"Ga maar rustig slapen". Volgens de legende zou premier Colijn tot aan mei 1940 hiermee de Nederlandse bevolking in slaap gesust hebben, terwijl Duitsland tot de tanden toe bewapend klaar stond binnen te vallen.

Nu wás Colijn op dat moment helemaal geen premier en heeft hij deze uitspraak dan ook tóen niet gedaan. Maar wel vier jaar eerder: op 11 maart 1936, na de bezetting van het gedemilitariseerde Rijnland door Duitse troepen in strijd met internationale afspraken, verklaarde hij op de radio over de dreiging van Duitsland; "Ik verzoek den luisteraars dan ook, wanneer ze straks hunne legersteden opzoeken, even rustig te gaan slapen als ze dat ook andere nachten doen. Er is voorshands geen enkele reden om werkelijk ongerust te zijn." Hij doelde hiermee expliciet op de korte termijn, zeker niet op de situatie in mei '40. Eerder bedoelde hij het tegenovergestelde: in de toespraak merkte hij ook op dat de kans dat Nederland buiten een nieuwe oorlog zou kunnen blijven hem aanmerkelijk kleiner scheen dan in 1914. Dit laatste stuk is er in de legende vanaf gevallen.

Regelmatig wordt 'Ga Maar Rustig Slapen' geciteerd, bij zo'n beetje alle onderwerpen die in een willekeurige perceptie aan de nationale veiligheid raken en waarbij de overheid als laks wordt ervaren. Zo ook vorige week, toen wij geconfronteerd werden met een uitspraak die in potentie uit kan groeien tot een herhaling van deze geschiedenis: onze premier beweerde dat ons land lang niet zo slecht is voorbereid op rampen van diverse aard als het openbaar gemaakte rapport van het project Nationale Veiligheid suggereerde. Dat Nederland niet goed voorbereid is, is volgens onze premier "gedateerde informatie". Het project hield zich in 2005/6 ondermeer bezig met de kwetsbaarheid van de dijken, onze digitale infrastructuur en de dreiging van het terrorisme.

Als er de komende jaren een ramp gebeurt, zullen deze woorden JPB om de oren geslagen worden. Ik neem dan ook aan dat de voorlichters van Algemene Zaken met kromme tenen hebben zitten luisteren. Maar kon hij wat anders zeggen? Dat er géén vooruitgang is geboekt? Ik denk dat hij de uitspraken met samengeknepen billen heeft gedaan en hoopt en bidt dat er geen ramp gebeurt voordat zijn regeerperiode erop zit. Anders zal hij net als Colijn in het geschiedbeeld belanden, als laks en onverantwoord bestuurder.

Volgens Balkenende doet het kabinet er alles aan om risico's zo klein mogelijk te houden, maar zijn rampen nooit helemaal uit te sluiten. De premier zette vervolgens omstandig uiteen dat het van de aard van een crisis afhangt welke minister als eerste verantwoordelijk is. Volgens Balkenende is de minister van BiZa in een aantal gevallen verantwoordelijk voor de coördinatie, maar ligt bijvoorbeeld de coördinatie bij een ramp met een terroristische achtergrond bij Justitie. Als je het rapporten van het project Nationale Veiligheid erop naslaat, zie je dat een digitale aanval via het Internet initieel onder EZ valt, maar als er sprake is van een criminele intentie moet Justitie het voortouw nemen. Blijken de criminelen politiek gemotiveerd waardoor er sprake is van terrorisme, neem de NCTb de leiding. Raakt de aanval ook de infrastructuur van de rijksoverheid, dan komen BiZa en Defensie in beeld, de één als beleidsmatig bevoegd en de ander als leverancier van het overheidsnetwerk. Dat de digitale verlamming net zo snel zal optreden op bestuurlijk niveau als in de aangevallen systemen, zal niemand ontgaan.

Volgens de minister van BiZa Ter Horst is het beter als het in alle gevallen bij haar zou belanden. Daar is wat voor te zeggen. Als je er halverwege een ramp achterkomt dat die dijkdoorbraak door een aanslag veroorzaakt is, ga je tijdens het pompen en evacueren toch liever niet de coördinatie overdragen aan Justitie? En als vervolgens blijkt dat er een vijandige mogendheid achter zit, nog een keertje aan Defensie? Doe even normaal!

De aandacht voor rampen is gegroeid naar aanleiding van Enschede, Volendam en Schiphol. Rampen waarbij maatregelen ter voorkoming gefaald hebben en het optreden van de nooddiensten (mede daarom) niet optimaal was. Sindsdien is er een aantal rampenoefeningen geweest, om op dit gebied lessen te trekken, en er zullen nog oefeningen meer volgen. Zo is er een oefening geweest waarbij gekeken is naar de effecten van een zeer massale computeruitval ("digitale verlamming"). De uitvoerende mensen van de verschillende clubs kennen elkaar nu, weten een beetje hoe de andere eilanden in elkaar steken en daar houden ze voortaan rekening mee. Dat klinkt misschien als weinig winst, maar het maakt in de praktijk een wereld van verschil. Het heeft - om maar iets te noemen - ervoor gezorgd dat de bedrijven die op 9/11 hun hoofdkantoor in het WTC hadden, binnen enkele dagen weer operationeel waren terwijl de hele directie en iedere procedure en sturing in rook op was gegaan. De lagere goden, die elkaar persoonlijk kenden van cursussen en het sigaretje op straat, regelden het gewoon onderling.

