Wat maakt het werken als securitymanager op een kerncentrale nou zo bijzonder? John de Nooijer is de securitymanager van de kerncentrale Borssele van energiemaatschappij EPZ, de enige kerncentrale van ons land, met internationale best practices op het gebied van nucleaire security. De Nooijer: “Het is het neusje van de zalm op het gebied van beveiliging, met name waar het gaat om de detectiemiddelen. Je kunt het zo gek niet bedenken of wij hebben het.”
Menno Jelgersma
Er is een verschil tussen het gevaar van kerncentrales zoals ons in Hollywood-films wordt voorgespiegeld en de dagelijkse praktijk. Dat laatste heeft alles te maken met het beveiligingsconcept dat is opgezet volgens nationale en internationale richtlijnen. Deze geven aan wat er moet worden beveiligd volgens het principe van detecteren, vertragen, risico inschatten en reageren. John de Nooijer: “We willen precies weten wie zich op het terrein bevindt. Daarom screenen we de mensen, we geven machtigingen af en we verschaffen toegang.”
John de Nooijer: “Weet je hoe klein tegenwoordig usb-sticks of geheugenkaarten zijn?”
Beveiligingsschillen: zichtbare en onzichtbare
Securitymanager De Nooijer is verantwoordelijk voor zowel de fysieke beveiliging als de informatiebeveiliging. De fysieke beveiliging betreft het systeem van zichtbare en onzichtbare beveiligingsringen om de kerncentrale.
Het beveiligingsniveau loopt op naarmate je het hart van de kerncentrale dichter nadert. Op de website van EPZ is te lezen dat er in totaal vijf beveiligingsschillen zijn. Per schil wordt het steeds moeilijker om verder binnen te dringen.
De informatiebeveiliging heeft betrekking op de preventieve en correctieve maatregelen. Naast procedures en processen, die onder meer de beschikbaarheid en integriteit van alle vormen van informatie binnen de organisatie garanderen. Met als doel de continuïteit van de informatie te waarborgen en de eventuele gevolgen van beveiligingsincidenten te beperken.
Visitekaartje van het bedrijf
De afdeling van De Nooijer levert een bijdrage aan de nucleaire veiligheid door het voorkomen van onbevoegd menselijke beïnvloeding. “We willen precies weten wie zich op het terrein bevindt. Daarom screenen en machtigen we mensen voor ze toegang krijgen. En de uitdaging daarbij is om het werkbaar te houden. We zijn ook dienstverlenend en het visitekaartje van het bedrijf.”
Dat doet De Nooijer natuurlijk niet alleen. Binnen zijn organisatie geeft hij leiding aan diverse teamleiders en heeft hij contact met de Nederlandse toezichthouder: de Autoriteit Nucleaire Veiligheid en Stralingsbescherming (ANVS), de AIVD, politie en defensie.
Het is het neusje van de zalm op het gebied van security
Opschalen naar behoefte
Wat maakt het werken als securitymanager bij een kerncentrale nou zo bijzonder? Het is het neusje van de zalm op het gebied van security. “Je kunt het zo gek niet bedenken of we hebben het. De camerasystemen, de detectiemiddelen, zware barrièredeuren: bedenk het maar, een hypermoderne meldkamer, uitstekend opgeleide mensen, goeie contacten met de politie en andere overheidsinstellingen, het is er allemaal.”
In totaal werken er circa 300 mensen bij het bedrijf en nog zo’n 100 inleen-medewerkers; de bezetting van de afdeling security schaalt op naar behoefte. De Nooijer wijst bijvoorbeeld op de jaarlijkse ‘stop’ van de kerncentrale waarin de splijtstofwissel plaatsvindt. De reactor wordt dan tijdelijk buiten gebruik gesteld om oude splijtstof te vervangen door nieuwe. Van dit moment wordt ook gebruik gemaakt om extra onderhoud te plegen. Hiervoor moet veel extra extern personeel worden ingezet. “Dan kunnen er plotseling 800 tot 900 meer mensen op de locatie komen die allemaal door de toegangsprocedure moeten en worden gescreend op het juiste niveau, afhankelijk van de schil waarin ze moeten werken.”
