…

 

Fysisk sikkerhedstest

Kan uvedkommende komme ind?

I har adgangskort, låste døre og måske en reception. Men holder det, når nogen virkelig prøver at komme ind?

En fysisk sikkerhedstest afslører, om jeres fysiske adgangskontrol virker i praksis. Vi forsøger at komme ind, som en uvedkommende ville gøre det, og viser jer, hvor jeres forsvar har huller.

Hvorfor teste fysisk sikkerhed?

De fleste tænker på cybersikkerhed som noget digitalt. Firewalls, passwords, kryptering. Men mange angreb starter med fysisk adgang.

En angriber, der kommer ind i jeres bygning, kan:

• Tilslutte udstyr direkte til jeres netværk
• Installere keyloggere eller andet udstyr på arbejdsstationer
• Få adgang til servere, der ikke er låst inde
• Stjæle dokumenter, laptops eller harddiske
• Aflæse passwords fra post-its på skærme
• Udgive sig for at være ansat og få hjælp indefra

Den bedste firewall i verden hjælper ikke, hvis nogen kan spadsere ind og sætte sig ved en computer.

Hvad er en fysisk sikkerhedstest?

En fysisk sikkerhedstest er et kontrolleret forsøg på at omgå jeres fysiske sikkerhed. Vi bruger de samme metoder som rigtige angribere, men med jeres viden og godkendelse.

Målet er at finde ud af:

• Kan uvedkommende komme ind i jeres bygning?
• Kan de få adgang til følsomme områder?
• Opdager nogen, at de er der?
• Reagerer medarbejderne, som de bør?

Resultatet viser ikke bare, om det kan lade sig gøre. Det viser præcis, hvordan det kan lade sig gøre, og hvad I skal ændre.

Metoder vi bruger

En fysisk sikkerhedstest tilpasses jeres organisation og lokationer. Typiske metoder inkluderer:

Tailgating: Forsøg på at følge med ind ad døren, når en medarbejder bruger sit adgangskort. Den mest almindelige måde at omgå adgangskontrol på.

Falsk identitet: Forsøg på at komme ind ved at udgive sig for at være håndværker, IT-tekniker, leverandør, revisor eller lignende. Med en vest og en clipboard kommer man langt.

Social engineering: Forsøg på at tale sig ind. Ringe på forhånd og aftale et møde, der ikke eksisterer. Bede om hjælp til at finde vej. Udnytte medarbejdernes hjælpsomhed.

Adgang uden for normal arbejdstid: Test af, om sikkerheden er den samme om aftenen, i weekenden eller tidligt om morgenen.

Adgang til følsomme områder: Forsøg på at komme ind i serverrum, arkiver, ledelsens kontorer eller andre beskyttede områder.

Clean desk-vurdering: Observation af, om følsomme oplysninger ligger frit fremme. Passwords på post-its, dokumenter på printere, ulåste computere.

Vi aftaler på forhånd, hvilke metoder der er i scope, og hvilke lokationer der skal testes.

Sammenhæng med andre tests

Fysisk sikkerhed hænger sammen med digital sikkerhed og den menneskelige faktor.

Fysisk + digital: En angriber, der kommer fysisk ind, kan plante udstyr, der giver vedvarende digital adgang. En fysisk sikkerhedstest kan kombineres med en penetrationstest for at se det samlede billede.

Fysisk + menneskelig: De fleste fysiske sikkerhedshuller udnytter menneskelig adfærd. Tailgating virker, fordi folk er høflige. En fysisk test kan kombineres med cybersecurity mystery shopping for at teste den menneskelige faktor bredt.

Fuld simulation: Red teaming kombinerer fysiske, digitale og menneskelige angrebsvektorer i en realistisk simulation. En fysisk sikkerhedstest kan være en del af et større red team-engagement.

Hvem har brug for en fysisk sikkerhedstest?

Virksomheder med følsomme data på lokationen: Hvis I har servere, arkiver eller arbejdsstationer med adgang til kritiske systemer, er fysisk adgang en risiko.

Virksomheder med mange besøgende: Jo flere mennesker der kommer og går, jo lettere er det at blande sig. Kontorhoteller, uddannelsesinstitutioner, offentlige myndigheder.

Virksomheder med flere lokationer: Hovedkontoret har måske god sikkerhed. Hvad med lageret, filialen eller det lille kontor i provinsen?

