Wat is de stand van zaken in het veiligheidsdomein? Wat zijn de belangrijkste dreigingen? En hoe ontwikkelt beveiliging zich de komende jaren? Met zijn jarenlange ervaring bij zowel de politie als in de particuliere beveiligingsbranche geeft Richard Franken, algemeen directeur van The Hague Security Delta (HSD) antwoord op deze vragen en schetst hij de rol die HSD hierin speelt.
Op 1 juli 2016 startte Richard Franken als executive director van The Hague Security Foundation. In deze functie is hij verantwoordelijk voor het reilen en zeilen van de stichting en is zijn focus vooral gericht op het concretiseren van innovaties. Na een carrière van meer dan dertig jaar bij de politie en in de particuliere beveiligingssector is het een logische vraag wat hem in de eerste maanden in zijn nieuwe functie is opgevallen?
Franken: “Een probleem dat ik de laatste jaren al signaleerde en wat mij in deze nieuwe omgeving nog duidelijker is geworden, is toch wel de constatering dat de commerciële ‘traditionele’ beveiliging vooral traag is. Daarmee bedoel ik dat die branche onvoldoende mee ontwikkelt met behoeften uit de markt. Men belijdt met de mond het belang van integrale veiligheid, maar in de praktijk heeft een klant nog altijd met meerdere accountmanagers te maken. Men is onvoldoende oplossings- en klantgericht. Neem cybersecurity, dat is vandaag de dag voor geen enkele klant meer weg te denken. Maar bijna geen beveiligingsorganisatie biedt een geïntegreerd veiligheidsplan waarin die cybercomponent voldoende is verwerkt.”
Richard Franken: ‘De cyberdreiging is veiligheidsrisico nummer 1.’
Is cybersecurity momenteel het belangrijkste onderwerp in het veiligheidsdomein?
“Ik vind de cyberdreiging inderdaad veiligheidsrisico nummer 1. Temeer daar ook vormen van traditionele criminaliteit tegenwoordig bijna allemaal een cybercomponent in zich hebben. Cyberdreiging zou ik dan nog willen uitsplitsen in cybercriminaliteit via internet, cyberterrorisme, en zelfs cyberwarfare waardoor een staat in disbalans wordt gebracht. Andere prominente dreigingen zijn de fysieke verschijningsvorm van terrorisme, georganiseerde criminaliteit en alle vormen van financiële fraude. Ook hierbij zie je tegenwoordig permanente dwarsverbanden met internet en dus cybersecurity.”
Mensen reageren vooral reactief op dreigingen en te weinig proactief
Cyberdreigingen lijken dominant. Is hiervoor wel voldoende aandacht?
“Nee. Er is een enorm gebrek aan kennis wat deze dreigingen nu eigenlijk inhouden en onvoldoende besef hoe ze kunnen ingrijpen in de handelingsvrijheid en zelfs in de democratische vrijheid. Denk maar aan de discussie die nu speelt rond de verkiezingen in Nederland. Men weet het wel, maar het probleem is dat mensen en organisaties de dreigingen niet relevant kunnen maken voor zichzelf. Daar zit het gemis. Laat ik het voorbeeld geven van de quantum computertechnologie die zich razendsnel ontwikkelt en waarmee je processen zoals big data analyse enorm kunt versnellen. We weten dat deze technologie eraan komt en zien vooral volop kansen. Maar draai het nu eens om en kijk ook eens naar de dreiging hiervan, want ook criminelen zullen er gebruik van gaan maken. Ik zou het daarom toejuichen als we nu al zouden nadenken over de gevolgen van deze technologische ontwikkeling en met name over de dreigingskant ervan. Of neem het Internet of Things en de nieuwe dreigingen die dat met zich meebrengt. Ook daaraan wordt onvoldoende aandacht besteed. En dat is symptomatisch. Mensen reageren vooral reactief op dreigingen en te weinig proactief, dat zit in onze genen. Bij HSD kijken we juist wel proactief naar deze nieuwe dreigingen en denken we na over vernieuwende oplossingen. Zo komen wij binnenkort met een advies over een Nationaal Cyber Test Bed voor het bestrijden van de mogelijke negatieve gevolgen van de veiligheid van het Internet of Things, want dat is hard nodig.”
Wat betekent dit voor de traditionele beveiliging?
“De markt van manbeveiliging krimpt al een aantal jaren. Deze trend zal nog wel even doorzetten, totdat er een nieuw optimum is bereikt. Want natuurlijk zullen er altijd mensen nodig blijven voor interventie. Maar door de integratie van talloze technische veiligheidsvoorzieningen wordt de mens meer de complementerende factor van een totaal veiligheidsconcept, daar waar nu in 80 procent van de gevallen de mens nog steeds de unieke factor is. Maar daar geloof ik – en met mij vele anderen – niet meer in.
