Studenten beloond voor stelen laptops voor de wetenschap

Beloond met studiepunten
Sterker nog, de studenten ontvingen zelfs studiepunten voor de diefstallen. UT-onderzoeker Trajce Dimkov instrueerde de studenten om laptops te stelen als wetenschappelijk experiment. Het bleek dat het ontvreemden van deze laptops vrij eenvoudig was.

Trajce Dimkov promoveert op 23 februari aan de Universiteit Twente. Hij deed onderzoek naar veiligheidsbeleid van organisaties. Onder het voorwendsel van een gebruikersonderzoek leende Dimkov laptops uit aan dertig willekeurig gekozen medewerkers van de universiteit.

Terugstelen
Dimkov instrueerde vervolgens studenten om deze laptops terug te stelen als wetenschappelijk experiment. De studenten deden zestig pogingen, waarvan er dertig slaagden. Uit het onderzoek blijkt dat een organisatie perfecte beveiligingssystemen kan hebben, maar dat je systeem staat of valt bij het menselijk gedrag.

’Gladde praatjes’
Dimkov: “Mensen vergaten bijvoorbeeld de deur op slot te doen. Soms verzonnen de studenten een goede smoes waarna de schoonmaakster of conciërge de deur voor ze opende. Sommige studenten wisten de laptops te bemachtigen door zich voor te doen als technici. Of ze zeiden dat ze hun laptop vergeten waren uit het kantoor van hun begeleider en dat ze dringend met hun opdracht verder moesten. Mensen hebben de neiging zich dienstverlenend op te stellen en gladde praatjes zijn soms moeilijk te doorzien.”

Ketting
De medewerkers die de laptops leenden, werden geïnstrueerd om de laptop altijd aan het bureau vast te maken met een ketting. Ook moesten ze de deur van de kamer afsluiten als ze weggingen en de laptop met een wachtwoord vergrendelen.

Beveiliging ingelicht
Om te voorkomen dat de studenten in de cel zouden belanden is van tevoren de beveiliging ingelicht. Om diefstal in de toekomst te voorkomen, ontwikkelde Dimkov een prototype van een soort navigatiesysteem dat inzichtelijk maakt op welke manieren laptops gestolen kunnen worden.

Scenario’s en gaten in de beveiliging
In dit model stop je gegevens, zoals een plattegrond, informatie over medewerkers, regels, sloten en beveiligingscodes. Het model verbindt deze informatie door middel van algoritmes en produceert hiermee scenario’s waardoor eventuele ‘gaten’ in de beveiliging naar voren komen. Dimkov: “Criminelen hebben niks aan dit systeem, zonder alle input. Aan een navigatiesysteem zonder kaart heb je immers ook niets.”

Trajce Dimkov voerde zijn promotieonderzoek uit binnen de vakgroep Distributed and Embedded Security van het onderzoeksinstituut CTIT. Hij werd hierbij begeleid door prof. dr. Pieter Hartel en dr. ir. Wolter Pieters. Het onderzoek is financieel mede mogelijk gemaakt door STW.