Waarom delen organisaties onderling geen dreigingsinformatie in een database, om van elkaar te kunnen leren? Een database met dreigingsinformatie kan proactieve security helpen. Vandaag deel 3 in de driedelige serie ‘proactieve security’: predictive database.
Inmiddels weten wij dat als je als organisatie weet hoe je kunt worden aangevallen en door wie, dat je je hierop proactief kunt voorbereiden. Het is mogelijk om je personeel te instrueren hoe ze het gedrag van tegenstanders zo vroeg mogelijk kunnen herkennen, en wat ze hieraan kunnen doen. Het is mogelijk om aan de hand van realistische dreigingsscenario’s maatregelen in de fysieke, personele en digitale sferen te nemen. Proactieve Security kweekt een informatiebehoefte.
Database
Hoe is het mogelijk dat in het informatietijdperk, waarin eenieder onmetelijke hoeveelheden informatie aan zijn vingertoppen heeft, de meeste security managers dan beschikken over zo weinig kennis aangaande de capaciteiten en motivaties van hun tegenstanders? Waarom delen organisaties onderling niet dit soort informatie, om van elkaar te kunnen leren? Waarom bestaat er geen inlichtingenorganisatie die gericht dit soort informatie verzamelt, analyseert en als security intelligence verstrekt aan organisaties?
>> Lees ook Proactieve Security (1): Van profilering naar informatiesturing
Infrastructuur
Deze gerichte intelligence is cruciaal voor het proactief maken van beveiliging. Maar in de private sector bestaat er geen infrastructuur voor, of cultuur van informatiesamenwerking. Eerder stelden wij al vast dat de informatiesamenwerking vaak gehinderd wordt door economische en imagobelangen van veel individuele organisaties en bedrijven.
Als er al informatiesamenwerking plaatsvindt, dan gebeurt dit in de meeste gevallen op informele en bilaterale basis, waar een geformaliseerd en multilateraal netwerk veel effectiever zou zijn.
Informatiesamenwerking
Door op het gebied van dreigingsinformatie goede samenwerkingsverbanden te realiseren, hierin gestructureerd informatie te delen is het mogelijk om proactief de besluitvaardigheid te ondersteunen: informatiesturing.
Er zijn gelukkig in Nederland links en rechts wel uitzonderingen te vinden. Het is niet ongehoord dat grote organisaties met meerdere vestigingen al stappen zetten om in ieder geval de incidenten die gemeld worden door verschillende vestigingen te verzamelen en centraal te analyseren, maar samenwerking met concurrerende doch vergelijkbare organisaties is zeldzaam en voor kleinere concurrenten is de kennis al helemaal onbereikbaar.
Onze ervaring vanuit verschillende sectoren is dat er vrijwel zonder uitzondering een grote behoefte en wens bestaat om op basis van de juiste informatie proactieve besluitvorming in beleid en uitvoering te kunnen sturen.
DEC
In de Cultureel Erfgoed sector is er sinds enkele jaren een sectoroverstijgende informatiesamenwerking specifiek gericht op incidenten van criminaliteit in de sector. De Database Erfgoed Criminaliteit (DEC) verzamelt op een veilige en geanonimiseerde wijze de incidenten die voorkomen bij individuele musea, overheden, open source en collectie-beherende organisaties die zich aansluiten bij het project. Deze informatie wordt, vanuit de Security Intelligence methodiek, gericht aangevuld met informatie uit open bronnen en geanalyseerd om voor alle aangesloten organisaties periodiek en op aanvraag intelligence producten te leveren. Dit kan in de vorm van analyses, trends en ook tijdige meldingen van acute dreigingen.
