Column: Een lesje in beveiliging
De spraakmakende editie Nederland Undercover, waarin journalist Alberto Stegeman ongehinderd een imitatie semtexbom aan boord van een vliegtuig plaatste, toont aan dat compliancy blijkbaar iets heel anders is dan Security, ook al gaat compliant zijn over aan een waslijst beveiligingsvoorschriften.
Minister Hirsch Ballin benadrukt dat de beveiliging van Schiphol voldoet aan de Europese regels "en in zijn algemeenheid goed is". Al met al is er dus op alle fronten adequaat gehandeld, vinden de verantwoordelijken. Bestuurlijk gezien hebben ze gelijk: iedereen heeft zich aan de regels gehouden, is dus 'compliant'. Afgezien dan van die arme kleumende bewaker die in de televisie-uitzending te zien was. Schipholdirecteur Cerfontaine: "Zo iemand moet je gelijk ontslaan." Dat deed hij dan ook. Goed man.
Ook de Nationaal Coördinator Terrorismebestrijding (NCTb) Tjibbe Joustra, wijst "de menselijke factor" aan als zwakke schakel. De irisscan die per 1 juli van dit jaar voor alle medewerkers op de luchthaven gaat gelden, maakt daar volgens Joustra definitief een einde aan.
Al eerder zorgde gerommel met de beveiliging van Schiphol voor gedonder. Donner (CDA) beloofde in zijn vorige functie dat de beveiliging verscherpt zou worden. Hij spendeerde naar verluidt een slordige kwart miljard voor uitbreiding van toegangscontroles, hekjes, stempels, processen, procedures, pasjes, irisscans, vingerafdruksystemen en ook het preventief fouilleren en willekeurig aanhouden van bezoekers en vakantiegangers. Trots verkondigde hij begin 2005 dat Schiphol een van de veiligste luchthavens van Europa was geworden. Kort daarop roofden verklede criminelen op klaarlichte dag diamanten met een waarde van 76 miljoen euro. Een maand later nam een jager zijn dubbelloops geweer met bijbehorende munitie zonder problemen in zijn koffer mee naar Spanje. Vervolgens liet Peter R. de Vries zien hoe eenvoudig het was om met paspoorten van iemand anders van Schiphol te vertrekken en er ook weer mee binnen te komen. Volgens Donner zouden voor het eind van 2005 alle passen van de luchthaven zijn voorzien van biometrische kenmerken. Opvolger Hirsch Ballin belooft nu dat deze irisscan per 1 juli 2008 voor alle medewerkers zal zijn ingevoerd. Drie jaar vertraging maar. Lang niet slecht.
Bovendien zal een terrorist "waarschijnlijk niet zo handelen als de bewuste journalist", volgens operationeel directeur Ad Rutten, verantwoordelijk voor de veiligheid op Schiphol,. Weet Rutten iets wat wij niet weten? Zijn er dan nóg betere manieren om een bom in een vliegtuig te krijgen?
Hoe zit het eigenlijk met de screening van Schipholmedewerkers? Journalist Stegeman maakte gebruik van de toegangspas van een collega, die via een uitzendbureau op Schiphol werkte. Die collega moet gescreend zijn, waarschijnlijk door de Koninklijke Marechaussee. En ondanks het feit dat hij werkt bij Nederland Undercover, kon hij direct aan de slag op Schiphol. Is dat vreemd? Een screening is een controle of iemand een verdacht profiel heeft, en een gevaar voor Nederland of haar bondgenoten kan vormen in de functie waarnaar gesolliciteerd is. Een positieve screening van een journalist op een functie van dokwerker is niet verrassend. Als de screenende medewerker al doorhad dat er een 'Nederland Undercover' actie gaande was, heeft hij dit kennelijk toegestaan. En waarom ook niet? Vrije nieuwsgaring is een existentieel onderdeel van onze samenleving, en het beschermen daarvan is de taak van de AIVD en gedelegeerd gemachtigde KMar. Het dienstverband bij een SBS-productiebedrijf geldt blijkbaar niet als een staatsgevaarlijke activiteit. En als je heel cynisch bent, kun je ook nog veronderstellen dat ophef over onveiligheid rond Schiphol juist gunstig zal zijn voor de KMar, die dan eindelijk het geld krijgt voor de mooie spullenboel die al jaren beloofd wordt. Maar als je dat gelooft ben je wel heel erg cynisch, hoor.
