image

Column: Een lesje in beveiliging

maandag 25 februari 2008, 10:45 door Redactie, 20 reacties

De spraakmakende editie Nederland Undercover, waarin journalist Alberto Stegeman ongehinderd een imitatie semtexbom aan boord van een vliegtuig plaatste, toont aan dat compliancy blijkbaar iets heel anders is dan Security, ook al gaat compliant zijn over aan een waslijst beveiligingsvoorschriften.

Minister Hirsch Ballin benadrukt dat de beveiliging van Schiphol voldoet aan de Europese regels "en in zijn algemeenheid goed is". Al met al is er dus op alle fronten adequaat gehandeld, vinden de verantwoordelijken. Bestuurlijk gezien hebben ze gelijk: iedereen heeft zich aan de regels gehouden, is dus 'compliant'. Afgezien dan van die arme kleumende bewaker die in de televisie-uitzending te zien was. Schipholdirecteur Cerfontaine: "Zo iemand moet je gelijk ontslaan." Dat deed hij dan ook. Goed man.

Ook de Nationaal Coördinator Terrorismebestrijding (NCTb) Tjibbe Joustra, wijst "de menselijke factor" aan als zwakke schakel. De irisscan die per 1 juli van dit jaar voor alle medewerkers op de luchthaven gaat gelden, maakt daar volgens Joustra definitief een einde aan.

Al eerder zorgde gerommel met de beveiliging van Schiphol voor gedonder. Donner (CDA) beloofde in zijn vorige functie dat de beveiliging verscherpt zou worden. Hij spendeerde naar verluidt een slordige kwart miljard voor uitbreiding van toegangscontroles, hekjes, stempels, processen, procedures, pasjes, irisscans, vingerafdruksystemen en ook het preventief fouilleren en willekeurig aanhouden van bezoekers en vakantiegangers. Trots verkondigde hij begin 2005 dat Schiphol een van de veiligste luchthavens van Europa was geworden. Kort daarop roofden verklede criminelen op klaarlichte dag diamanten met een waarde van 76 miljoen euro. Een maand later nam een jager zijn dubbelloops geweer met bijbehorende munitie zonder problemen in zijn koffer mee naar Spanje. Vervolgens liet Peter R. de Vries zien hoe eenvoudig het was om met paspoorten van iemand anders van Schiphol te vertrekken en er ook weer mee binnen te komen. Volgens Donner zouden voor het eind van 2005 alle passen van de luchthaven zijn voorzien van biometrische kenmerken. Opvolger Hirsch Ballin belooft nu dat deze irisscan per 1 juli 2008 voor alle medewerkers zal zijn ingevoerd. Drie jaar vertraging maar. Lang niet slecht.

Bovendien zal een terrorist "waarschijnlijk niet zo handelen als de bewuste journalist", volgens operationeel directeur Ad Rutten, verantwoordelijk voor de veiligheid op Schiphol,. Weet Rutten iets wat wij niet weten? Zijn er dan nóg betere manieren om een bom in een vliegtuig te krijgen?

Hoe zit het eigenlijk met de screening van Schipholmedewerkers? Journalist Stegeman maakte gebruik van de toegangspas van een collega, die via een uitzendbureau op Schiphol werkte. Die collega moet gescreend zijn, waarschijnlijk door de Koninklijke Marechaussee. En ondanks het feit dat hij werkt bij Nederland Undercover, kon hij direct aan de slag op Schiphol. Is dat vreemd? Een screening is een controle of iemand een verdacht profiel heeft, en een gevaar voor Nederland of haar bondgenoten kan vormen in de functie waarnaar gesolliciteerd is. Een positieve screening van een journalist op een functie van dokwerker is niet verrassend. Als de screenende medewerker al doorhad dat er een 'Nederland Undercover' actie gaande was, heeft hij dit kennelijk toegestaan. En waarom ook niet? Vrije nieuwsgaring is een existentieel onderdeel van onze samenleving, en het beschermen daarvan is de taak van de AIVD en gedelegeerd gemachtigde KMar. Het dienstverband bij een SBS-productiebedrijf geldt blijkbaar niet als een staatsgevaarlijke activiteit. En als je heel cynisch bent, kun je ook nog veronderstellen dat ophef over onveiligheid rond Schiphol juist gunstig zal zijn voor de KMar, die dan eindelijk het geld krijgt voor de mooie spullenboel die al jaren beloofd wordt. Maar als je dat gelooft ben je wel heel erg cynisch, hoor.

