Ik interviewde recent de rector van een school en bij het verlaten van het pand zag ik dat de servers zich onder de trap bij de receptie bevonden – vrij toegankelijk voor iedereen.
Hiddink: “Dat is precies waar we over moeten praten. Ik merk vaak dat het minder spannend is over het slot op een serverkast te spreken dan over ransomware – maar de fysieke beveiliging van hardware verdient minstens zoveel aandacht.”
Hoe ziet die beveiliging eruit?
“Er zijn verschillende niveaus. De basis is het serverrack. Zorg dat je het kunt afsluiten. Beter is het om te werken met een sluissysteem: alleen mensen met een bepaalde elektronische sleutel kunnen bij de hardware komen. Van daaruit is de stap klein naar monitoring: dan kun je in de logfiles zien wie bij de servers is geweest. De laatste stap is bewaking met camera’s, dan registreer je ook wát iemand in de ruimte heeft gedaan.”
We vinden het normaal om het poortje bij de receptie te openen met een pasje. Maar op dit punt lijken ondernemingen huiverig.
“Het kan overkomen alsof je medewerkers niet vertrouwt. Vergeet niet: in tegenstelling tot sommige hacks merk je de impact van een losgetrokken kabel weliswaar direct – alleen is het vinden van het probleem niet eenvoudig. En de impact is de afgelopen tijd alleen maar groter geworden, omdat veel mensen nu op elk moment van de dag vanuit huis het netwerk benaderen. Als dat eruit ligt, heb je een probleem.”
Bij cybersecurity wordt vaak gesproken over zero-trust.
“Hier ook. Zoals bij software-security de medewerkers niet altijd de sterkste schakel zijn, zo kan het ook in het geval van fysieke beveiliging fout gaan. We zijn terecht geïrriteerd als de laatste werknemer die het pand verlaat het rolluik niet sluit. Zo moeten we ook met onze hardware omgaan.”
Deze hardware is de aorta van je onderneming
Eigenlijk ben je een soort evangelist?
“Het begint met bewustwording en op het gebied van fysieke beveiliging is nog een stap te zetten.”
Fysieke security is een breed begrip.
“Security van IT-hardware is niet alleen nadenken over het op de juiste manier afsluiten van het rack. Ook de locatie waar de IT-hardware draait is van belang. In productie-omgevingen zie ik vaak genoeg racks staan met een slot op de deur, maar in te stoffige omgevingen. Ook dat aspect moet je meenemen. Deze hardware is de aorta van je onderneming. Wees je daarvan bewust!”
[Dit artikel is eerder gepubliceerd in Security & Privacy Dossier 2021]