Bel: 088 298 64 41 - (24/7 bereikbaar)
Selecteer een pagina

Fraude, niemand moet er aan denken dat medewerkers op die manier schade berokkenen. De gevolgen voor de reputatie en betrouwbaarheid van een bedrijf zijn veelal enorm. Natuurlijk schakelt u snel als fraude is geconstateerd, maar fraude voorkomen is altijd beter. Maar hoe voorkomt u ongewenst gedrag dat tot fraude kan leiden? Red Teaming kan daarbij helpen.

Een bekende psychologische theorie stelt dat (on)gewenst gedrag optreedt als iemand het wil doen (motivatie), het kan doen (capaciteit) en de mogelijkheid heeft om het te doen (gelegenheid). Als een medewerker bijvoorbeeld de motivatie en de capaciteit heeft, is het belangrijk dat hij niet de gelegenheid krijgt. Maar hoe pakt u dat aan? Een fraudeur houdt zich immers niet aan regels en procedures. Hij maakt gebruik van de zwakheden van uw bedrijf. Daarom is het belangrijk om te denken als een fraudeur, als ‘de vijand’. Maar niet iedereen kan op deze manier denken. Dat is werk voor specialisten.

Pearl Harbor

Een goede methode om ‘te denken als de vijand’ is Red Teaming. Deze methode komt uit het leger. Tijdens oefeningen testen militaire eenheden elkaar op hun defensieve capaciteit. Concreet valt het ‘Red team’ het ‘Blue team’ aan. Een mooi voorbeeld is de Red Teaming-test van de Amerikaanse admiraal Harry E. Yarnell in 1932. Op een vroege zondagmorgen viel hij de marineschepen in Pearl Harbor aan met een precisiebombardement: er vielen zakken meel op de schepen in de haven. Daarmee toonde hij aan dat de verdediging van Pearl Harbor kwetsbaar was. Helaas vond het ministerie van Defensie een dergelijke aanval in 1932 geen realistisch scenario; het tegendeel bleek waar op 7 december in 1941.

Scenario’s

Hoe werkt Red Teaming in de praktijk? Het is belangrijk om vooraf concrete doelstellingen te bepalen. Wat wilt u precies testen? Vervolgens ontwikkelt u een bijpassend scenario. Zo kan het Red Team eerst telefonisch informatie inwinnen, bijvoorbeeld over de precieze naam of locatie van een afdeling of medewerker. Vervolgens doet een lid van het Red Team zich bijvoorbeeld voor als een koerier om een eerste verkenning van het pand en opslag uit te voeren. Een derde medewerker van het Red Team doet zich met de ingewonnen informatie voor als leverancier en probeert bij de administratieve afdeling binnen te komen. De aanval begint zo geruisloos mogelijk en kan indien gewenst of noodzakelijk, geleidelijk een luidruchtiger karakter krijgen.

Afleidingsmanoeuvre

Red Teaming bij fraudepreventie is betrekkelijk nieuw, maar voor het testen van de informatiebeveiliging van een organisatie is het niet ongebruikelijk. Zo vroeg een klant van Hoffmann, één van de partners in Fraude.nl, zich recent af of het mogelijk was om van binnenuit een aanval te lanceren op zijn computernetwerk, ondanks strenge toegangscontrole. Red Teaming-specialisten van Hoffmann begonnen met een voice-phisingactie: ze belden medewerkers van de klant met een smoes. Op deze manier wisten ze wachtwoorden te ontfutselen. Vervolgens maakten inloopspecialisten na een gedegen voorverkenning een plan om het gebouw binnen te dringen. Met een geslaagde afleidingsmanoeuvre wisten twee leden van het Red Team het gebouw te betreden. Eenmaal binnen gingen zij op zoek naar een flexplek waar zij een, geprepareerde laptop konden aansluiten op het netwerk. Uiteindelijk lukte dat via een geschikte poort in een afgelegen printerruimte. Terwijl het ene teamlid op de uitkijk stond, voerde de ander een aanval uit op het netwerk. Een ‘geslaagde’ actie, waardoor het bedrijf aanvullende beveiligingsmaatregelen kon nemen.



Regie houden

Red Teaming is een uitstekende manier om uw bedrijf te testen op zwakheden en te voorkomen dat een fraudeur ongestoord zijn gang kan gaan. Zorg dat u goede afspraken maakt met het Red Team. U wilt vanzelfsprekend zelf de regie behouden. Blijf daarom met het Red Team in overleg tijdens iedere stap die ze zetten. En zorg dat u aan het einde van de oefening een praktisch rapport ontvangt met verbeterpunten.

Collin Geelen is director marketing & sales bij Hoffmann Bedrijfsrecherche in Almere.