Wat kunnen wij nu met dit alles?

Er zijn een paar interessante observaties te maken. De eerste is dat de ultieme oplossing op dit moment kennelijk de irisscan is. Zo lang deze niet ingevoerd is, mogen we niet nadenken over de restrisico's; de irisscan is een waterdichte oplossing, vindt Joustra. Zo zet je de discussie inderdaad wel stop, ja. Totdat ook dit tovermiddel niet tovert.

Een irisscan is een technische oplossing voor een organisatorisch probleem, namelijk menselijk falen. Als het werkt, kunnen we nooit meer beweren dat technologie geen organisatorische problemen kan oplossen. Ik ben benieuwd. De irisscan op Schiphol houdt ongetwijfeld de undercover journalisten buiten. Maar of een terrorist of een diamantendief er een been in ziet om een uitgerukt oog voor dat apparaat te houden? Of minder bloederig, een laptop met een filmpje van het betreffende oog? Er zijn overigens nog wel meer manieren, maar die krijgt SBS beslist niet gratis van mij.

Tweede observatie: beveiligers gaan minder strikt met de regels om als ze nut en noodzaak niet onderschrijven. Dan zeggen we dat 'de aandacht verslapt'. Als de professionals (de bewakers) de dreiging lager inschatten dan de bestuurders, kan er ook iets anders spelen. Hoe erg vindt de gemiddelde laagbetaalde bewaker het dat een slimme jongen voor een paar miljoen aan spulletjes jat bij een groot en anoniem bedrijf? Hoe waarschijnlijk achten de bewakingsprofessionals een bomaanslag op het vliegveld? Het is niet uit te sluiten dat ze zelf mee de lucht in gaan en dat weten ze. Je kunt ook niet beweren dat de bewakers niet op het belang gewezen worden. Maar het zou maar zo kunnen dat ze niet overtuigd zijn en een aanslag onwaarschijnlijk vinden. Wanneer was de laatste hier ook al weer? Nou, daar helpt geen awareness training meer aan, dan moet je toch eerst een handboek hersenspoelen uit Noord Korea invoeren.

Het kan ook zijn dat er in de risicobepaling niets stond over journalisten. Ze moesten beveiligen tegen dieven en terroristen, niet tegen journalisten. Een aardige illustratie van het toch al vrij hoge stiptheidsactiegehalte van Security.

De belangrijkste les is van het geheel is dat het ruimschoots en voortijdig voldoen aan eisenlijsten vol strenge regels kan samengaan met de lekheid van een mandje. Dat alle losse maatregelen 100% 'geïmplementeerd' zijn, maar het gestelde doel toch niet is bereikt. Dat een strikte pasjescontrole blijkbaar niet overgelaten kan worden aan feilbare mensen. Dat techniek sterker is dan procedures.

Of heeft dit nog steeds niets te maken met ICT-security? Is informatiebeveiliging categorisch anders? Hmm. Bewijs het maar eens.

Peter Rietveld, Senior Security consultant bij Traxion - The Identity Management Specialists -