Afwijkend gedrag herkennen
De Nooijer benadrukt dat zijn mensen speciaal zijn opgeleid voor het werk dat ze binnen het team verrichten. EPZ voorziet naast de basisopleidingen ook zelf in een ruim opgezet scholingsprogramma. “Dat doen we binnen de organisatie of tezamen met de politie en de Explosieven Opruimingsdienst Defensie met opleidingen rond bijvoorbeeld: herkenning persoonsbewijzen, spottersopleidingen, maar ook EHBO- of blusopleidingen.” Een van de opleidingen die bij EPZ wordt gegeven in samenwerking met de politie is de zogeheten spotterstraining gericht op afwijkend gedrag. Hierbij leren mensen afwijkend gedrag herkennen.
De securitymedewerkers leren onder andere hoe ze afwijkend gedrag kunnen herkennen.
Bewaking is meer dan een hek met een bewaker
De Nooijer werkt al veertig jaar bij EPZ. Na zijn functie als commando bij defensie kwam hij op 21-jarige leeftijd bij de kerncentrale te werken, waar hij na vier jaar chef bewaking werd. Hij heeft het vak vanaf die tijd een enorme ontwikkeling zien doormaken. “In de jaren ’70 bestond de bewaking vooral uit hekken en poorten met boos kijkende bewakers. Wanneer je de portier was gepasseerd, kon je je in principe over het hele terrein verplaatsen. Die tijd hebben we gehad.”
Verbeteringen vonden plaats door eigen ervaring en zoals De Nooijer zegt: “Door het gebruik van je boerenverstand”, maar bijvoorbeeld ook door nationale en internationale onderzoeken en daaruit volgende aanbevelingen, zoals het IAEA-onderzoek dat in 2013 werd uitgevoerd naar de veiligheid en beveiliging van de locatie.
De IAEA is het internationaal atoomagentschap van de Verenigde Naties en bevindt zich in Wenen. Het is een autonome organisatie die zicht bezighoudt met wetenschappelijke en technische samenwerking op het gebied van nucleaire technologie en het vreedzaam gebruik daarvan.
Invloed van 9/11
De aanslagen van 9/11 in de Verenigde Staten hebben een grote invloed gehad op de ontwikkeling van security bij de kerncentrale en veel maatregelen zijn tot stand gekomen na een zogenaamde IPPAS: International Physical Protection Advisory Service. Dit is een inspectie waarbij deskundigen van de IAEA de locatie bezoeken om de veiligheid te beoordelen. Deze IPPAS van de IAEA is in 1995 opgericht om staten op verzoek bij te staan bij het instellen, handhaven en versterken van hun nationale regelingen voor fysieke beveiliging.
Een gevolg van de IPPAS-missie in Nederland was het tot stand komen van een Design Basis Threat. Hierin zijn allerlei scenario’s uitgewerkt die een bedreiging zouden kunnen vormen voor een kerncentrale. De scenario’s lopen uiteen van een demonstrant die voor de poort staat tot een terrorist of een eigen medewerker die kwaad in de zin heeft. De aanbevelingen en het voortschrijdend inzicht hebben geleid tot schillen of veiligheidsbarrières van buitengebied tot extra vitaal gebied. Iedere keer als een zone betreden wordt, zijn er controles.
> LEES OOK: Uitdagingen digitale veiligheid
Bewust onbevoegd menselijk handelen
Het gaat bij een IPPAS bijna altijd om aanbevelingen. Het is vervolgens aan de directie van een kerncentrale om maatregelen te treffen die kunnen aantonen dat ze de scenario’s beheerst. “Daar liggen grote uitdagingen omdat zeker in het geval van terrorisme direct ook de overheid betrokken is. Ik moet dus ook contacten onderhouden met anti-terreureenheden en oefeningen organiseren.”
Bij 9/11 ging het om een fysieke bedreiging. De cyberaanval op Iran, beter bekend als Stuxnet, was de eerste officiële (militaire) cyberaanval op een nucleaire site. “Dat was een jaar of tien geleden ook een eyeopener voor de nucleaire sector.” Maar ook de dreiging van binnenuit heeft in de loop van de jaren steeds meer aandacht gekregen.
