Tailgating

Hvis man leder efter udtrykket "tailgating" i ordbøger, vil der ofte stå "køre for tæt på forankørende", hvilket hidrører fra amerikansk. Selv om dette også kan være farligt ud fra et sikkerhedsmæssigt synspunkt i form af påkørsler bagfra, er det ikke det, der her menes med begrebet tailgating. Her er der snarere tale om den form for tailgating, som også kaldes "piggybacking".

I denne sammenhæng drejer det sig om ulovlig adgang til sikkerhedsrelevante områder. Forklaringen om "at følge for tæt på" er ikke helt forkert her, da man ofte skaffer sig adgang ved at følge nogen tæt. En person kan f.eks. udgive sig for at være et pakkebud med tunge pakker, der ikke har en hånd fri til at åbne døren til en virksomhed. Da det får ham til at se hjælpeløs ud, åbner en medarbejder døren for ham, så det formodede pakkebud følger tæt efter og får adgang. 

Det skal her understreges, at tailgating i sig selv først og fremmest kun handler om selve adgangen, dvs. såkaldt "access tailgating". Det er så at sige et fysisk angreb, idet angriberen får adgang til et beskyttet område, som normalt kun er tilgængeligt for autoriserede personer. Men tailgating skal ikke betragtes isoleret, men er en del af et større system. Forklaret ved hjælp af ovenstående eksempel: Hvis en ubuden gæst, der er forklædt som pakkebud, befinder sig i det beskyttede område, kan denne også få adgang til de computere, der befinder sig der, for f.eks. at udspionere adgangskoder eller lignende.

Der findes også andre teknikker til at skaffe sig adgang til beskyttede områder end at udgive sig for at være et tungt belæsset pakkebud. Selv en budbringer, der ikke er tungt belæsset, kan forsøge at komme ind i en bygning, hvis denne hævder, at han/hun skal aflevere en forsendelse personligt. 

Især i større firmaer og virksomheder, hvor ikke alle medarbejdere kender hinanden, er der folk, der lader som om, at de har glemt deres ID-kort. Her simuleres der fortrolighed, og samtidig udnyttes andres hjælpsomhed. Selv om man egentlig godt ved, at man ikke må lukke fremmede ind i virksomheden, kan den indtrængendes foregivne tilknytning ofte virke overbevisende nok. 

Det er også "populært" at foregive, at man har en aftale. På denne måde kan "angriberen" foregive at have en aftale med en person, som han/hun tidligere har undersøgt på virksomhedens hjemmeside. På denne måde skaber han/hun også troværdighed og præsenterer sig selv som en troværdig person.

"Access tailgating" er et effektivt middel til at angribe følsomme data, men det er også en del af et større område. Den generelle betegnelse for dette er social engineering, som omfatter tailgating og andre måder at angribe følsomme data og få adgang på.

Fælles for disse er, at der altid er fokus på mennesker, når de forsøger at få adgang. Nærmere sagt: mennesket som sårbart led. Den menneskelig psykologi spiller her en stor rolle, fordi angriberen får fat i dataene ved at udnytte menneskelige egenskaber på en snedig måde.

Men hvad er de specifikke sårbarheder, der udnyttes i social engineering? På den ene side er der frygt. Man kender måske til spam-mails, der truer med at slette alle ens data, hvis man ikke efterkommer en anmodning i den pågældende e-mail. Selv om man anser muligheden for, at det er sandt, for at være meget lille, foretrækker nogle alligevel at "være på den sikre side". Dette kan også ske i kombination med tidspres: Hvis en handling ikke udføres inden en bestemt frist, slettes oplysningerne, adgangsoplysningerne videregives eller lignende.

Hjælpsomhed bliver også ofte udnyttet, som det fremgår af det ovennævnte eksempel med det tungt belæssede pakkebud. Generelt lader angriberen som om, at han/hun har brug for hjælp lige nu. Selv den hjælpsomme handling at holde en dør åben "åbner bogstaveligt talt døren" for en potentiel trussel.

Andre faktorer, der ofte anvendes, er tillid og autoritet. Det kan ske på stedet, som beskrevet ovenfor, hvis man lader som om, man er en ansat i virksomheden og dermed overbeviser andre ansatte om at åbne døren for sig, men også via e-mails eller telefon. Via telefon eller e-mail udgiver folk sig for at være en person, der har en vigtig funktion i virksomheden, og beder på denne måde om adgangskoder eller andre følsomme oplysninger. Især hvis e-mailen kommer fra en påstået overordnet, kan det føre til, at man i mindre grad sætter spørgsmålstegn ved, om personen virkelig er den, han/hun udgiver sig for at være. Især i større virksomheder, hvor man ikke kender alle (selv på ledelsesniveau), bør man være meget forsigtig.