Daarom zullen traditionele beveiligingsbedrijven allereerst de ontwikkeling moeten onderkennen dat manbeveiliging meer en meer een commodity wordt. Vervolgens zullen ze hun klanten een integraal veiligheidsplan moeten bieden waarin techniek leidend is. Daarbij denk ik aan slimme camerasystemen, robot- en dronesurveillance, big data analyse om de kans op een incident te analyseren, systemen met een voorspellende waarde, het continu testen van IT-systemen, enzovoort. Beveiligingsbedrijven kunnen dit doen door samenwerking met innovatieve partners, of door de eigen organisatie om te scholen zodat ze ook deze behoefte van de klant kunnen invullen. Want het ging bij beveiligen toch van origine om het bestaansrecht en de continuïteit van de organisatie? En er zijn nu toch andersoortige dreigingen? Dan moet je zorgen dat je daarop bent ingericht en dus als aanbieder van een integrale aanpak ook de cybercomponent meeneemt. HSD kan in dit veranderende beveiligingslandschap veel betekenen. Wij proberen nieuwe ontwikkelingen in het veiligheidsdomein te signaleren en samen met onze partners in te zetten op innovaties die oplossingen kunnen bieden.”
Maar dreigt hierdoor de aandacht voor traditionele beveiliging niet onder te sneeuwen?
“Er is enorm veel aandacht voor ICT- en cybersecurity. En ja, door die focus bestaat inderdaad het gevaar dat de meer traditionele vormen van beveiliging minder aandacht krijgen. Dat is dus een risico op zich. Maar ook hier gaat het om het vinden van de juiste balans.”
Om het complete risicolandschap te kunnen blijven overzien, heb je een security architect nodig
Anticiperen security professionals voldoende op deze ontwikkeling?
“Voor de traditionele security manager betekent deze ontwikkeling een enorme verandering. Het zal namelijk niet al te lang meer duren voordat die functie anders ingericht zal gaan worden. Want om het complete risicolandschap te kunnen blijven overzien, heb je volgens mij een security architect nodig. Dat is een generalist van hoog niveau die alles overziet op organisatieniveau, aan de juiste touwtjes trekt en dicht bij de board zit. Onder hem acteren een aantal regisseurs, de vakspecialisten die zich met de uitvoering van de verschillende beleidsonderdelen bezighouden. Variërend van de CIO en het hoofd technische voorziening, tot de manager manbeveiliging. Dat is een nieuw model en een totaal andere aanpak dan we tot nu toe gewend zijn. Als HSD zien we dat er op dit terrein veel te ontwikkelen is, zoals andere vormen van educatie, inclusief bij- en omscholen, andere analysemethodieken en andere vormen van het implementeren en borgen van veiligheidsbeleid.”
Hoe ziet die andere aanpak eruit?
“Als we het hebben over traditioneel beveiligen dan gebruik ik vaak de beeldspraak dat we vooral beveiligen door veel in de achteruitkijkspiegel te kijken en uitgaan van reeds bekende risico’s. Terwijl we juist met een creatieve mindset vooruit zouden moeten kijken. Neem weer dat voorbeeld van de quantum computertechnologie. We zouden nu een aantal creatieve mensen moeten vragen om uitgaande van de mogelijkheden van deze technologie zich te verplaatsen in een terrorist of crimineel en te bedenken welke scenario’s er mogelijk zouden zijn. We moeten dus denken in mogelijke scenario’s en daarvoor al integrale oplossingen bedenken en die maatregelen op tijd gaan nemen. Voorkomen is ook bij beveiligen nog altijd beter dan genezen.”
Hoe belangrijk is in deze aanpak samenwerking tussen de verschillende stakeholders in de veiligheidsketen?
“Een veilige samenleving kan niet zonder samenwerking. Toch is dit nog steeds een probleem in de veiligheidsketen, vaak voortkomend uit het feit dat men elkaar onvoldoende vertrouwt. Om hierin verandering aan te brengen heb je steeds meer zogenoemde ‘trusted networks’ van deskundigen nodig.”
Welke rol kan HSD daarin spelen?
“HSD heeft inmiddels een bewezen staat van dienst en is hard op weg een ‘trusted community’ te worden. Binnen HSD werken bedrijven, overheden en kennisinstellingen samen aan innovaties en kennisontwikkeling op het gebied van cybersecurity, nationale en stedelijke veiligheid, bescherming van vitale infrastructuur en het forensisch werkveld. We zijn een denk- en doe-tank en wij verbinden partners uit die zogenoemde triple helix, om in te spelen op nieuwe ontwikkelingen in het veiligheidsdomein. We nemen bovendien het voortouw als het gaat om samenwerking in ons streven naar één nationaal veiligheidscluster.”
The Hague Security Delta neemt het voortouw als het gaat om samenwerking in het streven naar één nationaal veiligheidscluster.
Hoe ziet het veiligheidsdomein er over 3 jaar uit?
“Dan is de functiescheiding waarover ik sprak voltooid en hebben organisaties een integrale security architect. Verder zullen de top van het MKB, grote bedrijven en bedrijven in de vitale infrastructuur niet meer zonder een structurele en geborgde aanpak van cybersecurity werken. Tevens zullen we onze veiligheidsvoorzieningen op een andere manier auditen; veel meer ‘at random’. Door meer samen te werken, zullen we ook slagen hebben gemaakt in de echt integrale benadering van een risico. Tenslotte zie ik traditionele beveiliging verworden tot een bijproduct. Ik ben ervan overtuigd dat deze transformatie van het veiligheidsdomein de komende 3 tot 5 jaar zal plaatvinden waarbij ik mij baseer op mijn ervaring bij HSD en hier dagelijks zie hoe deze ontwikkelingen accelereren.”