Wat kunnen wij nu met dit alles?
Er zijn een paar interessante observaties te maken. De eerste is dat de ultieme oplossing op dit moment kennelijk de irisscan is. Zo lang deze niet ingevoerd is, mogen we niet nadenken over de restrisico's; de irisscan is een waterdichte oplossing, vindt Joustra. Zo zet je de discussie inderdaad wel stop, ja. Totdat ook dit tovermiddel niet tovert.
Een irisscan is een technische oplossing voor een organisatorisch probleem, namelijk menselijk falen. Als het werkt, kunnen we nooit meer beweren dat technologie geen organisatorische problemen kan oplossen. Ik ben benieuwd. De irisscan op Schiphol houdt ongetwijfeld de undercover journalisten buiten. Maar of een terrorist of een diamantendief er een been in ziet om een uitgerukt oog voor dat apparaat te houden? Of minder bloederig, een laptop met een filmpje van het betreffende oog? Er zijn overigens nog wel meer manieren, maar die krijgt SBS beslist niet gratis van mij.
Tweede observatie: beveiligers gaan minder strikt met de regels om als ze nut en noodzaak niet onderschrijven. Dan zeggen we dat 'de aandacht verslapt'. Als de professionals (de bewakers) de dreiging lager inschatten dan de bestuurders, kan er ook iets anders spelen. Hoe erg vindt de gemiddelde laagbetaalde bewaker het dat een slimme jongen voor een paar miljoen aan spulletjes jat bij een groot en anoniem bedrijf? Hoe waarschijnlijk achten de bewakingsprofessionals een bomaanslag op het vliegveld? Het is niet uit te sluiten dat ze zelf mee de lucht in gaan en dat weten ze. Je kunt ook niet beweren dat de bewakers niet op het belang gewezen worden. Maar het zou maar zo kunnen dat ze niet overtuigd zijn en een aanslag onwaarschijnlijk vinden. Wanneer was de laatste hier ook al weer? Nou, daar helpt geen awareness training meer aan, dan moet je toch eerst een handboek hersenspoelen uit Noord Korea invoeren.
Het kan ook zijn dat er in de risicobepaling niets stond over journalisten. Ze moesten beveiligen tegen dieven en terroristen, niet tegen journalisten. Een aardige illustratie van het toch al vrij hoge stiptheidsactiegehalte van Security.
De belangrijkste les is van het geheel is dat het ruimschoots en voortijdig voldoen aan eisenlijsten vol strenge regels kan samengaan met de lekheid van een mandje. Dat alle losse maatregelen 100% 'geïmplementeerd' zijn, maar het gestelde doel toch niet is bereikt. Dat een strikte pasjescontrole blijkbaar niet overgelaten kan worden aan feilbare mensen. Dat techniek sterker is dan procedures.
Of heeft dit nog steeds niets te maken met ICT-security? Is informatiebeveiliging categorisch anders? Hmm. Bewijs het maar eens.
Peter Rietveld, Senior Security consultant bij Traxion - The Identity Management Specialists -
Vorige columns van Peter
goedemorgen iedereen, blabla, maar na een tijdje smeed deze
zijn snode plannen.
en DAN ????
de standaard zakenman, die iedere dag vliegt van A naar B,
goedemorgen iedereen, blabla, maar na een tijdje smeed deze
zijn snode plannen.
en DAN ????
En dan? Dan wordt hij neergeschoten door een oplettende bewaker omdat
deze heeft geleerd van fouten uit het verleden.
Utopie? Of werkelijkheid?
Tjibbe Joustra is een pannekoek die nog nooit over een
modderige stormbaan heeft gekropen en er bij het uwv een
zooitje van had gemaakt. Het had mij logisch geleken als ze
een hoge pief uit bijvoorbeeld het leger op die positie
hadden gezet.
