Georganiseerde criminaliteit, fraude, cybercrime en ondermijning; de beveiligingssector staat voor grote uitdagingen in een dynamische samenleving waarin de grenzen tussen het fysieke en virtuele domein steeds meer vervagen. Boeiende vraagstukken en praktijkcases kwamen aan bod tijdens het ASIS Security Management Congres in Veenendaal op 25 juni. De kernboodschap van het congres: de wereld wordt steeds complexer, net als de securityrisico’s. Daarom moeten overheid en bedrijfsleven nauwer samenwerken om die risico’s te beteugelen.
Dagvoorzitter Bob Hoogenboom, hoogleraar Forensic Business Studies aan de Nyenrode Business Universiteit, vat bij de aftrap van het congres de ontwikkelingen in het veiligheidsdomein kernachtig samen: “Vroeger draaide het bij vraagstukken over veiligheid en security vooral om diensten als justitie en politie, maar momenteel vindt een ingrijpende verandering plaats in de manier waarop we als samenleving onze veiligheid organiseren. Met als leidende trend dat de rol van het bedrijfsleven steeds groter wordt.” Een logisch gevolg van het feit dat ook de verwevenheid van processen van bedrijfsleven toeneemt, evenals de wederzijdse afhankelijkheden.
Landelijke telefoonstoring bij KPN legde de kwetsbaarheid van digitale systemen bloot
Waar die afhankelijkheid en verweving toe kan leiden als de zaken qua continuïteit en beveiliging niet goed geregeld zijn, bleek daags vóór het congres nog: een landelijke telefoonstoring bij KPN maakte onder andere het landelijk alarmnummer 112 urenlang onbereikbaar. Een actuele noot die de kwetsbaarheid van digitale systemen bloot legt en die gedurende het congresprogramma verschillende keren terug komt.
Balans in beveiliging
In het ochtendprogramma vertellen drie vertegenwoordigers van toonaangevende organisaties hoe zij in hun securitypraktijk omgaan met de kritische balans tussen beveiliging en gastvrijheid en welke keuzes daaruit voortvloeien. Die balans wordt vooral bepaald door de aard van de bedrijfsprocessen en het risicoprofiel van de organisatie en dat profiel is bij De Nederlandsche Bank uiteraard heel anders dan bij het ministerie van VWS en het Rijksmuseum. Maar in essentie is de uitdaging bij alle drie de organisaties dezelfde: ze willen gastvrijheid en transparantie uitstralen naar hun klanten en bezoekers, maar tegelijk waardevolle goederen of informatie beschermen. Dat is een spanningsveld.
Transitie bij DNB wordt gebruikt om goud en bezoekers te scheiden
Scheiding goud en bezoekers
Maaike van Leuken van De Nederlandsche Bank (DNB) spreekt over de transitiefase die momenteel bij de nationale bewaker van het Nederlandse monetaire systeem gaande is. DNB kent een erg streng beveiligingsregime met meerdere schillen. Die beveiligingsstrategie hangt samen met de nationale goudvoorraad die is opgeslagen in het Amsterdamse gebouwencomplex waar ook bezoekers en klanten worden ontvangen. De transitie voorziet in een organisatievernieuwing en tegelijk een bouwkundige renovatie van het hoofdkantoor en DNB benut die vernieuwing om ‘goud en bezoekers te scheiden’. Maaike van Leuken: “Omdat we graag de samenleving in ons gebouw willen binnenhalen en onze rol als internationaal financieel kenniscentrum willen versterken, hebben we besloten de goud- en geldvoorraad uit te plaatsen naar een nieuw ‘cash center’ dat zal worden gebouwd op een beschermde locatie op het Kamp van Zeist. Zodra die voorziening gereed is, gaat al ons goud dus fysiek op transport en dat wordt een unieke operatie. In de eerste fase van de verbouwing blijft de waarde nog in het pand en dat is beveiligingstechnisch een uitdaging.”
