Waarom kwetsbaarheden terugkomen bij fysieke pentesten

Fysieke beveiliging van gebouwen is zelden “stuk” in de basis; kwetsbaarheden ontstaan meestal door:

• Onheldere verantwoordelijkheden (beheer, facilitair, IT, beveiliging, leveranciers)
• Afwijkingen van het ontwerp door dagelijkse operatie (spoed, gemak, doorstroom)
• Onvoldoende beheer en periodieke controle (rechten, logboeken, camera’s, sleutels)
• Gebrek aan awareness en consequente opvolging

Bij een pentest of penetratietest wordt vooral zichtbaar waar processen niet aansluiten op de werkelijkheid. Dit sluit aan op bekende thema’s uit veel voorkomende kwetsbaarheden bij pentesten en op bevindingen uit methoden van fysieke pentesten.

Toegangscontrole systemen: techniek goed, proces zwak

Toegangscontrole is vaak aanwezig, maar kent terugkerende zwakke plekken in beheer, configuratie en “tailgating”-risico. Daardoor wordt fysieke beveiliging van gebouwen op cruciale punten ondermijnd.

Typische zwaktes

• Te ruime autorisaties: medewerkers, contractors of schoonmaak krijgen toegang tot meer zones dan nodig.
• Geen tijdvensters: passen werken 24/7 terwijl alleen kantoortijden nodig zijn.
• Onvoldoende anti-passback / anti-tailgating: één badge opent voor meerdere personen.
• Fail-open ontwerp: deuren ontgrendelen bij stroomuitval of storing zonder adequate compensatie.
• Slechte koppeling met HR/uitdiensttreding: passen blijven actief na vertrek.

Voorbeelden uit een fysieke pentest

• Een tester loopt mee met een medewerker door een beveiligde deur (“tailgating”) omdat er geen controle is op één persoon per badge.
• Een tijdelijke leverancier heeft nog toegang tot serverruimtes omdat autorisaties niet zijn ingetrokken na afronding van een project.
• Een zijdeur blijkt structureel op een “vrije doorgang”-stand te staan voor rookpauzes, terwijl dit niet in beleid of logica is opgenomen.

Camerabeveiliging zwaktes: zichtbaarheid zonder bewijs

CCTV wekt vaak een gevoel van veiligheid, maar zwaktes zitten in positionering, kwaliteit, retentie en opvolging. Camera’s leveren dan wel beeld, maar niet de juiste beelden of geen actie.

Typische zwaktes van camerabeveiliging

• Dode hoeken bij deuren, tourniquets, trappenhuizen, laadkades en nooduitgangen.
• Onvoldoende resolutie/hoek: gezichten of badges zijn niet herkenbaar.
• Onvoldoende retentie: opnames worden te kort bewaard voor incidentonderzoek.
• Geen time-synchronisatie: mismatch tussen toeganglogs en camerabeelden.
• Geen actieve monitoring of opvolgproces: meldingen worden niet gezien of niet opgevolgd.

Voorbeelden uit een fysieke pentest

• Een tester gebruikt een nooddeur die buiten beeld valt door een verkeerd afgestelde camera, waardoor de doorgang niet wordt vastgelegd.
• Bij een incident blijkt de opname al overschreven na zeven dagen, terwijl onderzoek pas later start.
• Een camera kijkt tegen tegenlicht in bij een entree; silhouetten zijn zichtbaar, maar identificatie is niet mogelijk.

Beveiliging van kantoren vs warehouses: andere risico’s, andere gaten

Kantoren focussen vaak op bezoekersstromen en vertrouwelijkheid; warehouses op logistiek en doorstroom. Het verschil in dynamiek leidt tot voorspelbare zwakke plekken, vooral bij gedeelde zones.

Typische zwaktes in kantoren

• Receptie als “enkele schil”: na de receptie volgen verdiepingen met beperkte zonering.
• Vergaderruimtes nabij entree: bezoekers kunnen verder het pand in zonder begeleiding.
• Flexplekken: onbeheerde werkplekken en documenten/whiteboards.

Typische zwaktes in warehouses

• Laad- en losprocessen creëren openstaande deuren, docks en tijdelijke doorgangen.
• Meerdere partijen (transporteurs, uitzendkrachten, contractors) met wisselende toegang.
• Perimeter en docks zijn lastiger te overzien, zeker in avond/nacht.

