Tailgating

Om du söker på begreppet tailgating i ordböcker stöter du ofta på den amerikanska betydelsen ”ligga för nära framförvarande fordon”. Något som visserligen är farligt ur säkerhetssynpunkt eftersom du kan bli påkörd bakifrån, men i den här kontexten är det inte vad som avses. Betydelsen vi avser här gäller den typ av tailgating som även kallas piggybacking.

I det här sammanhanget handlar det om att skaffa sig olagligt tillträde till områden där hög säkerhet måste råda. Definitionen att ligga för nära framförvarande fordon är inte helt fel, eftersom man skaffar sig tillträde genom att följa efter tätt bakom någon annan. Då kan alltså någon utge sig för att vara ett bud utan en fri hand för att kunna öppna dörren in till ett företag. Eftersom budet ser ut att behöva hjälp håller en anställd upp dörren så att det förmenta paketbudet kan följa med in och därmed skaffa sig tillträde.

Det är viktigt att understryka att tailgating i första hand gäller själva tillträdet, så kallad access tailgating. Det är med andra ord en fysisk attack, eftersom inkräktaren får tillträde till ett skyddat område som normalt bara är tillgängligt för behöriga personer. Tailgating ska dock inte betraktas som en isolerad företeelse, utan ingår i ett större koncept. För att fortsätta med exemplet vi började med: När den till paketbud kamouflerade inkräktaren har kommit in i det skyddade området kan nästa steg bli att skaffa sig åtkomst till företagets datorer för att skörda lösenord.

En inkräktare behöver inte utge sig för att vara ett paketbud med fulla händer för att skaffa sig tillträde, det finns även andra metoder att ta till. Även bud som inte har famnen full kan försöka att komma in i byggnaden genom att hävda att en försändelse måste överlämnas personligen.

På stora företag och arbetsplatser där inte alla känner varandra kan någon även säga sig ha glömt sitt passerkort. Här förespeglar personen förtrolighet och utnyttjar dessutom andras hjälpsamhet. Trots att man egentligen vet att man inte får släppa in okända i lokalerna kan personen i fråga vara mycket övertygande om sin företagsrelation.

Det är även populärt att säga sig ha en avtalad tid med någon. På så sätt kan inkräktaren hävda att ett möte är bokat med en person som han eller hon har hittat på företagets webbplats. Det skapar trovärdighet och personen gör ett pålitligt intryck.

Access tailgating är en effektiv metod för att komma åt känsliga data, men det är också en del av en större kontext. Det övergripande begreppet kallas social manipulation, och utöver tailgating finns det även andra sätt att komma åt känsliga data och skaffa sig åtkomst till dessa.

Det alla har gemensamt är att de alltid fokuserar på människan. Mer exakt: människan är den svaga punkten. Här spelar människans psykologi en stor roll. Genom att skickligt manipulera mänskliga egenskaper kan inkräktaren lägga vantarna på informationen.

Men exakt vilka svaga punkter är det som utnyttjas vid social manipulation? Dels kan det handla om rädsla. Kanske har man fått mejl i skräpkorgen med hot om att alla data kommer att raderas om man inte lyder uppmaningarna i mejlet. Även om man tror att sannolikheten att det kommer att ske är ganska liten, är det ändå en och annan som tar det säkra för det osäkra. Hotet kan även kombineras med stress. Om en åtgärd inte vidtas före ett visst datum kommer data att raderas, lösenord spridas och liknande.

Även hjälpsamhet utnyttjas ofta, som du såg i exemplet ovan. Inkräktaren spelar ofta en roll som signalerar behov av hjälp. Handlingen att hjälpsamt hålla upp dörren är därmed ett potentiellt hot som verkligen lämnar dörren vidöppen i ordets sanna bemärkelse.

Andra verktyg som ofta används är förtroende och auktoritet. Det kan ske vid inpasseringen som beskrivs ovan genom att någon utger sig för att jobba på företaget och därmed övertygar andra anställda att öppna. Verktygen kan dock även användas i mejl eller över telefon. Någon kan utge sig för att ha en viktig befattning i företaget och utifrån sin ställning mejla eller ringa och fråga efter lösenord eller annan känslig information. Framför allt om mejlet verkar komma från en chef kan det då hända att man inte kontrollerar att personen verkligen är den hon eller han utger sig vara. Här bör man vara särskilt på sin vakt i större företag där man (även i ledningen) inte känner alla.

