Alarm over besmette usb-stick blijkt vals

Een bedrijf in Alblasserdam kreeg deze brief. @JPdeVreede
Geschreven door
Nik Wouters
Verslaggever economie

Een bedrijf uit Alblasserdam heeft ten onrechte alarm geslagen toen er twee weken geleden een besmette usb-stick naar het bedrijf werd gestuurd. In een envelop zat een brief en een usb-stick. 

Op de usb-stick stonden besmette bestanden waardoor de computer verbinding maakte met een extern netwerk. De wijkagent werd erbij gehaald en hij twitterde erover.

Uit onderzoek van de NOS blijkt dat de brief niet afkomstig is van criminelen, maar juist van een beveiligingsbedrijf. Hoffmann Bedrijfsrecherche voerde bij het bedrijf uit Alblasserdam een zogenoemde penetratietest uit. 

Een ander bedrijf, dat ook niet bij naam genoemd wil worden, zegt dat het precies zo'n zelfde brief heeft ontvangen en dat die terug te leiden was naar Hoffmann Bedrijfsrecherche.

Wij willen aantonen dat het met het bewustzijn in een organisatie niet altijd goed gaat.

Richard Franken, Hoffmann Bedrijfsrecherche

"Het zou heel goed kunnen dat die stick van ons afkomstig is", zegt Richard Franken, directeur van Hoffmann. "Ik zeg geen ja of nee, omdat we nooit iets zeggen over een actie bij een specifieke klant."

Hoffmann stuurt zo'n tien keer per jaar dit soort usb-sticks rond, in opdracht van bedrijven. "Dat is onderdeel van een bewustzijn-training. We zetten software op die sticks die verbinding maakt met onze systemen." 

Op die manier ziet het beveiligingsbedrijf of de usb-stick daadwerkelijk in een pc is gestopt. Is dat het geval, dan zakt het bedrijf voor de test. 

Politie

Bij het bedrijf in Alblasserdam was degene die wist van de test buiten de deur toen de usb-stick werd bezorgd. Collega's wisten van niets en haalden daarom de politie erbij.

"Ik ken in onze historie twee gevallen waarbij de politie erbij werd gehaald. Beide gevallen zijn terug te voeren op onvoldoende communicatie van de opdrachtgever", zegt Franken.

De politie Rotterdam zegt het vervelend te vinden dat er werk voor niets is gedaan, maar is ook blij dat er geen echte criminelen aan het werk waren. 

Wie wel

"Het grote probleem met dit soort testen is: wie informeer je wel en wie niet", zegt Wolter Pieters, ict-onderzoeker bij de TU Delft en de Universiteit Twente. "De medewerkers die je wil testen mogen natuurlijk niet precies weten wat je gaat doen."

"Wat je kunt doen, is de mensen van de informatiebeveiliging op de hoogte brengen. En dan moet je maar hopen dat degene die de brief openmaakt eerst naar hen stapt en niet eerst naar de politie."