Wat zijn de grootste risico’s bij fysieke beveiliging?

De afgelopen periode hebben we vanuit Rittal geprobeerd de grootste risico’s bij de fysieke beveiliging van data in kaart te brengen. Dat was geen eenvoudige opgave. De respons uit de markt was om begrijpelijke redenen eerder gering. Daarnaast bleek uit gesprekken met onder andere CISO’s en auditors dat het onderwerp veel raakvlakken heeft met bijvoorbeeld continuïteit. 

De gesprekken met die externe deskundigen waren interessant. Zonder dat de namen van bedrijven zijn genoemd is een redelijk beeld gekregen van veelvoorkomende risico’s.

Zo blijkt opvallend vaak de fysieke toegang tot een serverruimte een onderschat risico te zijn. We hoorden over ruimtes die niet op slot waren. Het tegenovergestelde komt ook voor. Serverruimtes die goed zijn afgesloten, maar waarvan de sleutel niet beschikbaar is tijdens een audit of incident omdat een medewerker afwezig is.

Dat voor veel ruimtes geldt dat onvoldoende wordt bijgehouden wie wanneer aanwezig was en met welke taak is door de externe deskundigen ook genoemd. Dat is voor de veelgebruikte certificeringen een punt waarop ze moeten letten. 

Toegang tot serverracks is lang niet altijd beperkt door sloten op de racks. Dat wordt schijnbaar wel eens over het hoofd gezien. Dat geldt ook voor de rest van de constructie. De hardware in een serverrack moet gewoon niet makkelijk vanuit de voorzijde, zijkant of achterzijde te bereiken zijn voor onbevoegden. Daarnaast vergroot makkelijke toegang tot serverruimte en rack de kans op onvoorziene incidenten met de stroomvoorziening, netwerk connectiviteit, monitoring tools en eventueel de koeling.

Wat evenmin wordt gezien als een serieus risico is de directe omgeving van het serverrack. Serverruimtes die gedeeltelijk als opslag worden gebruikt komen veel voor. Makkelijk brandbare stoffen, waaronder papier, hebben in een serverruimte niets te zoeken. Het risico hierbij is dat de continuïteit van een bedrijf in gevaar kan komen. Auditors valt zoiets direct op en zij zullen dat ook rapporteren. 

Risico’s van een andere orde zijn de aanwezigheid van USB of ethernet poorten die vanaf de buitenkant van het serverrack kunnen worden bereikt. Dat behoeft geen verdere uitleg en toch schijnt dat voor te komen, net als de aanwezigheid van niet gedocumenteerde hardware in een serverrack.

Kortom, er zijn redenen om aan te nemen dat risico’s in en rond een serverrack aanwezig zijn. Zij worden makkelijk onderschat of zelfs over het hoofd gezien.