Programma Cyberveiligheid mbo

Mystery guest-onderzoeken

Hoe goed is de fysieke toegangsbeveiliging van jouw instelling op orde? Met een mystery guest toets je dat in de praktijk. Een externe bezoeker probeert toegang te krijgen tot plekken waar deze niet mag komen. Dat levert waardevolle inzichten op in kwetsbaarheden én helpt om de veiligheid van je school gericht te versterken.

Fysieke beveiliging is een belangrijke schakel in cyberveiligheid. Wie bijvoorbeeld ongezien binnenkomt in de serverruimte, kan immers ook digitale schade aanrichten.

Kosteloze onderzoeken voor mbo-instellingen

Vanuit het programma Cyberveiligheid zijn we daarom in 2025 een pilot gestart, waarin mbo-instellingen hun fysieke beveiliging konden verbeteren met een zogenoemd mystery guest-onderzoek. Tijdens zo’n onderzoek probeert een onbekende bezoeker kwetsbaarheden in de fysieke beveiliging te ontdekken, zoals onbevoegde toegang tot ruimtes of inzage in vertrouwelijke documenten.

De pilot heeft de vier deelnemende instellingen direct concrete verbeterpunten opgeleverd. Daarom hebben we na afloop ook andere mbo-instellingen de kans gegeven om kosteloos een mystery guest in te zetten. In 2025 en 2026 hebben zo meer dan twintig scholen in het mbo een bezoek van een mystery guest gehad.

Wat doet een mystery guest?

Medewerkers van het bedrijf Cyber Seals hebben de mystery guests-onderzoeken in het mbo uitgevoerd. Elk onderzoek bestond uit deze onderdelen:

  • Vooronderzoek
    De mystery guest analyseert openbare bronnen en sociale media en observeert de locatie en dagelijkse routines.
  • Scenario ontwikkelen en voorbereiden
    De mystery guest bereidt een geloofwaardig scenario voor, bijvoorbeeld in de rol van ouder, student of leverancier. Daarbij horen ook passende kleding, identificatie en eventuele technische hulpmiddelen.
  • Actie
    De mystery guest probeert toegang te krijgen tot risicovolle plekken, zoals een serverruimte of administratieruimte. Daarbij observeert die de reacties van medewerkers en let die op onbeveiligde informatie en systemen.
  • Rapportage
    De instelling ontvangt een uitgebreid rapport met praktische verbeteradviezen. Een ondersteunende videocompilatie is optioneel en kan helpen om de bevindingen intern bespreekbaar te maken.

Bevindingen van de mystery guests

Ook als procedures op papier op orde zijn, blijft de vraag hoe ze in de praktijk worden nageleefd. Dat bleek ook uit de onderzoeken die de mystery guests in het mbo uitvoerden. Een greep uit de bevindingen: medewerkers vergaten in hun hulpvaardigheid soms procedures te volgen. Zo werden bezoekers en leveranciers niet altijd vooraf aangemeld of naar hun ID gevraagd. Ook troffen de mystery guests standaard sloten op serverkasten aam, die voor kwaadwillenden makkelijk te openen zijn.

Contactpersoon

Wil je weten hoe een bezoek van een mystery guest de (cyber)security van jouw instelling kan verhogen? Stuur dan een mail naar Niels Dutij.