De mystery guest is een zeer bekend fenomeen in de horeca, maar binnen het cybersecurity veld een stuk minder bekend. Dit assessment, ook wel de fysieke pentest genoemd, wordt lang niet zo vaak ingezet als een phishing simulatie of een pentest. Maar waarom eigenlijk? De mystery guest is een mooi assessment om jouw organisatie te testen én op scherp te zetten. Hoe het in zijn werk gaat? Dat leggen wij je uit.
Wat is een mystery guest?
Wanneer het woord mystery guest valt wordt vaak gedacht aan een mystery shopper of een mystery guest in de horeca. Maar ook binnen de cybersecurity is het een geweldig middel om te gebruiken tijdens een security awareness programma. De mystery guest probeert bij een organisatie binnen te komen om een kritische blik te werpen op zowel de fysieke- als digitale beveiliging. Hoe ver kan hij komen, voordat hij vriendelijk wordt verzocht zich te identificeren of het pand te verlaten?
Je kan alle technische beveiligingsmaatregelen treffen, maar dat is zonde als men de (achter)deur open laat staan of de serverruimte niet op slot doet. De mystery guest test organisaties of het security awareness niveau van het gewenste niveau is en of onaangekondigde bezoekers wel op de juiste manier worden behandeld. Hoe groot is de kans dat een onbekende zomaar langs de receptie loopt en een USB stick in een computer plugt om zo gevoelige informatie te downloaden of om ransomware te installeren?
Die kans is groter dan je denkt. De gemiddelde receptiemedewerk(st)er is namelijk goed van vertrouwen en éénmaal binnen vraagt in veel organisaties vaak niemand je iets. Vaak moet er eerst iets gebeuren, voordat iedereen weer op scherp staat.
Hoe gaat een mystery guest te werk?
In de basis zijn de meeste mensen goed van vertrouwen en willen ze graag helpen. Zeker in branches zoals de gezondheidszorg of in het onderwijs is dit het geval. De gemiddelde receptiemedewerker verwacht niet dat die vriendelijke monteur eigenlijk het netwerk komt ontregelen.
De mystery guest, of ook wel de social engineer genoemd, gebruikt vaak smoesjes om zichzelf bepaalde toegang te verschaffen. Hij speelt in op het gevoel van de persoon tegenover hem. Telefonisch wordt vaak een huilende baby op de achtergrond gebruikt of is de social engineer juist heel aardig of juist dwingend. Ook tijdens een mystery guest aanval wordt in veel gevallen ingespeeld op de gevoelens van de tegenpartij. Veel gebruikte excuses zijn:
- “Sorry, maar ik heb mijn pasje in mijn andere auto laten liggen. Kan ik even met je meelopen?”
- “Excuus, maar ik heb mijn handen vol. Kunt u de deur voor mij openhouden?”
- “Vorige week kwam ik ook voor mevrouw van Rijn. Ik weet waar ik moet zijn, dankjewel.”
Daarnaast zijn er nog legio andere mogelijkheden. Denk aan meelopen na het roken vanaf de parkeerplaats. Je verkleden als een monteur van de IT-leverancier of de mystery guest doet zich voor als die nieuwe collega die nog niet de juiste toegang heeft. In veel gevallen gebruikt de mystery guest een bepaalde urgentie. Het is belangrijk, hij is al laat, heeft zijn handen vol of een hooggeplaatste collega zit al op hem te wachten.
Eenmaal binnen heeft de mystery guest vaak vrij spel. Zo kan hij vaak vrij simpel USB sticks inpluggen in computers, de serverruimte binnenwandelen of medewerkers in de gaten houden: vergrendelen ze hun computer als ze koffie gaan halen? Wat de mystery guest exact mag en kan doen, dat wordt vaak in onderling overleg bepaalt.
Mystery guest: een bekend probleem?
Komt één of meerdere van de eerder genoemde scenario’s jou bekend voor? Wees gerust, dit gebeurt bij bijna iedere organisatie. Ga maar op een willekeurige dag bij de receptie van jouw organisatie zitten en je zal vergelijkbare opmerkingen horen die vaak door collega’s, zonder erover na te denken, gehonoreerd worden.
Maar waarom lees je er dan zo weinig over? Dat is heel simpel. Geen enkele organisatie loopt hier graag mee te koop. En in tegenstelling tot een ransomware aanval, die het hele bedrijf platlegt of een belangrijke website die onbenaderbaar maakt, haalt een social engineering aanval vaak de (landelijke) pers niet. Toch komt het vaker voor dan je denkt.
Wat levert een mystery guest jouw organisatie op?
Een mystery guest assessment kan jouw organisatie uiteraard een hoop opleveren, maar wat precies? Hieronder onze top drie:
1) Inzage in het security awareness niveau van jouw medewerkers;
- Krijgen onbekende personen toegang tot het gebouw en specifieke afdelingen?
- Worden computers vergrendeld wanneer de desbetreffende medewerker koffie gaat halen?
- Wordt het gemeld als er een onbekende USB stick in een computer zit?
2) Inzage in de fysieke beveiliging van jouw pand(en) en afdelingen;
- Kan je zonder toegangspas iedere afdeling of ruimte binnenlopen?
3) Inzage of jouw publieke netwerk goed beveiligd is;
- Is het mogelijk om via het gastennetwerk gelijk in te breken?
Zoals je ziet kan een mystery guest assessment een hoop voordelen hebben. Het belangrijkste is dat je er als organisatie voor openstaat om de resultaten te omarmen. Medewerkers worden namelijk geconfronteerd met hun wijze van handelen. Soms kan dat op weinig enthousiasme rekenen. Verstandiger is misschien om de mystery guest in te zetten in een reeks van assessments en simulaties. Denk aan phishing, voice phishing en een pentest. Zo kan je de resultaten makkelijker anonimiseren en gelijk presenteren aan alle belangrijke stakeholders en managers.
De mystery guest zorgt voor awareness onder jouw medewerkers. Zeker als je er een security awareness- en/of communicatiecampagne omheen bouwt. Het zet je organisatie op iedere laag weer op scherp en geeft de CISO inzage in het huidige security niveau van de verschillende componenten
Meer weten?
Wil je meer weten over hoe een mystery guest te werk gaat? Of ben je benieuwd hoe een mystery guest assessment kan werken voor jouw organisatie?
Wij helpen je graag op weg.