“Vroeger lag de nadruk vooral op het gevaar buiten houden. Nu houden we regelmatig oefeningen met een zogenaamd ‘insider’-scenario met bewust onbevoegd menselijk handelen.” Alle oefeningen worden geëvalueerd en leiden waar nodig tot verbeteringen. De Nooijer: “Ik ben geen voorstander van incidentgestuurde beveiligingsmaatrelen. In Borssele hebben we een concept en kunnen we aantonen dat we in controle zijn.” Dat heeft vooral te maken met hoe de security is georganiseerd en hoe de schillen functioneren.
Kerncentrale Borssele is beveiligd tegen invallen van buitenaf en van binnenuit, ook digitaal.
Security en safety
De Nooijer wordt zelf ook regelmatig gevraagd door de IAEA om als deskundige een IPPAS-audit bij te staan. “De IAEA schrijft natuurlijk allerlei zaken voor maar ziet per land dat er heel verschillende maatregelen worden voorgeschreven.” Als voorbeeld noemt hij de VS, waar het wapenbezit groter is en waar bewakers van nucleaire installaties zwaar bewapend zijn. “In Abu Dhabi ligt Jemen in de buurt en zijn er andersoortige bedreigingen dan bij ons.”
In principe gaat het om het voorkomen van radioactieve lozingen veroorzaakt door onbevoegden en het ontvreemden van nucleair materiaal en daar kun je op allerlei soorten manieren invulling aan geven. De Nooijer wijst ook op de samenwerking tussen security en safety, beveiliging en veiligheid. “Uiteindelijk zeggen we dat een security-incident nooit een safety-incident, ofwel lozing van radioactief materiaal, mag worden.”
> LEES OOK: Samenwerking safety & security: weg met de eilanden
Geheimzinnigheid rond nucleaire sector
De nucleaire sector is door geheimzinnigheid omgeven; niet in de laatste plaats door de invloed van media, maar ook door Hollywood-films. Dat geldt niet of in ieder geval een stuk minder voor bijvoorbeeld de chemische industrie. Hoe verhouden de sectoren security van beide sectoren zich tot elkaar? “Er rust een smet op de nucleaire sector en dat komt door Harrisburg, Tsjernobyl en Fukushima. Ik denk persoonlijk dat de nucleaire sector veilig is.”
Ik ga vandaag tezamen met mijn team de enige kerncentrale die Nederland rijk is beveiligen
Toch vindt hij dat hij zelf, maar ook alle werknemers zich er wel van bewust moeten zijn dat ze op een kerncentrale werken. “Ik zeg altijd tegen mezelf: ik ga vandaag tezamen met mijn team de enige kerncentrale die Nederland rijk is beveiligen, en dat is een andere grondhouding dan: ik ga vandaag naar mijn werk.” Die grondhouding is belangrijk. “Ik heb meer aan het totaal van 350 werknemers die kijken en opletten dan aan alle camera’s die er staan opgesteld.”
Openheid en plaats van geheimzinnigheid
Mocht er iets gebeuren dan is de maatschappelijke onrust rond nucleaire incidenten altijd erg groot. Bij het ongeluk van Fukushima staat bij de meeste mensen de beschadigde kerncentrale en het ontruimde gebied voor ogen. Terwijl de vernietigende werking van de Tsunami bijna 20.000 doden tot gevolg had en er één dode is toegeschreven aan de kernramp zelf. De geheimzinnigheid rond kernenergie is voor een deel ook te wijten aan het gebrek aan informatie na het ongeluk in Tsjernobyl. daardoor wist in rest van de wereld niemand wat er precies aan de hand was.
Ik laat je mijn Stratego-steentjes zien, maar ik kan niet vertellen hoe ik ze wegzet
Website en brochure
“In Borssele zijn wij juist heel open over wat we doen en tot op zekere hoogte ook wat betreft onze veiligheidscultuur.” Openheid en security bijten mekaar een beetje. “Ik laat je mijn Stratego-steentjes zien, maar ik kan niet vertellen hoe ik ze wegzet”, legt De Nooijer uit.
Iedereen verwacht dat er bij een kerncentrale beveiligingsmaatregelen worden getroffen, maar je moet ze ook uit kunnen leggen. Dat gebeurt heel vaak. “Je kunt gewoon onze brochure Verantwoord beveiligen downloaden op onze website waarin wordt uitgelegd hoe we bij EPZ beveiligen. Ook legt de website uit hoe het systeem van vijf beveiligingsbarrières werkt.”