Voorbeelden uit een fysieke pentest

• Kantoor: een tester meldt zich als “monteur”, krijgt een bezoekersbadge en loopt vervolgens zonder escort naar een verdieping omdat er geen fysieke scheiding na de ontvangstzone is.
• Warehouse: een tester loopt mee met een chauffeur door een dockdeur die tijdens piekuren openstaat; er is geen scheiding tussen goederenroute en personeelsroute.

Perimeter security: de eerste schil is vaak de zwakste

De buitenschil is regelmatig ingericht op uitstraling en toegankelijkheid, niet op vertraging en detectie. Hierdoor wordt fysieke beveiliging van gebouwen al vóór de entree omzeild.

Typische zwaktes

• Hekwerk en poorten zonder anti-klim, met onderdoor-kruipruimte of met slecht sluitwerk.
• Onverlichte zones of onvoldoende zichtlijnen door begroeiing/parkeren.
• Onbeveiligde secundaire ingangen: leveranciersdeuren, fietsentrappen, keldertoegangen.
• Nooddeuren met gebrekkige signalering of zonder consequente controle.

Voorbeelden uit een fysieke pentest

• Een tester komt via een slecht verlichte achterzijde bij een deur met verouderd beslag; de deur sluit niet volledig en is met lichte druk te openen.
• Een poort heeft een tijdsvertraging in sluiting, waardoor meeliften met een voertuig (“piggybacking”) eenvoudig is.

Onbeheerde toegangscontrole: ‘wie beheert dit eigenlijk?’

Veel kwetsbaarheden komen niet uit het systeem zelf, maar uit het ontbreken van eigenaarschap en routinecontroles. Dat maakt de omgeving gevoelig voor sluipende verslechtering.

Typische zwaktes

• Geen periodieke recertificatie van toegangsrechten (wie mag waar en waarom?).
• Geen review van alarmen en logbestanden (deur geforceerd, te lang open, nooddeuractivatie).
• Sleutel- en badgebeheer zonder uitgifte- en innameproces.
• Vendor management: installateurs hebben blijvende toegang of standaardcodes.

Voorbeelden uit een fysieke pentest

• Een badge van een oud-projectpartner werkt nog; niemand heeft een periodieke lijstcontrole uitgevoerd.
• Een deur-alarm “te lang open” staat uit omdat het ‘te vaak afgaat’, waardoor echte afwijkingen niet meer opvallen.

Menselijke fouten (social engineering): de kortste route naar binnen

Menselijk gedrag is in vrijwel elke fysieke pentest een bepalende factor. Aanvallers gebruiken beleefdheid, haast en autoriteit om controles te omzeilen.

Typische zwaktes

• Geen escortbeleid of het beleid wordt niet nageleefd.
• Uniform- en legitimatieblindheid: kleding, tools of een clipboard wekken vertrouwen.
• Onvoldoende challenge-cultuur: onbekenden worden niet aangesproken.
• Deur-gewoontes: “even openhouden”, “even meepakken”, “even snel naar binnen”.

Voorbeelden uit een fysieke pentest

• Een tester draagt een reflectievest en zegt “ik kom voor een storingsmelding”; medewerkers laten hem door naar technische ruimtes zonder verificatie.
• In een kantoortuin vraagt de tester om “even mee te lopen” naar een afgesloten deur; iemand gebruikt zijn badge uit behulpzaamheid.
• Een bezoeker blijft na afloop van een afspraak rondlopen omdat niemand controleert of de bezoekersbadge is ingeleverd.

Praktische maatregelen die vaak het meeste effect geven

De grootste winst zit meestal in eenvoudige, herhaalbare controles en duidelijke verantwoordelijkheden:

• Segmentatie: maak zones logisch en afdwingbaar (publiek, bezoek, kantoor, kritisch, logistiek)
• Strak badge- en sleutelbeheer (uitgifte, inname, recertificatie)
• Heldere escort- en bezoekersprocessen (inclusief leveranciers)
• Camera’s op kritieke punten: entree, nooddeuren, docks, parkeer- en achterzijde
• Periodieke tests en verbetercycli met een onafhankelijke fysieke pentest

Van bevinding naar verbeterplan

Fysieke beveiliging van gebouwen wordt aantoonbaar sterker wanneer techniek, beheer en gedrag op elkaar aansluiten en periodiek worden gevalideerd. Een gerichte penetratietest maakt zichtbaar waar processen in de praktijk afwijken en welke maatregelen het snelst risico verlagen. Safetech P&R Groep ondersteunt bij het opzetten van een realistisch verbeterplan, het uitvoeren van een onafhankelijke validatie en het borgen van beheer, zodat fysieke beveiliging van gebouwen ook onder dagelijkse druk effectief blijft.