De Illegale actie!

Met enige regelmaat breek ik samen met collega’s als MysteryGuest in bij bedrijven. Op deze manier vallen we allerlei soorten organisaties aan om zo de mens-kant van informatiebeveiliging te testen. Kom je binnen? Verstrekken mensen vertrouwelijke informatie en kun je dossiers inzien? Altijd op verzoek van het desbetreffende bedrijf en met een getekende vrijwaringsverklaring. Tot vorige week, toen ging het net niet goed genoeg…

Tijdens de briefing kregen mijn collega MysteryGuest en ik alle details van de projectleider. Volgens onze dekmantel keken we naar de arbeidsomstandigheden. De omschrijving van de locatie die we aan moesten vallen was heel specifiek: een statig wit gebouw met hoge ramen en een beeld in de tuin. Ik hoor het hem nog zeggen: je kunt het niet missen!

De ochtend was aangebroken en mijn collega en ik hesen ons in onze speciale inspectie outfit! In onze MysteryGuest kledingkast tref je allerlei soorten kleding: brandweerpakken, bouwhelmen, stalen V-tjes van de beveiliging, gieters, meetapparatuur en allerlei soorten bedrijfskleding van niet bestaande bedrijven. We klikten twee rolmaten aan onze broeken en ik keek naar mijn schoenen met stalen neuzen: alles even onflatteus.

De navigatie leidde ons naar de locatie, en toen de vriendelijke stem zei dat de bestemming zich aan de linkerkant bevond zagen we inderdaad een statig wit gebouw met hoge ramen en een beeld in de tuin. De actie kon beginnen! Een flinke tijd later liepen we met een grote glimlach terug naar de auto, een geslaagde actie achter de rug. Onze dekmantel werd als zoete koek geslikt, we hadden veel informatie verzameld en foto’s gemaakt. We meldden ons af bij de projectleider en de opdrachtgever. Toch bleef ik achter met een vreemd gevoel in mijn buik. De persoon waarmee we koffie hadden gedronken sprak over een andere bedrijfsnaam. Maar tijdens de actie kon ik daar niets over zeggen zonder mijn dekmantel vrij te geven. Mijn collega gaf aan dat er de laatste tijd veel overnames in de branche zijn geweest. “Patries, het adres klopt, statig wit gebouw, hoge ramen, beeld in de tuin. Dit is het”.

We reden de parkeerplaats af en ik staarde uit het raam. Na enkele honderden meters zag ik aan de andere kant van een parkje een wit gebouw met een beeld in de tuin verschijnen. Terwijl ik wit weg trok stootte ik mijn collega aan en ik wees met mijn hand voor mijn mond naar het gebouw. Met hartkloppingen belden we de projectleider en vroegen om nog meer details over het pand. In eerste instantie begreep hij de vraag niet, we hadden ons zojuist afgemeld? Of we door een slagboom zijn gereden? We hadden nooit een slagboom gezien en toen wist ik het zeker: onze succesvolle actie was illegaal, we hadden het verkeerde gebouw aangevallen!

Het daaropvolgende half uur stond in het teken van rondbellen en excuses maken. Bij onze projectleider, onze werkgever, onze echte opdrachtgever en natuurlijk bij het bedrijf waar we anderhalf uur zonder toestemming rond hebben gelopen. Wij als uitvoerende MysteryGuest waren er ziek van, maar gelukkig konden alle andere partijen er hartelijk om lachen! Dat voelde als een last van mijn schouders, dit had heel vervelend uit kunnen pakken. We hebben alsnog de juiste locatie aangevallen, helaas voor hen – en gelukkig voor ons, ook weer succesvol. Opgelucht ontdeed ik mij van mijn dekmantel: succesvol als MysteryGuest, blijkbaar ook wanneer het niet toe is gestaan.

Patricia van Schaik is Security Consultant bij LBVD en schrijft over haar ervaringen op het gebied van informatiebeveiliging. Patricia is te bereiken via pvanschaik@lbvd.nl.