image

Column: "Nederland is goed voorbereid"

dinsdag 28 augustus 2007, 12:13 door Redactie, 9 reacties

"Ga maar rustig slapen". Volgens de legende zou premier Colijn tot aan mei 1940 hiermee de Nederlandse bevolking in slaap gesust hebben, terwijl Duitsland tot de tanden toe bewapend klaar stond binnen te vallen.

Nu wás Colijn op dat moment helemaal geen premier en heeft hij deze uitspraak dan ook tóen niet gedaan. Maar wel vier jaar eerder: op 11 maart 1936, na de bezetting van het gedemilitariseerde Rijnland door Duitse troepen in strijd met internationale afspraken, verklaarde hij op de radio over de dreiging van Duitsland; "Ik verzoek den luisteraars dan ook, wanneer ze straks hunne legersteden opzoeken, even rustig te gaan slapen als ze dat ook andere nachten doen. Er is voorshands geen enkele reden om werkelijk ongerust te zijn." Hij doelde hiermee expliciet op de korte termijn, zeker niet op de situatie in mei '40. Eerder bedoelde hij het tegenovergestelde: in de toespraak merkte hij ook op dat de kans dat Nederland buiten een nieuwe oorlog zou kunnen blijven hem aanmerkelijk kleiner scheen dan in 1914. Dit laatste stuk is er in de legende vanaf gevallen.

Regelmatig wordt 'Ga Maar Rustig Slapen' geciteerd, bij zo'n beetje alle onderwerpen die in een willekeurige perceptie aan de nationale veiligheid raken en waarbij de overheid als laks wordt ervaren. Zo ook vorige week, toen wij geconfronteerd werden met een uitspraak die in potentie uit kan groeien tot een herhaling van deze geschiedenis: onze premier beweerde dat ons land lang niet zo slecht is voorbereid op rampen van diverse aard als het openbaar gemaakte rapport van het project Nationale Veiligheid suggereerde. Dat Nederland niet goed voorbereid is, is volgens onze premier "gedateerde informatie". Het project hield zich in 2005/6 ondermeer bezig met de kwetsbaarheid van de dijken, onze digitale infrastructuur en de dreiging van het terrorisme.

Als er de komende jaren een ramp gebeurt, zullen deze woorden JPB om de oren geslagen worden. Ik neem dan ook aan dat de voorlichters van Algemene Zaken met kromme tenen hebben zitten luisteren. Maar kon hij wat anders zeggen? Dat er géén vooruitgang is geboekt? Ik denk dat hij de uitspraken met samengeknepen billen heeft gedaan en hoopt en bidt dat er geen ramp gebeurt voordat zijn regeerperiode erop zit. Anders zal hij net als Colijn in het geschiedbeeld belanden, als laks en onverantwoord bestuurder.

Volgens Balkenende doet het kabinet er alles aan om risico's zo klein mogelijk te houden, maar zijn rampen nooit helemaal uit te sluiten. De premier zette vervolgens omstandig uiteen dat het van de aard van een crisis afhangt welke minister als eerste verantwoordelijk is. Volgens Balkenende is de minister van BiZa in een aantal gevallen verantwoordelijk voor de coördinatie, maar ligt bijvoorbeeld de coördinatie bij een ramp met een terroristische achtergrond bij Justitie. Als je het rapporten van het project Nationale Veiligheid erop naslaat, zie je dat een digitale aanval via het Internet initieel onder EZ valt, maar als er sprake is van een criminele intentie moet Justitie het voortouw nemen. Blijken de criminelen politiek gemotiveerd waardoor er sprake is van terrorisme, neem de NCTb de leiding. Raakt de aanval ook de infrastructuur van de rijksoverheid, dan komen BiZa en Defensie in beeld, de één als beleidsmatig bevoegd en de ander als leverancier van het overheidsnetwerk. Dat de digitale verlamming net zo snel zal optreden op bestuurlijk niveau als in de aangevallen systemen, zal niemand ontgaan.

Volgens de minister van BiZa Ter Horst is het beter als het in alle gevallen bij haar zou belanden. Daar is wat voor te zeggen. Als je er halverwege een ramp achterkomt dat die dijkdoorbraak door een aanslag veroorzaakt is, ga je tijdens het pompen en evacueren toch liever niet de coördinatie overdragen aan Justitie? En als vervolgens blijkt dat er een vijandige mogendheid achter zit, nog een keertje aan Defensie? Doe even normaal!