Trots op best practices
Anders dan in de meeste andere landen zijn de veiligheids- en beveiligingsvoorschriften doelvoorschriften in plaats van middelvoorschriften. Laat maar zien dat weerstand geboden kan worden aan de scenario’s. “Dat geeft ruimte voor maatwerk. Laat maar zien dat je veilig bent.” Het zorgt ervoor dat de beveiligingsmaatregelen op elk van de vijf beveiligingszones maatwerk zijn.
De Nooijer: “Uit een IPPAS-controle bij kerncentrale Borssele volgden naast enkele kleinere aanbevelingen ook een aantal best practices die wereldwijd worden overgenomen. Dat is best iets om trots op te zijn.” De beveiliging van een kerncentrale is nooit gereed.
Kerncentrale Borssele behoort tot de 25 procent veiligste kerncentrales wereldwijd
Op de website staat te lezen ‘dat de kerncentrale Borssele sinds de ingebruikname in 1973 voortdurend is aangepast aan de stand van de techniek. De centrale behoort tot de 25 procent veiligste kerncentrales wereldwijd en is duizend keer veiliger gemaakt.’ Maar het kan altijd beter. De ervaringen met de ramp in Fukushima werden in Europa gebruikt om een stresstest uit te voeren. Van iedere afzonderlijke Europese kerncentrale werd bepaald hoe groot op dat moment de weerstand was tegen extreme gebeurtenissen. Ook bij kerncentrale Borssele.
‘Op hoogte’ gebracht
De jaren daarna volgden maatregelen die de veiligheidsmarge van alle EU-kerncentrales verder verhoogden. Het heeft er onder andere toe geleid dat de meldkamer van de afdeling beveiliging ‘op hoogte’ werd gebracht om deze ruimte te beschermen tegen overstroming.
De toename van beveiliging betekent niet automatisch dat er meer mensen werken. “Had je vroeger een bemande wachttoren, dan heb je daar nu heel geavanceerde detectiemiddelen voor. Beveiliging is een specifiek gekozen mix van organisatorische, bouwkundige en elektronische middelen, een balans.”
Voorbereid zijn op zaken die hopelijk nooit gebeuren
Bij de afdeling security zijn de mensen emergency prepared, zoals De Nooijer het omschrijft. “Dat oefenen we heel veel, of misschien zelfs drillen.” De Nooijer vermoedt dat dit nog wel eens een staartje van zijn militaire achtergrond zou kunnen zijn, die hem daartoe drijft. Voorbereid zijn op zaken die hopelijk nooit gebeuren. Handelen in noodsituaties moet een ruggenmergfunctie zijn.
Virtueel eiland
Cybersecurity is een relatief nieuw onderdeel binnen security. Een eerste belangrijke beveiligingslaag is door het cybersysteem los te houden van de algemene toegang tot het internet: een virtueel eiland. Dat betekent nog niet dat je daarmee geen gevaar loopt op een informatielek. “Op een eiland kan een insider de tijd nemen om het systeem te benaderen.” Daarom wil De Nooijer niet dat mensen datadragers bij zich hebben. “Dat is voor security al een opgave op zich, want weet je hoe klein tegenwoordig usb-sticks of geheugenkaarten zijn?”
Aparte netwerken
De reactorbeveiliging is analoog dus daar schuilt geen gevaar in. Maar ook interne systemen hebben regelmatig een software-update nodig. Op dat moment sluit je toch min of meer aan op de buitenwereld. “We gebruiken aparte netwerken, onder andere voor de kantoorautomatisering en voor de beveiligingssystemen. Dat betekent dat je vanaf je pc thuis niet even kan kijken hoe het systeem erbij staat.”
De kerncentrale past strakke zonering toe, werkt met firewalls en monitort het netwerk. Regelmatig worden penetratietesten uitgevoerd om te checken of alles op orde is. Iedereen kan een bijdrage leveren. De Nooijer noemt het ‘basis-hygiëne’: bij het verlaten van je werkplek sluit je de computer af en doe je de deur achter je dicht. “Ook als je even een broodje gaat eten.”
Menno Jelgersma is freelancer en eigenaar van Sherpa en de Fries communicatiebureau
