Dengang jeg konfronterede en tail gater

Sikkerhedspolitikken siger, at du skal konfrontere en person på gangene, hvis han/hun ikke bærer synligt (gæste)skilt, eller hvis du ikke kender ham/hende. Det gjorde jeg engang. Det er ikke et af mine stolteste øjeblikke.

Han kom ind på fjerde sal bag efter nogle kollegaer, som jeg havde arbejdet sammen med i årevis. Han havde ikke noget gæsteskilt, og jeg havde aldrig set ham før.

Med episoderne om direktørens bærbare, der var forsvundet i en frokostpause (harddisken var heldigvis krypteret), og kassen med kasserede bærbare, som forvandt den fredag eftermiddag, hvor vi andre holdt julefrokost, i frisk erindring, gik jeg selvfølgelig hen til ham.

'Hvad er det nu, du hedder'?
'Bjarke.'
'Hvor er det nu, du hører til'?
'I udviklingsafdelingen.'
'Nåh, så er du en af de nye'?
'Nej, jeg har været her i 9 måneder.'

Jeg vidste, vi havde en Bjarke ansat. Og jeg var klar over, at jeg ikke helt havde styr på udviklerne, som sad i en anden bygning. Så her er det, at situationen bliver kompliceret (læs: pinlig, for han havde sikkert præsenteret sig på et personalemøde).

Han var tydeligvis ikke en helt almindelig tail gater. Enten var han en velforberedt industrispion, eller også var situationen pinlig, fordi jeg ikke havde genkendt en kollega.

Mens lejlighedstyverier er forholdsvis almindelige, så er industrispionage relativt sjældent. Og afhængig af, hvad de var efter, så er tail gaiting ikke nødvendigvis den mest oplagte måde. Så jeg antog, at han faktisk var Bjarke.

Men jeg havde en dårlig smag i munden bagefter. Det var ikke det, at situationen var lidt pinlig for mig. Det var mere det, at situationen var umulig, og at jeg havde mistet troen på, at en sikkerhedspolitik på dette område virker.

Tail gaiting kombineret med begavet social engineering vil formentlig virke hver gang, med mindre du er meget formalistisk og rigid. Og det er bare ikke en holdbar situation. Kollegaers tolerancetærskel stopper i min erfaring allerede inden helt almindelige sikkerhedspolitikker.

Samtidig er det de færreste medarbejdere, man kan få til at konfrontere folk, de ikke kender. Langt de færreste kvinder gør det, og kun et fåtal af mænd gør. De færreste synes, det er en rar situation, og mange skænker det overhovedet ikke en tanke.

Så hvordan overholder vi pkt. 9.1.2 (Sikre områder skal beskyttes af adgangskontrol, så kun autoriserede personer kan få adgang.) i DS484, når nu sikkerhedspolitikken ikke virker? Og hvis du har en god historie om tail gaiting, så vil jeg også gerne høre den.

Kommentarer (9)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Kristian Thy

Enmands-sluser i indgangspartierne, udelukkende med adgang ved indlæsning af adgangstegn og indtasting af personlig kode.

Okay, det er lidt dyrt at implementere og det er møgtræls for postbudet der skal køre pakkeburet igennem sådan en satan, så måske ikke optimalt ... ;-)

  • 0
  • 0
Mikael Vingaard

Har personlig oplevet alt fra mild forbløffelse til et stille "dumme svin", når jeg høfligt bad folk om at henvende sig i receptionen fremfor at smutte med mig ind ved en af personaleindgangene.

Efter min mening er løsningen en zone inddeling af virksomhedens lokale. Naturligvis giver det ikke mening at sikre receptionen med samme høje niveau som f.eks. R&D. Hvilken form for adgangskontrol (adgangskode/mantrap/overvågning/etc.) der skal benyttes til de forskellige lokaler? Det skal risikovurderingen gerne kunne give os svar på :-).

  • 0
  • 0
Thomas Lønskov Luther

Nej det gør folk nok ikke, men er det ikke nærmere et udtryk for folks manglende følelse overfor sikkerhed så? Mange virksomheder er nød til at indføre den slags sikkerhed, fordi man ikke kan have gud og hver mand til at rende rundt på gangene og lure eller stjæle bærbare eller andet. Fysisk sikkerhed er klart et problem og en udfordring for sikkerhedsafdelingen, men jeg mener så også at det er medarbejdernes pligt til at hjælpe med at overholde disse sikkerhedsregler, og acceptere at hvis de har glemt deres kort eller det ikke er synligt, så bliver de konfronteret med det.

  • 0
  • 0
Jesper Laisen

>men er det ikke nærmere et udtryk for folks manglende følelse overfor sikkerhed så?

Nej, jeg tror, det for mange er grænseoverskridende at gå hen til en fremmed og konfrontere dem pga. manglende id-kort.

Selvfølgelig virker mange uforstående, ja nærmest ligeglade med mange sikkerhedsissues, men her er det nok noget andet, der er på spil.

Jeg kan da ærlig talt godt forstå, at fx en spinkel kvinde er tilbageholdende med at konfrontere en granvoksen mand.

  • 0
  • 0
Peter Makholm

Jeg mener det både er et udtryk for folks forhold til sikkerhedspolitikken, folks grænser og kvaliteten af sikkerhedspolitikken og kommunikationen af den.

Skal man løse problemet må man selvfølgelig lave en kausalanalyse af hvordan de enkelte symptomer hænger sammen. I det aktuelle tilfælde ville jeg nok regne med noget ala: Det overskrider folks grænser at konfronterer andre og enten har de ansatte en begrundet holdning til at politikken er overdrevet (dårlig kvalitet) eller også er grunden ikke kommunikeret ordentligt ud (dårlig kommunikation).

  • 0
  • 0
Jørgen Elgaard Larsen

Problemet med den situation, som Jesper beskriver, er at det er Jesper, der føler sig pinligt berørt over at konfrontere en person uden kort. I stedet burde det være Bjarke, som var pinligt berørt, fordi han ikke fulgte sikkerhedspolitikken ved at bære ID.

Det er et spørgsmål om kultur, hvem af de to, der føler sig pinlig berørt. Vores private kultur siger os, at det er uhøfligt at konfrontere folk, så hvordan får vi det vendt om på arbejdspladsen?

Det skal løses med kommunikation. En idé kunne være en løbende konkurrence om at opdage andre uden ID. F.x. kunne man aftale, at når en person var blevet antruffet uden ID 3 gange, skulle vedkommende give is/øl/flødeboller/andet til hele kontoret. Eller lave en wall of shame, som selv direktøren kan komme på...

Fidusen skal være, at det bliver helt i orden at påpege overfor selv ens nærmeste kollega, at han/hun ikke bærer ID. Og at insistere på at vedkommende viser ID eller henvender sig i receptionen.

Man kan også gøre det attraktivt at bære ID på anden vis: Lad nogle centrale, interne døre (f.x. døren til kaffeautomaten) være beskyttet af en elektronisk lås, som kun kan låses op med ID-kortet. På den måde har alle en grund til altid at bære ID.

Omvendt skal ID-systemet være udformet ordentligt. Kortlæsere skal være placeret fornuftigt, og kortholdere skal være designet ordentligt.
Som eksempel på det modsatte sidder jeg lige nu med et ID-kort, som hænger i en snor om halsen. Halvdelen af tiden hænger det med bagsiden udad, resten af tiden er det i min lomme: Længden på snoren er nemlig sådan, at kortet rammer bordpladen når jeg sidder ved computeren. Det laver en frygtelig larm...

  • 0
  • 0
Log ind eller Opret konto for at kommentere