En volgens mij is het nog helemaal niet bewezen dat een
irisscan niet slecht is voor de ogen.
Rookie, ga toch protesteren!
er goed in houden. Indien dat afzwakt raken we draagvlak
kwijt voor allen nog komende wetgeving en speeltjes...
dan wel door een irisscan gaan, maar wat als er iemand
corrupt is en een oogje toeknijpt tegen een (kleine) vergoeding?
Psychopaten hou je nooit tegen, je kunt ze hooguit op
afstand houden. Als de luchthaven helemaal dichtgespijkerd
is zou een eventuele aanval ook nog van buiten uit kunnen komen.
never replace safe gun handling"
http://www.guy-sports.com/fun_pictures/no_brain.jpg
betekenen dat er minder menselijke controleurs zijn (het
budget daarvoor gaat nl vast omlaag na al die investeringen
in technische maatregelen). Kortom, je ziet wel wie er
binnenkomt (of, tenminste wiens oog), maar dat betekent nog
niet dat ze ook niets meenemen dat gebruikt kan worden voor
een misdaad o.i.d.
Mocht je 9/11-achtige aanslagen krijgen, dan zullen de
terroristen niet zo bezorgd zijn dat achteraf bekend wordt
wie ze eigenlijk waren voordat ze zich in het Witte Huis
boorden o.i.d.
Het hele idee van terrorisme- en misdaadbestrijding d.m.v.
dit soort maatregelen is wat vergezocht, denk ik. Het zal
nooit goed helpen (al was het maar omdat in dat geval gewoon
heel andere doelen worden gezocht), maar het kost veel te
veel privacy. Als de overheid dat echt niet inziet, dan zegt
dat iets over hun vermogen om objectief te denken, en veel
misschien over de veel te belangrijke rol van de waan van de
dag.
Veel waarschijnlijker is het dat er veel beleidsmakers zijn
die het belangrijker vinden om veel meer grip te krijgen op
het publiek, buiten enige misdaad- of terrorrismedreiging
om. En blijkbaar hebben die ook erg veel invloed. Nu maar
verder bedenken wat hun echte drijfveren zijn...
dan de afzonderlijke delen bij elkaar geteld. Ofzoiets. Men
heeft daar uiteraard een moeilijke term voor bedacht: het
synergetisch effect.
Maargoed, het tegengestelde daarvan is ook waar: verdeel en
heers.
Het beveiligen van iets is in stukjes te hakken, net als het
ingebruiknemen van nieuwe werkplekken, het uitschakelen van
een milieu-vijandige sateliet (alsof Irak een
milieuvriendelijke operatie was, alsof enige regering enige
boodschap heeft aan het milieu), het huishouden, enz.
Bij grotere klussen krijgt iedereen een stukje te doen. Maar
wanneer iedereen zijn stukje af heeft, betekent dat niet
automatisch dat er iets extra's kan opbloeien uit de
optelsom van al die stukjes.
Dat is - denk ik - een beetje de valkuil van uitbesteding en
de manier waarop tegenwoordig veel gewerkt wordt, met sla's enz.
Iedereen werkt keihard... voor zijn stukje (en zorgt dat-ie
ingedekt is).
Iedereen is compliant maar toch ontbreekt er iets ...
En wat is dat dat dan er ontbreekt in veel gevallen?
kwalijk dat Alberto zo door kon lopen.
ik het wel kwalijk neem is de directie en leidinggevende van het
beveiligingsbedrijf die volgens het contract met Schiphol op die locatie
de "beveiligingswerkzaamheden" moeten uitvoeren zoals is bepaald in het
contract.
Hoe kan je verwachten dat men in de getoonde weersomstandigheden
alert blijft. Ik weet niet hoelang men er zo bij moet staan maar op het
moment dat je het koud / nat krijg en je gaat je iriteren aan het weer en
weet dat je er nog wel een tijdje staat neemt je concentratie af.
