoofd, zeg maar.

Hier drie essentiële Predictive Profiling praktijktips voor ‘Klopt dat wel?’ twijfel-momenten:

1. Afhankelijke en onafhankelijke informatie
De receptiemedewerker krijgt ongevraagd een geprinte e-mail. Dit noemen wij ook wel onafhankelijke informatie. Oftewel, informatie waar nog niet om is gevraagd. Deze informatie mag je als niet van waarde beschouwen. Informatie waar je zelf om vraagt is beter. Onafhankelijke informatie is voorbereide informatie. Of dit nu op papier staat of mondeling wordt gegeven, maakt niet uit.

Dat is toch niet altijd zo? Nee, niks is altijd zo. 

2. Haast suggereren
Mensen met slechte bedoelingen suggereren haast. De bedoeling hiervan is het versnellen van procedures. Niet doen, is mijn advies. Volg nauwgezet de procedures die je moet volgen, en laat je niet afleiden. Als de stemming plotseling verandert in boosheid, dan is het helemaal oppassen geblazen. Voor je het weet ga je mee in de emotie van een ander terwijl je helemaal niks hebt gedaan. Vervolgens loopt de stress op, en wordt logisch nadenken nog moeilijker. Het is zelfs mogelijk dat de ander je het gevoel geeft dat je dit probleem zelf hebt veroorzaakt. Dat wordt ook wel omgekeerde psychologie genoemd. Dat is een krachtige manipulatie- tactiek.

Geef eens een voorbeeld van omgekeerde psychologie
Ik zeg niet dat wij de beste opleider zijn in Predictive Profiling, daar kun je beter zelf achter komen. In deze zin koppel ik twee dingen aan elkaar. Door iets niet te zeggen en het dan toch te doen geef ik jou het gevoel dat je een keuze hebt, terwijl de zin in hoge mate manipulatief en sturend is. Alsof je in een taxi vijf straten om bent gereden, maar er toch niks van durft te zeggen omdat de chauffeur zo aardig is.

3. Negatief securitygevoel en twijfel
Het komt allebei op hetzelfde neer. Je gevoel komt voort uit persoonlijke ervaringen en wat je bewust en onbewust registreert. Ik hanteer zelf altijd deze twee principes;
• Ik vertrouw erop dat ik dit gevoel niet zomaar krijg en bij twijfel is er geen twijfel.
• Ik kies er bewust voor om nog even niets te doen, voordat ik met meer zekerheid kan beslissen.

Gaan medewerkers niet helemaal door het lint, als blijkt dat ze in de maling zijn genomen?

Nee, ze zien het net wij, als een serieus spel. Dat spel kunnen ze zonder gevolgen van ons winnen of verliezen. Stiekem is verliezen nog beter, omdat daarmee het leren in de praktijk een positieve boost krijgt.


Kijk maar wat je hier mee kan.

Groet,
Bert van Pel

Vond je dit blog interessant?

Je mag dit blog ook doorsturen. Graag zelfs, want je weet nooit hoe je een ander hiermee kan helpen. Je doet mij en je collega’s een groot plezier.

Wil je wel eens weten of die andere manier van beveiligen ook iets voor jullie is?

Ontdek hoe wij anders beveiligen hebben geïmplementeerd in een grote organisatie.
Hier staat een gratis casestudy voor je klaar. Vol met tips en inspiratie.

Studieboek Proactief beveiligen op basis van Predictive Profiling

Hét onmisbare en vlot geschreven studieboek voor de security- professional van nu.

Een hele goede Profiler worden?

Register opleiding Operational Security Profiler (OSP)
Twee dagen scenario- trainigen. Praktijk, praktijk en nog eens praktijk.

Zelf aan de slag met Red Teaming?

Wij organiseren een Red Teaming masterclass voor organisaties. Dan heb je binnen drie dagen een eigen Red Team operationeel. Inclusief alle procedures, verdachte indicatoren en realistische scenario’s. Idee voor jullie organisatie? Plan een vrijblijvende strategiesessie in.