Vorige columns van Peter

  • Voortschrijdend Inzicht Mag Niet
  • De Chinezen Komen Niet - Ze Zijn Er Al!
  • Het anti-terrorismehoesje
  • Niemand is de Baas
  • Zin en Onzin
  • This is Me
  • Wat niet meet, wat niet deert
  • De Chinezen komen, of niet natuurlijk (deel 2)
  • Afscheid van het netwerk
  • De Chinezen komen! Of niet, natuurlijk.
  • Een kwakkelend dossier
  • "Nederland is goed voorbereid"
  • Headhunter incident
  • Ethiek en Security
  • De kleren van de keizer zijn dood, leve de nieuwe kleren van de keizer
  • Over Security Architectuur
  • Best Practices bestaan niet
  • Unified Threat Management: dure mensen, goeie spullen?
  • Security maturity
  • Komt het nog wel goed
  • Geen nieuws is goed nieuws
  • Awareness best belangrijk
  • Een papieren tijger in een zilveren lijstje
  • Een goed idee is niet goed genoeg
  • Uit de loopgraven
  • Waarom beveiligingsbeleid faalt
  • Groot slaat dood
  • Reacties (20)
    25-02-2008, 10:54 door spatieman
    de standaard zakenman, die iedere dag vliegt van A naar B,
    goedemorgen iedereen, blabla, maar na een tijdje smeed deze
    zijn snode plannen.

    en DAN ????
    25-02-2008, 11:00 door Anoniem
    Door spatieman
    de standaard zakenman, die iedere dag vliegt van A naar B,
    goedemorgen iedereen, blabla, maar na een tijdje smeed deze
    zijn snode plannen.

    en DAN ????

    En dan? Dan wordt hij neergeschoten door een oplettende bewaker omdat
    deze heeft geleerd van fouten uit het verleden.

    Utopie? Of werkelijkheid?
    25-02-2008, 11:53 door [Account Verwijderd]
    [Verwijderd]
    25-02-2008, 12:00 door Anoniem
    Door rookie
    Tjibbe Joustra is een pannekoek die nog nooit over een
    modderige stormbaan heeft gekropen en er bij het uwv een
    zooitje van had gemaakt. Het had mij logisch geleken als ze
    een hoge pief uit bijvoorbeeld het leger op die positie
    hadden gezet.

    En volgens mij is het nog helemaal niet bewezen dat een
    irisscan niet slecht is voor de ogen.

    Rookie, ga toch protesteren!
    25-02-2008, 12:46 door Anoniem
    Het is natuurlijk wel de bedoeling dat we allemaal de angst
    er goed in houden. Indien dat afzwakt raken we draagvlak
    kwijt voor allen nog komende wetgeving en speeltjes...
    25-02-2008, 14:51 door prikkebeen
    Honderd procent veilig krijg je het nooit. Het personeel kan
    dan wel door een irisscan gaan, maar wat als er iemand
    corrupt is en een oogje toeknijpt tegen een (kleine) vergoeding?

    Psychopaten hou je nooit tegen, je kunt ze hooguit op
    afstand houden. Als de luchthaven helemaal dichtgespijkerd
    is zou een eventuele aanval ook nog van buiten uit kunnen komen.
    25-02-2008, 15:31 door Anoniem
    Gezegde/wet in de schietsport: "The gun safety can
    never replace safe gun handling"
    25-02-2008, 16:45 door Ed Dekker
    25-02-2008, 19:38 door Anoniem
    ik wil AIRMARSHALLS !!!
    25-02-2008, 19:50 door Anoniem
    Als de irisscan wordt toegepast, zal dat alleen maar
    betekenen dat er minder menselijke controleurs zijn (het
    budget daarvoor gaat nl vast omlaag na al die investeringen
    in technische maatregelen). Kortom, je ziet wel wie er
    binnenkomt (of, tenminste wiens oog), maar dat betekent nog
    niet dat ze ook niets meenemen dat gebruikt kan worden voor
    een misdaad o.i.d.

    Mocht je 9/11-achtige aanslagen krijgen, dan zullen de
    terroristen niet zo bezorgd zijn dat achteraf bekend wordt
    wie ze eigenlijk waren voordat ze zich in het Witte Huis
    boorden o.i.d.

    Het hele idee van terrorisme- en misdaadbestrijding d.m.v.
    dit soort maatregelen is wat vergezocht, denk ik. Het zal
    nooit goed helpen (al was het maar omdat in dat geval gewoon
    heel andere doelen worden gezocht), maar het kost veel te
    veel privacy. Als de overheid dat echt niet inziet, dan zegt
    dat iets over hun vermogen om objectief te denken, en veel
    misschien over de veel te belangrijke rol van de waan van de
    dag.