De aandacht voor rampen is gegroeid naar aanleiding van Enschede, Volendam en Schiphol. Rampen waarbij maatregelen ter voorkoming gefaald hebben en het optreden van de nooddiensten (mede daarom) niet optimaal was. Sindsdien is er een aantal rampenoefeningen geweest, om op dit gebied lessen te trekken, en er zullen nog oefeningen meer volgen. Zo is er een oefening geweest waarbij gekeken is naar de effecten van een zeer massale computeruitval ("digitale verlamming"). De uitvoerende mensen van de verschillende clubs kennen elkaar nu, weten een beetje hoe de andere eilanden in elkaar steken en daar houden ze voortaan rekening mee. Dat klinkt misschien als weinig winst, maar het maakt in de praktijk een wereld van verschil. Het heeft - om maar iets te noemen - ervoor gezorgd dat de bedrijven die op 9/11 hun hoofdkantoor in het WTC hadden, binnen enkele dagen weer operationeel waren terwijl de hele directie en iedere procedure en sturing in rook op was gegaan. De lagere goden, die elkaar persoonlijk kenden van cursussen en het sigaretje op straat, regelden het gewoon onderling.

De vooruitgang zit niet op het gebied van preventie: preventie is niet wat je onderzoekt bij een rampenoefening. De premier wees in zijn verdediging abusievelijk op vooruitgang in tal van preventieve programma's, zoals die om overstromingen te voorkomen. Daar is echter bar weinig bereikt. Iedereen kan zien dat de dijken niet zijn verhoogd, de klimaatplannen nog steeds alleen maar plannen zijn, de computersystemen op hún werk niet beter beveiligd zijn, er nog dagelijkse krakkemikkige vliegtuigen laag over de Bijlmer en over de olieopslag bij Zestienhoven vliegen, dat bedrijven nog steeds illegaal gevaarlijke stoffen opslaan, en ga zo maar door. Het gaat er om wat je doet ná een overstroming en hoe dát verbeterd kan worden. Voor preventie is gewoon meer tijd nodig, probeer maar eens een dijk te verhogen in een jaar. Zeker nog nooit een paar dijkhuizen verplaatst? En een beetje budget zou ook wonderen doen, vermoed ik. Blijkbaar is het subtiele onderscheid tussen crisispreventie en crisisbeheersing ook de tekstschrijvers van onze premier ontgaan. Of zou hij deze tekst zelf bedacht hebben?

Hoog tijd om eens naar ons eigen aandachtsgebied te kijken. Informatiebeveiliging kent ook beide componenten: voorkómen en bestrijden. Bijna alle aandacht gaat uit naar preventie, er is vrijwel geen aandacht voor het optreden tijdens incidenten. Alsof het optreden tijdens incidenten triviaal is. Onze onvolprezen trits aan methodieken gaat in alle detail in op het voorkomen van ieder denkbaar scenario, zonder veel aandacht voor hoe je als organisatie moet optreden als een maatregel niet afdoende blijkt, als een bedreiging over het hoofd is gezien of nieuwer is dan onze standaard.

Niet ieder probleem is te voorkomen - volgens de leerboekjes accepteren we dan ook een aantal risico's. Al was het alleen maar omdat preventieve maatregelen de hele organisatie zodanig kunnen verstikken dat er vanzelf niets te beveiligen overblijft. Of dat er gewoon niets preventiefs denkbaar is; als middelgrote saunaketen ben je wellicht niet geëquipeerd om het Internet virusvrij te maken. Accepteren kan als het spreekwoordelijke konijntje op de A12 in de koplampen van een wit busje, maar kan ook betekenen dat je de organisatie enigszins voorbereidt om er bij een eventualiteit het beste van te bakken.

De aanname van veel bedrijven is impliciet dat de bestuurlijke structuur die de organisatie door haar dagelijkse perikelen loodst dit ook zal kunnen bij een veiligheidsincident. Dit is op zich niet zo gek - er gebeuren wel ergere dingen bij organisaties dan de blacklisting van je domein. Maar organisaties die vrijwel alleen ICT hebben of er bovenmatig afhankelijk van zijn, moeten zich wel degelijk voorbereiden op de specifieke vormen van crisisbeheersing die bij ICT horen. In de ICT komt een ongeluk zelden alleen: als je wordt aangevallen, trekt dat meer aanvallers aan. Aanpalende systemen vallen als dominostenen om, hoewel ze niet rechtstreeks geraakt worden. Bovendien duren incidenten vaak veel langer. Een stevig brandje is doorgaans na zes uur wel uitgewoed, maar een veiligheidsincident lijkt meer op een veenbrand die opeens op tig plekken tegelijk zichtbaar wordt.