Transparantie versus beveiligingsrisico
Het ministerie van VWS heeft met vraagstukken van een heel andere orde te maken, blijkt uit het betoog van Merel Baas-Van Vloten, directeur Bestuurlijke en Politieke Zaken van het ministerie. In het Haagse regeringskwartier. Een dilemma in het beveiligingsbeleid van VWS, net als bij andere ministeries overigens, is dat ministers als boegbeelden voor hun beleid enerzijds midden in de samenleving willen staan, openheid en transparantie willen uitstralen en zelfs contacten met kritische demonstranten niet schuwen, terwijl ze anderzijds rekening moeten houden met risico’s en dreigingen van mensen met kwade bedoelingen. Hoe doet de beveiligingsorganisatie van VWS dat in de praktijk? Nee, de minister wordt niet achter een ondoordringbaar kordon beveiligers afgeschermd van zijn ‘publiek’ bij werkbezoeken of demonstraties, maar beveiligers scannen alert de omgeving op mogelijke dreigingen en zijn altijd dicht genoeg in de buurt om direct in te grijpen. Daarnaast is er in het securitybeleid van VWS veel aandacht voor informatiebeveiliging. Wat de goudvoorraad is voor DNB, zijn vertrouwelijke en staatsgeheime stukken voor VWS.
Wat de goudvoorraad is voor DNB, zijn vertrouwelijke en staatsgeheime stukken voor VWS
Service en security
De balans tussen service en security heeft in het Amsterdamse Rijksmuseum zijn eigen dynamiek, legt Hoofd Veiligheidszaken Raymond de Jong uit. Het Rijksmuseum is de schatkamer van ons nationaal erfgoed, met 1,1 miljoen objecten in beheer, waarvan 8000 ‘op zaal’. En die zalen trekken jaarlijks ruim 2,5 miljoen bezoekers, wat in de ogen van De Jong eigenlijk aan de hoge kant is voor een goede beheersing van safety- en securityrisico’s. Werken met tijdslots voor bezoekers is een van de oplossingen die hij ziet om de verwachte groei naar drie miljoen bezoekers te kunnen opvangen. Dat die grote mensenmassa’s, maar ook de ruim 500 evenementen in de zalen op jaarbasis een risico opleveren voor de kostbare kunstschatten is evident. Om die risico’s beheersbaar te houden, zijn gastheerschap en aandacht voor safety en security functioneel verenigd. In feite is iedere medewerker van het museum een schakel in de security. Met als opdracht om via ‘profiling’ te letten op verdacht en afwijkend gedrag, waardoor gevaar voor beschadiging of diefstal tijdig kan worden ondervangen.
Op de grens van cyber en fysiek
In het middagprogramma kwamen digitale dreigingen aan bod en werd duidelijk dat risico’s in de virtuele wereld van informatie en ICT een steeds grotere bedreiging vormen voor de fysieke wereld. Want de verwevenheid tussen beide werelden wordt steeds groter, een trend die in de toekomst alleen maar zal toenemen, met ontwikkelingen als het Internet of Things, zelfdenkende computers met slimme algoritmen en zelfrijdende auto’s en andere vervoerssystemen. De kernboodschap aan bedrijven van Maarten van Wieren, Managing Director van AON Security Solutions: investeer in een robuuste beschermingsstrategie tegen cyberdreigingen door de kwetsbaarheden in hard- en software op te sporen, te denken in scenario’s en effecten en de technische beschermingsmaatregelen en crisismanagement te integreren. Oefen crisisscenario’s die kunnen ontstaan door cyberuitval, door welke oorzaak dan ook.
Het verhogen van de weerbaarheid tegen cyberdreigingen begint met awereness
Van Wieren wijst erop dat alle activiteiten en processen in de industrie, bij de overheid en in de vitale infrastructuur computergestuurd zijn en dat daardoor elk denkbaar risico van verstoring zijn bron kan hebben in het virtuele domein. Het verhogen van de weerbaarheid tegen cyberdreigingen begint met awareness. Hij stelt vast dat bedrijven de dreigingen en effecten nog te vaak onderschatten, terwijl maatregelen en oplossingen, zoals firewalls en responsplannen juist worden overschat. Zijn belangrijkste waarschuwingen: een security-inbreuk op digitale systemen wordt vaak pas herkend als de effecten in de fysieke wereld zichtbaar worden en onbekende verbindingen geven onzekerheid over de reikwijdte van mogelijke keteneffecten.