De vooruitgang zit niet op het gebied van preventie: preventie is niet wat je onderzoekt bij een rampenoefening. De premier wees in zijn verdediging abusievelijk op vooruitgang in tal van preventieve programma's, zoals die om overstromingen te voorkomen. Daar is echter bar weinig bereikt. Iedereen kan zien dat de dijken niet zijn verhoogd, de klimaatplannen nog steeds alleen maar plannen zijn, de computersystemen op hún werk niet beter beveiligd zijn, er nog dagelijkse krakkemikkige vliegtuigen laag over de Bijlmer en over de olieopslag bij Zestienhoven vliegen, dat bedrijven nog steeds illegaal gevaarlijke stoffen opslaan, en ga zo maar door. Het gaat er om wat je doet ná een overstroming en hoe dát verbeterd kan worden. Voor preventie is gewoon meer tijd nodig, probeer maar eens een dijk te verhogen in een jaar. Zeker nog nooit een paar dijkhuizen verplaatst? En een beetje budget zou ook wonderen doen, vermoed ik. Blijkbaar is het subtiele onderscheid tussen crisispreventie en crisisbeheersing ook de tekstschrijvers van onze premier ontgaan. Of zou hij deze tekst zelf bedacht hebben?

Hoog tijd om eens naar ons eigen aandachtsgebied te kijken. Informatiebeveiliging kent ook beide componenten: voorkómen en bestrijden. Bijna alle aandacht gaat uit naar preventie, er is vrijwel geen aandacht voor het optreden tijdens incidenten. Alsof het optreden tijdens incidenten triviaal is. Onze onvolprezen trits aan methodieken gaat in alle detail in op het voorkomen van ieder denkbaar scenario, zonder veel aandacht voor hoe je als organisatie moet optreden als een maatregel niet afdoende blijkt, als een bedreiging over het hoofd is gezien of nieuwer is dan onze standaard.

Niet ieder probleem is te voorkomen - volgens de leerboekjes accepteren we dan ook een aantal risico's. Al was het alleen maar omdat preventieve maatregelen de hele organisatie zodanig kunnen verstikken dat er vanzelf niets te beveiligen overblijft. Of dat er gewoon niets preventiefs denkbaar is; als middelgrote saunaketen ben je wellicht niet geëquipeerd om het Internet virusvrij te maken. Accepteren kan als het spreekwoordelijke konijntje op de A12 in de koplampen van een wit busje, maar kan ook betekenen dat je de organisatie enigszins voorbereidt om er bij een eventualiteit het beste van te bakken.

De aanname van veel bedrijven is impliciet dat de bestuurlijke structuur die de organisatie door haar dagelijkse perikelen loodst dit ook zal kunnen bij een veiligheidsincident. Dit is op zich niet zo gek - er gebeuren wel ergere dingen bij organisaties dan de blacklisting van je domein. Maar organisaties die vrijwel alleen ICT hebben of er bovenmatig afhankelijk van zijn, moeten zich wel degelijk voorbereiden op de specifieke vormen van crisisbeheersing die bij ICT horen. In de ICT komt een ongeluk zelden alleen: als je wordt aangevallen, trekt dat meer aanvallers aan. Aanpalende systemen vallen als dominostenen om, hoewel ze niet rechtstreeks geraakt worden. Bovendien duren incidenten vaak veel langer. Een stevig brandje is doorgaans na zes uur wel uitgewoed, maar een veiligheidsincident lijkt meer op een veenbrand die opeens op tig plekken tegelijk zichtbaar wordt.

Waar wij onvoldoende rekening mee houden is de uitputting die optreedt bij een aanhoudende reeks incidenten. Hoeveel dagen van zestien uur kan een gemiddeld mens scherp blijven? Een aanval kan weken of maanden doorgaan. Hoeveel weken van moeizaam beteugelde paniek kan een gemiddelde directie overleven? Hoe lang blijven overlegstructuren tussen ministeries functioneren? Denk aan de doemscenario's van de koude oorlog: als gedurende een paar weken er dagelijks alarm zou zijn, zou iedere persoon in de bevelstructuur uitgeput zijn en ieder hulpmiddel om op te treden versleten. Dit geldt ook voor de beveiliging van computers: de beheerder die blijft zitten totdat de aanval gekeerd is, maakt de organisatie kwetsbaar voor de volgende aanval. Welke manager stuurt de enige persoon naar huis die snapt wat er aan de hand is? Welke manager gaat zelf naar huis, met het risico het verwijt te krijgen dat ie lekker thuis zat terwijl de boel uitfikt? Toch zullen we het zo moeten regelen dat er ook na drie dagen frisse mensen zitten, die weten wat ze kunnen doen. En dat er tijdens een incident op één vlak ook alert gereageerd wordt op andere meldingen. Zo lang dit onder de radar blijft, is de zekerste methode om een digitale verlamming van onze samenleving te bereiken het creëren van het bestuursinfarct.

Peter Rietveld, Senior Security consultant bij Traxion - The Identity Management Specialists -

Vorige columns van Peter