Waar wij onvoldoende rekening mee houden is de uitputting die optreedt bij een aanhoudende reeks incidenten. Hoeveel dagen van zestien uur kan een gemiddeld mens scherp blijven? Een aanval kan weken of maanden doorgaan. Hoeveel weken van moeizaam beteugelde paniek kan een gemiddelde directie overleven? Hoe lang blijven overlegstructuren tussen ministeries functioneren? Denk aan de doemscenario's van de koude oorlog: als gedurende een paar weken er dagelijks alarm zou zijn, zou iedere persoon in de bevelstructuur uitgeput zijn en ieder hulpmiddel om op te treden versleten. Dit geldt ook voor de beveiliging van computers: de beheerder die blijft zitten totdat de aanval gekeerd is, maakt de organisatie kwetsbaar voor de volgende aanval. Welke manager stuurt de enige persoon naar huis die snapt wat er aan de hand is? Welke manager gaat zelf naar huis, met het risico het verwijt te krijgen dat ie lekker thuis zat terwijl de boel uitfikt? Toch zullen we het zo moeten regelen dat er ook na drie dagen frisse mensen zitten, die weten wat ze kunnen doen. En dat er tijdens een incident op één vlak ook alert gereageerd wordt op andere meldingen. Zo lang dit onder de radar blijft, is de zekerste methode om een digitale verlamming van onze samenleving te bereiken het creëren van het bestuursinfarct.

Peter Rietveld, Senior Security consultant bij Traxion - The Identity Management Specialists -

Vorige columns van Peter

  • Headhunter incident
  • Ethiek en Security
  • De kleren van de keizer zijn dood, leve de nieuwe kleren van de keizer
  • Over Security Architectuur
  • Best Practices bestaan niet
  • Unified Threat Management: dure mensen, goeie spullen?
  • Security maturity
  • Komt het nog wel goed
  • Geen nieuws is goed nieuws
  • Awareness best belangrijk
  • Een papieren tijger in een zilveren lijstje
  • Een goed idee is niet goed genoeg
  • Uit de loopgraven
  • Waarom beveiligingsbeleid faalt
  • Groot slaat dood
  • Reacties (9)
    28-08-2007, 13:39 door awesselius
    Als men vanuit de overheid doet geloven dat alles moet
    wijken voor de strijd tegen het terrorisme, dan zou dat
    eigenlijk inhouden dat er geen tijd is om te slapen. Je doet
    geen oog dicht met het beeld dat de overheid je voorhoudt:
    Nieuwe Wereld Orde en Big Brother om de hoek.

    En dat de verschillende afdelingen de touwtjes verdelen
    afhankelijk van de aard en intentie van de ramp/aanslag is
    niet nieuw. Wie heeft opgelet bij series als 24 (niet om
    daar een voorbeeld aan te nemen), kan zoiets raar uitpakken.
    Dit is echter een fictief scenario en zal in werkelijkheid
    niet eens gestroomlijnd kunnen zijn.

    Al met al hebben ze bij de (van binnenuit opgezette) aanval
    op het WTC zorgvuldig een doel gekozen: WTC 7 bevatte
    namelijk verschillende afdelingen van de geheime diensten en
    de belastingdienst. Dat het gebouw uberhaupt is getroffen
    weten ze nog steeds niet te verklaren. Overigens hebben ze
    daar ook helemaal geen prioriteit van gemaakt.

    Ik wacht nog op een soortgelijke (van binnenuit opgezette)
    aanval zoals 9/11 en 7/7 (Londen) maar dan binnen Nederland,
    waardoor de totalitaire greep op de macht nog steviger wordt
    aangesnoerd. We zijn zo mak als een lammetje en geloven niet
    in Sneeuwwitje, maar in nog ergere leugens en fantasieen.

    - Unomi -
    28-08-2007, 14:42 door JayVee
    Ik heb dit artikel een aantal keer gelezen, omdat ik het enigszins
    onsamenhangend vond wist ik niet of ik het goed begreep. Uit mijn
    reactie zou je evt. kunnen opmaken of dit is veranderd.