Virksomheder efter en ombygning eller flytning: Nye lokaler, nyt adgangskontrolsystem, nye rutiner. Er det sat rigtigt op?

Virksomheder med compliance-krav: NIS2 og andre reguleringer stiller krav til sikkerhed bredt, ikke kun digitalt.

Kritisk infrastruktur: Energi, forsyning, transport. Organisationer, hvor fysisk adgang til kontrolsystemer kan have alvorlige konsekvenser.

Hvad får I ud af det?

Efter en fysisk sikkerhedstest ved I:

Om jeres adgangskontrol virker: Ikke hvad leverandøren siger, men hvad der faktisk sker, når nogen prøver.

Hvor de fysiske huller er: Konkrete indgange, metoder og tidspunkter, hvor sikkerheden svigter.

Hvordan medarbejderne reagerer: Stopper de uvedkommende? Spørger de, hvem de er? Eller holder de bare døren?

Hvad I skal ændre: Prioriterede anbefalinger til at lukke hullerne. Tekniske ændringer, proceduremæssige ændringer, træning af medarbejdere.

Anonymitet og respekt

En fysisk sikkerhedstest handler om at teste organisationen, ikke om at udstille enkeltpersoner.

Anonyme resultater: Vi rapporterer fund på lokations- eller afdelingsniveau. Ingen navne på medarbejdere, der holdt døren eller ikke spurgte om ID.

Fokus på læring: Formålet er at forbedre sikkerheden, ikke at finde syndebukke. Medarbejdere, der bliver “snydt”, gør det af gode grunde: de vil gerne hjælpe.

Ingen konfrontation: Vi konfronterer ikke medarbejdere under testen. Ingen ubehagelige situationer, ingen ydmygelser.

Det er vigtigt, at jeres medarbejdere bagefter oplever det som en læringsmulighed, ikke som en fælde.

Erfaring med fysisk sikkerhed

Fysisk sikkerhed har altid været en del af mit arbejde med IT-sikkerhed. De to hænger uløseligt sammen.

Finanssektoren: Danske Bank og EDC, hvor fysisk adgangskontrol er en integreret del af det samlede sikkerhedsbillede.

Offentlige myndigheder: Styrelser med publikumsadgang, mange besøgende og følsomme data. Miljøstyrelsen er blandt mine referencer.

Kritisk infrastruktur og forsyning: Organisationer, hvor fysisk adgang til kontrolrum eller tekniske installationer kan have alvorlige konsekvenser. Fortrolighed er en naturlig del af arbejdet her.

Den erfaring betyder, at jeg ved, hvad der virker i praksis, og hvad der bare ser godt ud på papiret.

Sådan foregår en fysisk sikkerhedstest

1. Planlægning
   Vi aftaler scope, metoder og lokationer. Hvilke bygninger? Hvilke metoder er tilladte? Hvem ved, at testen foregår?
2. Rekognoscering
   Jeg observerer jeres lokationer, rutiner og adgangskontrol. Hvornår kommer folk? Hvornår går de? Hvor er indgangene?
3. Test
   Jeg udfører de aftalte tests over en aftalt periode. Det kan være en enkelt dag eller spredt over flere uger.
4. Dokumentation
   Alle forsøg dokumenteres. Hvad gjorde jeg? Hvad skete der? Kom jeg ind? Blev jeg stoppet?
5. Rapport
   I får en rapport med fund, metoder og prioriterede anbefalinger til forbedring.
6. Gennemgang
   Vi gennemgår resultaterne sammen, så I forstår fundene og ved, hvad I skal gøre.

Det får I med en fysisk sikkerhedstest hos Nielco IT

• Realistisk test af jeres fysiske adgangskontrol
• Konkret dokumentation af, hvad der virker, og hvad der ikke gør
• Test af medarbejdernes reaktion på uvedkommende
• Prioriterede anbefalinger til forbedring
• Anonymiserede resultater, der fokuserer på læring
• Sparring med en specialist med 30+ års erfaring fra finanssektoren og kritisk infrastruktur

Find ud af, om jeres fysiske sikkerhed holder

Ring på 70 13 63 23 eller udfyld formularen.

Så tager vi en snak om jeres lokationer og finder ud af, hvilke tests der giver mening.