Disse sårbarheder bruges også ved tailgating, så denne såkaldte "access tailgating" kan også anses som social engineering.

Det er klart, at selve faren, som allerede er blevet tydeligt fremhævet, er den uautoriserede adgang, som angriberen opnår gennem sin Access Tailgating. Dette er dog kun begyndelsen, for det, der følger efter adgangen, er også vigtigt. Når først angriberen er kommet ind i firmaets/virksomhedens lokaler, kan han/hun muligvis udspionere data og få kendskab til virksomhedens interne oplysninger.

Som medarbejder skal man altid være opmærksom på dette, for det kan trods alt få alvorlige konsekvenser, hvis data lækkes. På den ene side lider virksomheden selv en enorm skade, som kan løbe op i millioner. På den anden side bringer det også ens egen ansættelse i virksomheden i fare, hvis det kommer frem, at et sikkerhedsbrud er forårsaget af ens egne handlinger.

Det velkendte motto "tillid er godt, kontrol er bedre" bør derfor her tages bogstaveligt. I sidste ende er det bedre at spørge en gang til, før der sker uautoriseret adgang.

Der findes forskellige metoder til at bekæmpe tailgating, som starter på forskellige niveauer.

Som nævnt flere gange er det sårbare led ved sådanne angreb mennesket, dvs. medarbejderen. Det giver derfor god mening at starte her ved at tilbyde uddannelse i virksomheden om sikkerhed og cybersikkerhed og forklare, hvordan man kan genkende angreb og håndtere dem. Dette er især nyttigt, når det drejer sig om tailgating, fordi angreb af denne art ikke blot kan diskuteres på et træningsseminar, men også simuleres. Ud over den grundlæggende forklaring er der også et praktisk aspekt.

Generelt er det naturligvis også vigtigt at overholde gældende og kendt sikkerhedspraksis. Uanset om det drejer sig om at bære et firma-ID, stemple ind og ud, skal alle disse regler følges uden undtagelse og uden fejl. Og ud fra det, der lige er forklaret oven for, er det klart og tydeligt: Sikkerhedsrisikoen her er netop mennesket. Selv om det nogle gange kan være svært at nægte et venligt medmenneske et ønske, skal man være konsekvent, når det drejer sig om sikkerhedshensyn.

Det anbefales også at anvende multifaktor-autentifikation. Det vil sige: En variant alene er ikke altid nok til at få adgang til en bygning. Dette kan sammenlignes med de procedurer, som man kender, f.eks. når man logger ind på netbank, hvor man efter at have indtastet brugernavn og adgangskode modtager en e-mail eller en sms med en kode, som også skal indtastes.

Et andet sikkerhedsaspekt, der kan anvendes, er brugen af digitale låsemedier som f.eks. smartcards eller transpondere, som også sikrer, at kun autoriseret personale får adgang til en bygning. Dog er der stadig den mulighed, at det er svært at afvise en venlig anmodning fra en leverandør (eller en person, der udgiver sig for at være en leverandør) om at få lov til at komme ind i bygningen hurtigt.

Det kan også være meget effektivt at begrænse adgangen til én person ad gangen. Det kan sammenlignes med en bom ind til en parkeringsplads, der sænkes hver gang, før det næste køretøj kan køre igennem. At medbringe en person uden gyldigt identifikationsmiddel ville ikke være muligt ved at anvende et anlæg, der kun tillader én person at passere ad gangen.

SimonsVoss-produkter kan hjælpe med at levere den rette sikkerhedsteknologi til at forhindre tailgating. Med et adgangskontrolsystem fra SimonsVoss gives adgang til en bygning eller et rum kun til personer, der har et godkendt identifikationsmedie som f.eks. en transponder eller et smartcard. Man skal dog huske på, at de personer, der er autoriseret til de respektive adgangsrettigheder, kun må passere adgangskontrollen selv, uden undtagelse, for at garantere sikkerheden.

Hvis man f.eks. ved, at en leverandør kommer, kan man f.eks. give ham midlertidig adgangstilladelse på forhånd via MobileKey på smartphonen. På denne måde har leverandøren allerede adgangstilladelse, og man kan være sikker på, at den person, der hævder at være leverandør, også er det - og dermed reduceres risikoen for tailgating-angreb betydeligt.