Zorg voor een goede loge ( hoeft geen luxe te zijn ) met een kachel en
wc en waterkoker / koffiezet spullen en voor mijn part een foullierruimte en
je zal merken dat de uitvoerende medewerkers een stuk alerter zijn.
Waarom vraagt u zich af heren leidinggevende ??
Omdat men niet heel de tijd in slechte weersomstandigheden ( regen /
harde wind / kou ) staat wat de concentratie negatief beinvloed.
mensen elke dag door een poort moeten waterdicht kan zijn. Een groot
deel van deze (platform ) medewerkers heeft weinig interesse in de
controle, 100 % controle duurt te lang , ergo, niet waterdicht.
Daar komt nog bij dat er nog niks gebeurt is. Zolang er niets gebeurt is ,
KUN je niet echt scherp zijn. Jammer maar helaas. Als het kalf verdronken
is...
loonlijsten staat en enige tijd gelden zijn "expertise"
heeft laten blijken dat de dreiging voor terroristen
sub-stan-tieel was??????
Zou graag zijn dikke salaris over willen nemen en ook van de
kansel willen roepen dat iets sub-stan-tieel is...
informatiebeveiliging categorisch anders? Hmm. Bewijs het
maar eens.
IB is niet categorisch anders. Een briljant individu vindt
een antwoord op een aanval. Vervolgens implementeren we de
maatregel in Ye Holy Plan of in een Methodiek doctrine. En
als het in het plan staat, dan is het goed.
Toch?
verantwoordelijk voelt, of die dat KAN zijn. Het gebeurt, en alles was ok
maar toch niet. Behalve dan die ene bewaker. Geld ook voor andere zaken!
Of heeft dit nog steeds niets te maken met ICT-security? Is
informatiebeveiliging categorisch anders? Hmm. Bewijs het
maar eens.
> Reele dreiging versus "substantiele" dreiging.
Bewijs:
- zet je PC maar eens aan (al dan niet onbeschermd dude) en reken
hoevaak en hoe snel deze wordt gecompromiteerd (kwestie van
minuten..) Limewire installeren en je staat nog sneller in the picture ;-)
Extrapoleren naar de zakelijke markt en je kunt een reele risicoanalyse
maken en eea kwantificeren (obv bv poortklopperij, fraudezaken,
afpersingen, etc..)
- terreur = een tactische vorm van oorlogsvoering. In de afgelopen 40 jaar
zijn de terroristiche "aanslagen" op een hand te tellen en hebben onze
maatschappij niet ontwricht...
Maar.. ik ben het met je eens dat veel so-called ICT-security pro's geen
flauw benul hebben wie er nu aan de andere kant van de knoppen zitten....
The security industry is fighting an unknown enemy.... (vreemde situatie....)
Het paradigma wordt nu zelfs completer nu de inlichtingendiensten op een
nog veel groter schaal aan het investeren zijn in aftapinstallaties en
aftapbevoegdheden... onder de mom van wazige (soms zelfs gelogen en
dus onder valse voorwendselen) terreurdreigingen... en wat blijkt ... deze
worden met name voor economische spionage gebruikt.....
van de identiteit, en zegt het niets over de intenties van een persoon, over
de vraag of deze gevaarlijke spullen bij zich heeft, en meer van dat soort
zaken.
Een undercoverjournalist, die in dienst is bij Schiphol, of een terrorist zonder
strafblad, waarvan men dus nog niet in kan schatten dat deze een risico zal
gaan vormen, komt zonder meer door zo'n controle heen.
Daarnaast is en blijft security een trade-off. Men kan wel in de vertrekhal,
aankomsthal, en dergelijke 100% controle gaan invoeren voor het personeel,
dat laat onverlet dat personeel dat met de auto het terrein op moet, van
alles in de wagen naar binnen kan smokkelen.
Gezien de tijd en het ongemak dat het overhoop halen van iedere auto
welke het terrein op moet met zich mee brengt, zal men nimmer elke auto
van ieder personeelslid elke keer volledig gaan doorzoeken. Met andere
woorden, het zal altijd mogelijk zijn om op een luchthaven, met hulp van
binnenuit, zaken het terrein op te smokkelen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