Dessa mänskliga svagheter används även vid tailgating, vilket innebär att så kallad access tailgating också hör till social manipulation.

En fara som redan har beskrivits är naturligtvis att inkräktaren får obehörig åtkomst genom access tailgating. Det är dock bara början, eftersom det som kommer efteråt är minst lika viktigt. Väl inne i företagets lokaler kan inkräktaren försöka på tag på lösenord och företagsintern information.

Som anställd bör du alltid ha detta i bakhuvudet eftersom uppgifter som hamnar på avvägar kan få allvarliga konsekvenser. För det första kan företaget orsakas stora skador som kan att kosta miljoner att åtgärda. För det andra riskerar du även din egen anställning i företaget om det kommer fram att det ditt agerande har lett till ett säkerhetshål.

Den gamla devisen ”att lita på, men kontrollera” bör i detta sammanhang följas ordagrant. Det är alltid bättre att fråga en gång för mycket än för lite för att förebygga obehörig åtkomst.

Det finns olika angreppssätt på olika nivåer att förebygga tailgating.

Som redan nämnts ett flertal gånger är det människan, alltså den anställda, som är den svaga punkten vid dessa attacker. Det är därför en klok utgångspunkt erbjuda utbildningar om säkerhet och cybersäkerhet på företaget, där man går igenom hur man avslöjar och hanterar attacker. Det är särskilt lämpligt gällande tailgaiting eftersom attacker av denna typ inte bara kan diskuteras utan även simuleras under utbildningen. På så sätt får kursdeltagarna även praktisk övning utöver den grundläggande informationen.

Generellt sett är det naturligtvis också viktigt att följa gällande, välkända säkerhetsrutiner. Det kan handla om att ha med sig sitt passerkort eller stämpla in och ut. Allt detta bör ovillkorligen och undantagslöst följas. Just här visar sig återigen det som vi redan har nämnt: det är människan som är säkerhetsrisken. Hur svårt det än kan vara att neka en vänlig medmänniska hjälp måste man alltid agera konsekvent när det handlar om säkerheten.

Även flerfaktorsautentisering är att rekommendera. Det innebär att det inte bara räcker med ett steg för att få tillträde till en byggnad. Det kan jämföras med inloggning till din internetbank där du även måste skriva in en kod som skickats via sms eller mejl när du har loggat in med ditt bank-ID.

Andra säkerhetsverktyg som kan användas är digitala låsmedier, exempelvis smartcard eller transponder, som säkerställer att bara behöriga personer får tillträde till en byggnad. Men här finns återigen risken att det är svårt att neka en vänlig fråga från ett bud (eller någon som utger sig för att vara det) om att få följa med in i byggnaden.

Det kan vara mycket effektivt bara ge tillträde till en person i taget. Det kan jämföras med en bom i ett parkeringshus som fälls ner efter en bil innan nästa får passera. När ett så kallat enpersonssystem används går det inte att ta med sig någon in som saknar giltigt identifikationsmedium.

Produkter från SimonsVoss tillhandahåller säkerhetstekniken som krävs för att förhindra tailgating. Med ett tillträdeskontrollsystem från SimonsVoss har enbart personer med ett godkänt identifikationsmedium, som en transponder eller ett smartcard, tillträde till en byggnad eller en lokal. Men tänk på att bara de som faktiskt har tillträdesbehörighet verkligen ska få passera tillträdeskontrollen för att säkerheten ska kunna garanteras.

Om du i förväg vet att exempelvis ett bud ska komma till företaget tilldelar du budet en tillfällig tillträdesbehörighet eller skapar den med MobileKey på en smartphone. Då får budet tillträdesbehörighet och du kan vara rätt säker på att den som utger sig för att vara ett bud också är det, något som minskar risken för tailgating-attacker avsevärt.