Cybercrime is een businessmodel geworden, waardoor het bedrijfsleven jaarlijks 445 miljard euro schade lieidt
Ook Richard Franken van Franken Security Solutions besteedt in zijn workshop aandacht aan de digitalisering van de samenleving als securityrisico. De razendsnelle ontwikkelingen in het ICT-domein geven kwaadwillenden op alle niveaus steeds betere tools om criminele of ondermijnende activiteiten te ontplooien. Cybercrime is volgens Franken een businessmodel geworden waarmee voor criminelen veel geld is te verdienen. Hij becijfert dat het bedrijfsleven wereldwijd jaarlijks 445 miljard euro schade lijdt als gevolg van cyberincidenten. Die incidenten zijn een wake-up call. We moeten ons realiseren dat een nieuwe wereldorde is ontstaan, gebouwd op een digitaal fundament. Een orde die kansen biedt, maar ook dreigingen. En met de ontwikkelingen die er nog aan komen, zoals de opmars van kunstmatige intelligentie en kwantumcomputers in combinatie met big data, zullen zowel de kansen als de dreigingen groter worden. Tijd dus voor een krachtige publiek-private krachtenbundeling om proactief na te denken over hoe de huidige en toekomstige cyberrisico’s goed beheerst kunnen worden. In de nieuwe digitale democratie kunnen we het ons niet meer permitteren om geen plan B te hebben.
Front tegen ondermijning
Als laatste spreker kaart de Bredase burgemeester Paul Depla een majeur veiligheidsprobleem aan, dat steeds hardnekkiger wortelt in de samenleving: Maatschappelijke ondermijning door verweving van onder- en bovenwereld. Ondermijning is in de woorden van Depla de ‘betonrot van de samenleving’, omdat het de economie besmet, valse concurrentie bevordert en de betrouwbaarheid en het imago van bepaalde bedrijfstakken kan schaden. De eerste burger van Breda pleit voor een robuuste aanpak door een overheid met slagkracht, die in een sterke alliantie met het bedrijfsleven en maatschappelijke sectoren de krachten bundelt om ondermijning met wortel en tak uit te roeien.
De meest effectieve manier om dat te doen is volgens Depla het aanpakken van de financiële en logistieke stromen van de criminele industrie, die zichzelf uitstekend heeft georganiseerd. De sleutelspelers weten hoe ze misbruik kunnen maken van formele economische processen en structuren in de bovenwereld, dus het is zaak om in de ‘bovenwereld’ tijdig signalen te herkennen die wijzen op bijvoorbeeld witwassen of gebruik van voorzieningen van legale bedrijven om criminele activiteiten zoals drugstransport en de productie van chemische drugs te faciliteren. Depla: “Soms is het beter om een econoom naar de georganiseerde criminaliteit te laten kijken dan een criminoloog, om goed in beeld te brengen welke schakels je effectief kan aanpakken om die ondermijnende activiteiten te blokkeren.”
Samenwerking tussen overheid en bedrijfsleven is cruciaal
Afsluiting
Op de vraag van dagvoorzitter Bob Hoogenboom of ook de particuliere beveiligingsbranche een rol kan spelen in de gewenste alliantie voor een brede maatschappelijke aanpak, stelt Depla dat dat soms lastig is vanwege de wettelijke kaders van de AVG en bescherming van politiegegevens. Niettemin is samenwerking tussen overheid en bedrijfsleven cruciaal om het tij te keren en Depla vindt dat alle hindernissen moeten worden weggenomen die samenwerking in de weg kunnen staan. Een mooi bruggetje naar de afsluiting door Rob Hoogenboom die ook vindt dat over publiek-private samenwerking op beveiligingsgebied nog best een steviger debat mag worden gevoerd.
Tekst en foto’s: Rob Jastrzebski