Kadonnut vierailijakortti on tietoturvauhka?

Mitä vääriin käsiin päätynyt vierailijakortti voi aiheuttaa yrityksellesi?

Löysin taannoin bensa-asemalta erään isohkon tunnetun yrityksen vierailijakortin. Tällaisten korttien yleisenä tarkoituksena on viestittää muille yrityksen tiloissa liikkuville, että kyseessä on vierailija. Edistyneimmissä korteissa voi olla mukana myös kulkuoikeuksiin viittaavaa tietoa, esimerkiksi korttia näyttämällä pääsee automaattisesti tietyistä ovista läpi jne.

Löytynyt kortti sisälsi seuraavaa tietoa:

  • Firman nimi ja logo
  • Vierailijan koko nimi
  • Vierailijan edustama yritys
  • Vierailijan isännän nimi
  • Päivämäärä
  • Jokin ID-numero
  • Viivakoodi

Näiden tietojen lisäksi itse kortti on erityisellä tavalla muotoiltu ja sen pystyy kiinnittämään asusteeseen helposti.

Mitä vierailijakortti kertoo yrityksen turvallisuudesta?

Ensimmäiseksi voisi ajatella, että tätä korttia ei olisi kannattanut kadottaa, sillä kortti mahdollistaa yrityksen tiloissa liikkumisen ”vierailijana” sekä helpottaa sosiaalista hakkerointia. Mutta asian voi ajatella myös toisin:

  • Erityinen muotoilu ja kiinnittämiskeino viittaavat siihen, että kortteja tehdään usein ja automaattisesti. Vierailut ovat siis arkipäivää yrityksessä.
  • Korttiin on merkitty päivämäärä isoilla numeroilla. Kauempaakin jo näkee, koska kortti on voimassa ja koska ei.
  • Epäselvissä tilanteissa asian voi tarkistaa vierailijakorttiin merkityltä yrityksen edustajalta (isännän nimi).
  • ID-luku ja viivakoodi eivät kerro ulkopuoliselle mitään, mutta sisäisesti niillä on jokin merkitys. Se voi olla esim kortin aitouden tarkistukseen liittyvää tietoa.

Kortti mainostaa löytäjälleen, että tässä yrityksessä on todella ajateltu vierailijoista aiheutuvia riskejä.

Miten sinun yrityksessäsi otetaan vierailijat vastaan, missä tiloissa he saavat liikkua ja tunnistavatko muut työntekijät vierailijan?

Entä mitä vieraat saavat tehdä tai nähdä tiloissasi? Lue lisää esimerkiksi siitä, miten valokuvaaminen vaarantaa tietoturvan tai mitä kaikkea vierailijat voivat nähdä, jos yrityksessäsi ei noudateta puhtaan pöydän periaatetta.

Näitä kysymyksiä kannattaa pohtia, sillä kaikkia tietoturvahyökkäyksiä ei tehdä tietotekniikan avulla!

Vastaa

Sähköpostiosoitettasi ei julkaista.