Overheden beginnen fysieke toegang op te merken

Cybersecurity heeft het afgelopen decennium grote stappen gezet. Fysieke toegang heeft die ontwikkeling niet meegemaakt. Dat verandert nu.

Wat we hoorden

De afgelopen maanden heb ik met de Australische overheid gesproken, op zowel staatsniveau als federaal niveau, over hoe fysieke toegang tot locaties wordt beheerd.

Op staatsniveau heb ik dit aangekaart tijdens een Community Cabinet met de Queensland Minister for Customer Services en daarna een nota nagestuurd waarin fysieke toegangscontroles worden afgezet tegen het IS18-beleidskader en de ISO 27001-eisen.

Op federaal niveau heb ik dezelfde vraag voorgelegd aan Andrew Wallace MP tijdens een Defence Forum, specifiek over AUKUS en geallieerd personeel op gedeelde Australische locaties.

De antwoorden waren consistent. De kernlocaties zijn doorgaans goed op orde. Maar in het bredere veld, dus bij contractanten, gedeelde locaties en omgevingen met meerdere instanties, is het beheer van fysieke toegang ongelijkmatig en nog niet zo volwassen als cyberbeveiliging.

Wat de normen daadwerkelijk vereisen

Bijlage A van ISO 27001:2022 bevat 14 fysieke beveiligingsmaatregelen. De vier die het meest relevant zijn voor toegangsbeheer (A.7.1 tot en met A.7.4) zijn helder: fysieke toegang moet per persoon worden vastgelegd, toegangsrechten moeten op basis van rol worden toegekend en periodiek worden herzien, elke binnenkomst en vertrek moet worden geregistreerd met tijdstempel, en de registraties moeten op verzoek opvraagbaar zijn.

Dit zijn geen ambities. Het zijn eisen die organisaties tijdens audits bevestigen. De vraag is of de operationele infrastructuur dat aankan.

Wat er meestal staat

Vier patronen komen telkens terug bij grote organisaties.

Het gat bij uitstroom. Als iemand vertrekt, wordt de elektronische toegang uiteindelijk wel ingetrokken. Mechanische sleutels komen op de laatste dag bijna nooit terug. Over verschillende locaties met verschillende systemen bestaat geen totaaloverzicht van wat een vertrekkende persoon nog in handen heeft.

De pas als gedeelde sleutel. Toegangspassen worden behandeld als mechanische sleutels en doorgegeven van de ene persoon naar de volgende, zonder herprogrammeren. De deur gaat open. In het audit-log staat een pasnummer, geen persoon.

Reconstructie duurt dagen, geen minuten. Als er afgelopen dinsdag om 2 uur in de nacht een beveiligingsincident plaatsvond en iemand vraagt wie op dat moment toegang had tot dat gebied, is het antwoord in de meeste organisaties niet meteen voorhanden. Voor elektronische toegang moeten logs uit meerdere systemen worden samengebracht en gekoppeld aan personeelsgegevens. Voor mechanische sleutels bestaat het antwoord misschien helemaal niet.

Audit als trigger. Organisaties ontdekken hun hiaten in fysieke toegang zelden via een eigen review. Het verschil tussen beleid en praktijk wordt pas zichtbaar als iemand een vraag stelt die de huidige systemen niet kunnen beantwoorden.

Waar dit heen gaat

Het patroon is bekend. IT, HR en finance hebben allemaal een periode gekend waarin data in silo's leefde, processen handmatig waren en integratie optioneel voelde. Regelgevende druk en operationele schaal hebben uiteindelijk tot integratie gedwongen.

Fysieke toegang nadert dat punt. AUKUS maakt complexer wie waartoe toegang nodig heeft op gedeelde locaties. Compliance-kaders zoals NIS2, DORA en de aangescherpte ISO 27001-eisen maken het lastiger om losse systemen te rechtvaardigen. De aandacht vanuit de overheid volgt.

De oplossing vereist geen vervanging van hardware. Wel het verbinden van wat er al staat, via een laag die drie vragen consequent kan beantwoorden: wie heeft waartoe toegang, is die toegang nog terecht, en kunnen we het aantonen.