Dit is ook privacy, uit het dagboek van een mystery guest

Cybersecurity

Als mystery guest test Cuccibu in opdracht van organisaties hun beveiliging.

Zowel de fysieke toegang tot de niet-openbare delen van gebouwen als het 'stelen' van informatie zijn doelen van het bezoek. De ervaringen daarbij zijn soms hilarisch en tegelijkertijd verontrustend. Om een idee te geven onderstaand een greep uit de belevenissen van een mystery guest.

A day in the life of

Bij de lift staat een bewaker. Bewaker: "Hebt u een badge en bent u hier vaker geweest?" Antwoord Mystery guest: "Ja." En de mystery guest mag doorlopen. Zo simpel kan het zijn.

Eenmaal binnen probeert zo’n mystery guest meestal toegang te krijgen op het wifi-netwerk door de toegangscode gewoon te vragen. Zo ook deze keer, in het scenario zich voordoend als stagiair. Op de vraag om de toegangscode geeft de medewerker aan dat dit niet de bedoeling is. Gelukkig heeft ze een andere oplossing. "Bij facilitaire zaken kun je een laptop met toegangscode voor toegang tot het netwerk lenen." Dat doet de mystery guest dan ook. Hoe mooi kan het zijn, een laptop en toegang tot het netwerk. Zonder legitimatie of andere moeilijke vragen. 

Een ander scenario is om in je rol van mystery guest als onderhoudsmonteur over alle afdelingen lopen. Dan maar hopen aangesproken te worden en te vertellen dat je voor onderhoud komt. "Weten ze ervan?" vraagt de vriendelijke medewerker. "Als het goed is wel", zegt onze mystery guest en hij vervolgt zijn weg. Even later wordt er bij een andere medewerker gevraagd naar het lenen van de toegangspas, om even iets uit de auto te pakken. De medewerker geeft aan dat dit niet de bedoeling is. "Je weet immers nooit."  "Inderdaad", zegt de mystery guest. Gelukkig is de medewerker wel zo vriendelijk om even mee te lopen en de deur open te houden en te wachten tot de spullen uit de auto zijn gepakt en de mystery guest weer mee naar binnen loopt.

De mystery guest die zich voordoet als stagiair van de afdeling ICT gaat naar een afdeling en vraagt aan een medewerkster met welke applicaties zij werkt. Zij noemt een aantal waarvan de BRP  (Basisregistratie Personen) de interesse heeft van onze mystery guest. Desgevraagd laat de medewerkster één en ander zien. Ook mogen er foto’s gemaakt worden van schermen met BRP-gegevens voor het stageverslag.

Het gaat ook wel een fout, of juist niet

Het kan ook anders lopen. Aangesproken op de gang geeft de mystery guest aan een stagiair van de afdeling ICT te zijn, dankzij goede voorbereiding (LinkedIn) kan hij zelfs de naam noemen van de verantwoordelijke ICT manager. "Ja dat klopt", zegt de man, "dat ben ik." En dan wordt de mystery guest in de boeien geslagen. Of die keer toen er in het gehele gemeentehuis een klopjacht werd geopend omdat een medewerker een onrustig gevoel kreeg toen hij zijn ontmoeting met onze mystery guest nog eens overdacht had. Zo zie je maar, het kan spannend zijn, een leven als mystery guest.

Deel dit artikel