    Ik denk dat de situatie nu, heel anders is dan in 1936 en kan derhalve de
    relatie van het onderwerp met het begin van het artikel niet goed
    leggen. Waarom…
    Duitsland handelde in strijd met ‘internationale afspraken’ omdat Frankrijk
    dit ook deed toen zij pogingen ondernam om het gebied te annexeren,
    maar ook hoe slecht de overwegend Duitse bevolking door de Fransen
    werd behandeld. Duitsland werd bestempeld als de enige schuldige voor
    het ontstaan van WW1, en moest derhalve reparatie betalingen
    verrichten welke ervoor zorgend dat Duitsland gebukt ging onder een
    enorme schuldenlast. Deze economische malaise plus de genoemde
    Franse misdragingen waren de Duitse aanleiding voor bezetting.

    Ik vermoed dat Colijn werkelijk geloofde dat de Duitse acties geen reden
    waren voor Nederland om zich zorgen te maken. Europa was tenslotte
    niet blind voor de Duitse problemen, daarnaast had de toenmalige Britse
    Premier, Neville Chamberlain, vanuit zijn appeasement policy, letterlijk
    vertaald concessiepolitiek, de toezegging van Hitler gekregen dat deze
    geen oorlog wilde.

    Het moge duidelijk zijn dat de genoemde rampen ernstig waren, laat daar
    geen discussie over bestaan, maar wat me verder opviel was de
    opmerking over Volendam, Enschede en Schiphol waarbij maatregelen,
    ter voorkoming van een ramp faalden, Is het echter niet zo dat deze
    zelfde maatregelen er voor zorgen dat elders waar vuurwerk wordt
    opgeslagen, of gevangenen worden bewaard, of feesten worden
    gehouden, geen ramp ontstaat, dus dat de maatregelen gewoon werken?

    Ik moet zeggen dat dit artikel wederom naar stemmingsmakerij riekt.
    Uitermate jammer, gezien wat er wel mee gedaan had kunnen worden.
    28-08-2007, 14:52 door Anoniem
    <quote>
    Het moge duidelijk zijn dat de genoemde rampen ernstig waren, laat daar
    geen discussie over bestaan, maar wat me verder opviel was de
    opmerking over Volendam, Enschede en Schiphol waarbij maatregelen,
    ter voorkoming van een ramp faalden, Is het echter niet zo dat deze
    zelfde maatregelen er voor zorgen dat elders waar vuurwerk wordt
    opgeslagen, of gevangenen worden bewaard, of feesten worden
    gehouden, geen ramp ontstaat, dus dat de maatregelen gewoon werken?
    </quote>

    Maatregelen om rampen te voorkomen werken niet per definitie, als er
    geen rampen zijn. Er bestaat ook nog zoiets als een aanleiding. Veel
    maatregelen zijn bedoeld om de impact van rampen te verkleinen, zoals
    dat de brandweer weet wat er in een container zit.....
    28-08-2007, 17:03 door Mameomowskwooz
    Door JayVee
    Ik heb dit artikel een aantal keer gelezen, omdat ik het enigszins
    onsamenhangend vond wist ik niet of ik het goed begreep. Uit mijn
    reactie zou je evt. kunnen opmaken of dit is veranderd.

    ...

    Ik moet zeggen dat dit artikel wederom naar stemmingsmakerij riekt.
    Uitermate jammer, gezien wat er wel mee gedaan had kunnen worden.

    Je hebt kennelijk de essentie van 't stuk helemaal gemist...
    Ik hoop niet dat de volgende reacties, net als de vorige, ook enkel over de
    eerste 2/3 alinea's van de column gaan maar over de essentie, zou leuk
    zijn.


    Ben benieuwd....

    Tip:
    ...het subtiele onderscheid tussen crisispreventie en
    crisisbeheersing...[/quote]
    28-08-2007, 19:23 door Anoniem
    Het klopt: het is een Colijn-legende. Ik heb eens jaren
    gelden de originele opname gehoord, maar de Duitse-inval
    van mei 1940 staat hier volledig los van.

    Waar iedereen wél kwaad over was, was de onvoorstelbare
    zorgeloosheid in een absolute crisissfeer. En Colijn had
    beter moeten begrijpen dat je niet zo met mensen om kan gaan.