>> Lees ook Proactieve Security (2): De kunst van meer informatie
Musea
Het grootste voordeel van de DEC is waarschijnlijk de mate van samenwerking in het netwerk tussen grotere en kleinere musea. Op geen andere manier is het voor kleinere musea mogelijk om aan de zeer specifieke en toepasbare dreigingsanalyses te komen dan door deelname aan deze gestructureerde samenwerkingsvorm tussen musea. Binnen het netwerk zorgen alle deelnemende musea voor een meerwaarde, zo profiteren alle partijen van de bijdrage van de anderen terwijl de lasten gedeeld worden. Immers hoeft niet iedere partij individueel de informatie te onderzoeken en is er een kundige centrale actor die deze uitvoert. Deze ontwikkelde security intelligence methodiek kunt u in analogie toepassen in uw sector.
Een dergelijke samenwerking roept ook lastige vraagstukken op: welke organisatie of entiteit is er verantwoordelijk voor de verzameling en het verstrekken van informatie, de gedegen analyse, maar vooral ook de veiligheid van de vaak gevoelige informatie?
Toekomst
De oprichting van de DEC door SoSecure in 2009 is een antwoord op deze vraagstukken. In 2015 werd de DEC ondergebracht in het nationale project Kenniscentrum Security Intelligence (KSI). In het KSI is veel inlichtingen- en analysekennis vanuit de praktijk en de wetenschap verzameld om het gebruik van inlichtingen in security te faciliteren door deze verder te professionaliseren en innoveren. Het KSI stelt zich in 2015 ten doel om allerlei organisaties en sectoren die zich (willen) bewegen op het gebied van proactieve veiligheid te informeren over hun informatiebehoefte en te assisteren bij het initiëren van nieuwe en sectorspecifieke databases voor dit doel.
Het KSI richt hiermee een platform en netwerk van uiteenlopende sectorale databases op. Dit netwerk kan niet alleen dreigingen en trends binnen de eigen sector onderkennen, maar ook dreigingen en trends die zich niet aan één specifieke sector houden, of zich door sectoren heen bewegen. Binnen dit netwerk komt de juiste informatie op de juiste plek, om zo informatiesturing te verzorgen voor aangesloten partijen. De informatie is er op gericht om zowel het huidige dreigingsbeeld te vormen, als beslissingen betreffende de midden- en lange termijn te ondersteunen.
In de praktijk is het voor een organisatie mogelijk om lid te worden van de eigen sectorale database en zo periodieke dreigingsrapportages en tijdige alerts te ontvangen. Het KSI is in deze zin een intelligence organisatie die zich speciaal inricht voor de private sector.
Voorspellende database
In samenwerking met de Universiteit van Amsterdam en Universiteit Leiden wordt er ook gewerkt aan de ontwikkeling van algoritmes die nog gerichter en semi-geautomatiseerd patronen, trends en nieuwe dreigingen kunnen ontdekken in de almaar groeiende database.
Deze specifiek voor proactieve veiligheid inzetbare ‘Predictive Database’ gevuld met de door aangesloten partijen aangeleverde informatie, aangevuld met informatie uit open bronnen, is een mondiale innovatie. De uitkomsten creëren het inzicht om de volgende dreiging die u nog niet kent te voorspellen.
Dreigingsinformatie
De security manager van de toekomst zal blijvend worden gevoed met actuele dreigingsinformatie die zowel sectorspecifieke als sectoroverstijgende dreigingen monitort, en producten aanlevert die direct inzetbaar zijn in zowel instructies en procedures als in besluitvorming op beleidsniveau en advisering aan het strategisch bestuur.
Een veilig, anoniem platform van informatiesamenwerking met collega’s en concurrenten die de organisatie helpt zich maximaal voor te bereiden op dreigingen. Altijd op de hoogte zijn van de manier waarop potentiële tegenstanders zullen handelen om de organisatie te ondermijnen, om zo de meest efficiënte en noodzakelijke maatregelen in de beveiliging in stelling te brengen. Het is de volgende stap in proactieve security.
Dit artikel schreven Neal Conijn en Leen van der Plas, SoSecure en Kenniscentrum Security Intelligence. Het is gepubliceerd in Security Management 07/ 08 2015.