    Veel waarschijnlijker is het dat er veel beleidsmakers zijn
    die het belangrijker vinden om veel meer grip te krijgen op
    het publiek, buiten enige misdaad- of terrorrismedreiging
    om. En blijkbaar hebben die ook erg veel invloed. Nu maar
    verder bedenken wat hun echte drijfveren zijn...
    25-02-2008, 21:49 door [Account Verwijderd]
    [Verwijderd]
    25-02-2008, 23:35 door Anoniem
    Met systeemleer leer je dat de som der delen vaak meer is
    dan de afzonderlijke delen bij elkaar geteld. Ofzoiets. Men
    heeft daar uiteraard een moeilijke term voor bedacht: het
    synergetisch effect.
    Maargoed, het tegengestelde daarvan is ook waar: verdeel en
    heers.
    Het beveiligen van iets is in stukjes te hakken, net als het
    ingebruiknemen van nieuwe werkplekken, het uitschakelen van
    een milieu-vijandige sateliet (alsof Irak een
    milieuvriendelijke operatie was, alsof enige regering enige
    boodschap heeft aan het milieu), het huishouden, enz.
    Bij grotere klussen krijgt iedereen een stukje te doen. Maar
    wanneer iedereen zijn stukje af heeft, betekent dat niet
    automatisch dat er iets extra's kan opbloeien uit de
    optelsom van al die stukjes.
    Dat is - denk ik - een beetje de valkuil van uitbesteding en
    de manier waarop tegenwoordig veel gewerkt wordt, met sla's enz.
    Iedereen werkt keihard... voor zijn stukje (en zorgt dat-ie
    ingedekt is).
    Iedereen is compliant maar toch ontbreekt er iets ...
    En wat is dat dat dan er ontbreekt in veel gevallen?
    26-02-2008, 10:22 door Anoniem
    Ik persoonlijk neem het de mensen die de controle uitvoerden niet eens
    kwalijk dat Alberto zo door kon lopen.

    ik het wel kwalijk neem is de directie en leidinggevende van het
    beveiligingsbedrijf die volgens het contract met Schiphol op die locatie
    de "beveiligingswerkzaamheden" moeten uitvoeren zoals is bepaald in het
    contract.


    Hoe kan je verwachten dat men in de getoonde weersomstandigheden
    alert blijft. Ik weet niet hoelang men er zo bij moet staan maar op het
    moment dat je het koud / nat krijg en je gaat je iriteren aan het weer en
    weet dat je er nog wel een tijdje staat neemt je concentratie af.

    Zorg voor een goede loge ( hoeft geen luxe te zijn ) met een kachel en
    wc en waterkoker / koffiezet spullen en voor mijn part een foullierruimte en
    je zal merken dat de uitvoerende medewerkers een stuk alerter zijn.


    Waarom vraagt u zich af heren leidinggevende ??

    Omdat men niet heel de tijd in slechte weersomstandigheden ( regen /
    harde wind / kou ) staat wat de concentratie negatief beinvloed.
    26-02-2008, 13:02 door Anoniem
    Hoe kun je verwachten dan een systeem waarbij duizenden ( dezelfde )
    mensen elke dag door een poort moeten waterdicht kan zijn. Een groot
    deel van deze (platform ) medewerkers heeft weinig interesse in de
    controle, 100 % controle duurt te lang , ergo, niet waterdicht.
    Daar komt nog bij dat er nog niks gebeurt is. Zolang er niets gebeurt is ,
    KUN je niet echt scherp zijn. Jammer maar helaas. Als het kalf verdronken
    is...
    26-02-2008, 17:23 door Anoniem
    Is Tjibbe Joustra niet die man die op twee gigantische
    loonlijsten staat en enige tijd gelden zijn "expertise"
    heeft laten blijken dat de dreiging voor terroristen
    sub-stan-tieel was??????