    Misschien is het nu juist dát waarom Colijn deze uitspraak kwalijk
    genomen wordt.
    28-08-2007, 21:25 door Anoniem
    Wie richt de RP op? De Rationele Partij?
    Geen politiek compromissen sluiten, alleen maar om het
    publiek te laten 'zien' dat men echt wel daadkrachtig is?
    Een voorbeeld. Tegenwoordig schijnt een gloeilamp veel
    minder mileubelastend te zijn dan een spaarlamp. Want daarin
    zitten veel meer stoffen, die ook nog eens moeilijker
    afbreekbaar zijn. De warmte komt in Nederland niet zo slecht
    uit; zo warm is het hier gemiddeld niet. De gloeilamp kan
    goedkoop in arme landen gemaakt worden (let op: geen
    uitbuiting!). Toch gaat de politiek voor de spaarlamp, want
    die heeft een (onterecht) milieuvriendelijk imago.
    Het is beleid gebaseerd op vooroordeeldenken dus. En verre
    van rationeel! En verre van democratisch ook. Hoe kan het
    publiek echt kiezen, wanneer de beleidsmakers hun eigen volk
    het liefst voor de gek houden?
    Een ander voorbeeld. De daadkrachtigheid van de EU tegen
    Microsoft. Wat een vreselijke afgang zeg. Maar het publiek
    'denkt' wel dat de EU iets tegen M$ doet!
    Maar het grootste deel van het publiek vindt Bill cool, en
    weet niet beter dan Windows. Dus hoe populair maakt de EU
    zich dan bij het volk?
    Een ander voorbeeld: hoe de Duitse overheid met
    beveiligingsonderzoek omgaat...
    29-08-2007, 01:04 door spatieman
    JBP zegt.
    Ga maar rustig slapen lieve belastingbetaler.
    alle terroristische dreigeningen zijn allemaal hoaxen.
    k00SSp€€ bestaat niet.

    en ik, als jullie furher zal jullie beschermen.

    Welteruste DOM nederlands volk.
    29-08-2007, 07:03 door JayVee
    Ik ben het er mee eens dat het ontbreken van iets het niet bestaan
    ervan bewijst. Daarentegen bewijzen een aantal rampen niet dat de
    processen niet goed werken. Gisteren bij TNT in Oldenzaal lijkt mij een
    voorbeeld hiervan.

    @Peter V. Duidelijk.
    Ik denk ook dat je gelijk hebt, alhoewel ik, weliswaar gevoelsmatig, het
    idee heb dat de dreigingen van 1940 en die van nu niet te vergelijken
    zijn. Ja er zijn gevaren, maar uit alles dat ik lees blijkt dat de dreigingen, of
    beter de mate van, eerder door hype van media en overheid,
    gechargeerd worden. Misschien interessant is te weten hoeveel
    mensendaadwerkelijk slachtoffer worden van terrorisme. Dit wordt hier
    bijgehouden, http://www.start.umd.edu/data/gtd/.
    06-09-2007, 09:10 door Anoniem
    Door Peter V
    Het klopt: het is een Colijn-legende. Ik heb eens jaren
    gelden de originele opname gehoord, maar de Duitse-inval
    van mei 1940 staat hier volledig los van.

    Waar iedereen wél kwaad over was, was de onvoorstelbare
    zorgeloosheid in een absolute crisissfeer. En Colijn had
    beter moeten begrijpen dat je niet zo met mensen om kan gaan.

    Misschien is het nu juist dát waarom Colijn deze uitspraak
    kwalijk
    genomen wordt.

    Colijn iets kwalijk nemen....., terwijl de hele wereld feest
    vierde met de nazi's... !?
    Aleen propaganda artiesten die uberhaupt zo onbeschoft zijn
    om overleden mensen aan een schandpaal te nagelen zullen dat
    proberen te doen.

    We hebben er zelfs nog de Olympische Spelen laten
    plaatsvinden zo gek was iedereen in het begin met de
    prachtige Duitse 'New Order'... (komt het je bekend voor)
    Nu gebeurt weer precies hetzelfde maar nu met het
    verachtelijke China....
    Maar goed, geschiedenis schijnt zichzelf te moeten herhalen;
    ben wel benieuwd wie we dadelijk weer dee zwarte piet gaan
    toespelen... Jan Marijnissen !?
    Reageren

    Deze posting is gelocked. Reageren is niet meer mogelijk.