    Zou graag zijn dikke salaris over willen nemen en ook van de
    kansel willen roepen dat iets sub-stan-tieel is...
    26-02-2008, 22:05 door Anoniem
    Of heeft dit nog steeds niets te maken met ICT-security? Is
    informatiebeveiliging categorisch anders? Hmm. Bewijs het
    maar eens.

    IB is niet categorisch anders. Een briljant individu vindt
    een antwoord op een aanval. Vervolgens implementeren we de
    maatregel in Ye Holy Plan of in een Methodiek doctrine. En
    als het in het plan staat, dan is het goed.

    Toch?
    27-02-2008, 12:56 door Anoniem
    DIt is een heel wezenlijk punt. Er is niemand meer te vinden die zich
    verantwoordelijk voelt, of die dat KAN zijn. Het gebeurt, en alles was ok
    maar toch niet. Behalve dan die ene bewaker. Geld ook voor andere zaken!
    27-02-2008, 15:26 door Anoniem
    Door Anoniem
    Of heeft dit nog steeds niets te maken met ICT-security? Is
    informatiebeveiliging categorisch anders? Hmm. Bewijs het
    maar eens.

    > Reele dreiging versus "substantiele" dreiging.

    Bewijs:
    - zet je PC maar eens aan (al dan niet onbeschermd dude) en reken
    hoevaak en hoe snel deze wordt gecompromiteerd (kwestie van
    minuten..) Limewire installeren en je staat nog sneller in the picture ;-)

    Extrapoleren naar de zakelijke markt en je kunt een reele risicoanalyse
    maken en eea kwantificeren (obv bv poortklopperij, fraudezaken,
    afpersingen, etc..)

    - terreur = een tactische vorm van oorlogsvoering. In de afgelopen 40 jaar
    zijn de terroristiche "aanslagen" op een hand te tellen en hebben onze
    maatschappij niet ontwricht...

    Maar.. ik ben het met je eens dat veel so-called ICT-security pro's geen
    flauw benul hebben wie er nu aan de andere kant van de knoppen zitten....

    The security industry is fighting an unknown enemy.... (vreemde situatie....)

    Het paradigma wordt nu zelfs completer nu de inlichtingendiensten op een
    nog veel groter schaal aan het investeren zijn in aftapinstallaties en
    aftapbevoegdheden... onder de mom van wazige (soms zelfs gelogen en
    dus onder valse voorwendselen) terreurdreigingen... en wat blijkt ... deze
    worden met name voor economische spionage gebruikt.....
    05-03-2008, 13:38 door Anoniem
    Een irisscan hoeft heel weinig te zeggen. Immers is dit slechts ter controle
    van de identiteit, en zegt het niets over de intenties van een persoon, over
    de vraag of deze gevaarlijke spullen bij zich heeft, en meer van dat soort
    zaken.

    Een undercoverjournalist, die in dienst is bij Schiphol, of een terrorist zonder
    strafblad, waarvan men dus nog niet in kan schatten dat deze een risico zal
    gaan vormen, komt zonder meer door zo'n controle heen.

    Daarnaast is en blijft security een trade-off. Men kan wel in de vertrekhal,
    aankomsthal, en dergelijke 100% controle gaan invoeren voor het personeel,
    dat laat onverlet dat personeel dat met de auto het terrein op moet, van
    alles in de wagen naar binnen kan smokkelen.

    Gezien de tijd en het ongemak dat het overhoop halen van iedere auto
    welke het terrein op moet met zich mee brengt, zal men nimmer elke auto
    van ieder personeelslid elke keer volledig gaan doorzoeken. Met andere
    woorden, het zal altijd mogelijk zijn om op een luchthaven, met hulp van
    binnenuit, zaken het terrein op te smokkelen.
    29-12-2008, 16:19 door Kahits
    En Alberto heeft gisteravond op de TV aangetoond dat het in de maand December nog steeds mogelijk is om dichtbij (heel erg dichtbij!) het regeringstoestel te komen.
    Reageren

    Deze posting is gelocked. Reageren is niet meer mogelijk.