5 april vond weer een SERN-dag plaats. Ditmaal in het prachtige luchtvaartmuseum Aviodrome en op het gloednieuwe Lelystad Airport. Securitymanager David Foppen vertelde over de beveiliging op het voor vakantievluchten bestemde vliegveld en andere sprekers gingen in op actuele ontwikkelingen in security.

SERN staat voor Security Expert Register Nederland. De stichting beheert de registers RSE met 583 geregistreerden, MSec met 99 geregistreerden, RMB met 11 geregistreerden en VSec met 8 geregistreerden. Om geregistreerd te kunnen worden, dient de kandidaat aan bepaalde opleidings- en ervaringseisen te voldoen. Behalve het beheren van registers ontplooit de stichting ook diverse activiteiten, zoals de uitreiking van de jaarlijkse InciDetar Award en de SERN-dagen, die tweemaal per jaar plaatsvinden om geregistreerden met elkaar in contact te brengen.

Relatief nieuw is het register Securityvalideur (VSec), waarop initiatiefnemer Bert Duijndam een korte toelichting gaf. Toegelaten worden personen die als MSec zijn geregistreerd en de opleiding hebben gevolgd die leidt tot het certificaat DHM Securityvalideur. Men is dan in staat een integrale security-audit (ISA) uit te voeren conform ‘De Haagse Methodiek’.

Politieke tegenwind
De eerste keynote was van securitymanager David Foppen van Lelystad Airport. Hij ging uitgebreid in op de geschiedenis van het inmiddels 50 jaar oude vliegveld en besteedde vooral aandacht aan de flinke politieke tegenwind waarmee Lelystad Airport te maken heeft.

De bedoeling was dat het vliegveld na een uitbreiding van 200 miljoen euro vanaf 2019 gebruikt zou gaan worden voor met name kortere vakantievluchten, zodat Schiphol zich meer op intercontinentaal luchtverkeer kan richten. Toch is het ook nu al een druk vliegveld met zo’n 85.500 vliegbewegingen per jaar. Geen vakantievluchten, maar vooral lesvliegtuigen en zakenvliegtuigen. Maar hoewel toeristen voorlopig weg zullen blijven, is wel al geïnvesteerd in een gloednieuwe terminal, waarin later op de dag een rondleiding plaatsvond. De nieuwe terminal is geschikt voor verwerking van 10.000 vliegbewegingen en 1,8 miljoen passagiers per jaar. Uitbreidingen zijn voorzien in twee fases. Uiteindelijk moet Lelystad Airport 45.000 vliegbewegingen en 8,1 miljoen passagiers per jaar kunnen verwerken. Intussen wordt de faciliteit nuttig gebruikt voor onder andere veiligheidstrainingen. Daarvoor zijn ook een crashtender en een vliegtuigromp voor brandblusoefeningen beschikbaar. Verder worden luchthavenbeveiligers er opgeleid.

Privacyvriendelijke gezichtsherkenning
Richard ter Horst van 20face, een op de TU Twente ontstane start-up, mocht iets vertellen over het door zijn bedrijf ontwikkelde systeem voor toegangsverlening via gezichtsherkenning. Bijzonder is dat dit geheel conform de AVG is. Gezichtsherkenning zit nog in het begin van de acceptatiecurve, maar dat zal volgens Ter Horst snel veranderen nu de technologie steeds meer alledaagse toepassingen kent, zoals het ontgrendelen van telefoons. De verwachting is dat gezichtsherkenning in 2024 voor een wereldwijde omzet van 21 miljard dollar gaat zorgen. Een verdrievoudiging ten opzichte van 2019. Privacy-organisaties zijn minder enthousiast en verbinden daarom strenge voorwaarden aan de toepassing. Zo bepaalt de AVG dat organisaties de juiste technische en organisatorische maatregelen moeten nemen om de gebruiker te beschermen en controle te geven over de opslag van hun persoonsgegevens, zodat de privacy gewaarborgd is. Toepassing mag alleen als dat vanwege veiligheidsrisico’s noodzakelijk is of als er een niet-biometrisch alternatief wordt geboden en het gebruik op basis van vrijwilligheid plaatsvindt. 20face voegt daar nog aan toe dat de gebruiker zijn eigen gegevens beheert en op elk moment aanpassingen kan doorvoeren. Een ‘ethical board’ controleert of het bedrijf deze belofte waarmaakt. Diefstal van profielen is volgens Ter Horst zo goed als onmogelijk. Er worden alleen vectoren opgeslagen in een versleutelde omgeving en uit die data is niet het gezicht van de gebruiker te herleiden. Manipulatie is ook zo goed als uitgesloten, als gebruik wordt gemaakt van een 3D-camera die het verschil ziet tussen een echt hoofd en een foto. Een buitenlandse luchthaven gaat de technologie inzetten om de controle van passagiers en medewerkers te vergemakkelijken. In de toekomst verwacht Ter Horst dat gezichtsherkenning ook in onder andere stadions en theaters gebruikt gaat worden om gesjoemel met tickets te voorkomen.

Experience Training en Development Center
Johan van de Wittenboer van Heras en Folkert Roosjen van ECBB vertelden over het Heras Experience Training en Development Center in Oirschot. Aanvankelijk was dit bedoeld om producten van Heras en partnerbedrijven te demonstreren, maar men wil het nu ook inzetten als expertisecentrum bewaken & beveiligen. Het wordt inmiddels gebruikt om onder andere boa’s van NS op te leiden en om te oefenen met de beveiliging van containers.

Er kunnen verschillende configuraties worden gemaakt om met uiteenlopende scenario’s te trainen. Zo zijn ook nieuwe oplossingen voor gevangenissen te testen, voordat zij op de praktijk worden losgelaten. Doelen zijn het bevorderen van publiek-private samenwerking, het ontwikkelen van geïntegreerde oplossingen, het delen van kennis, het testen van nieuwe technologie, het opleiden van professionals, het houden van workshops en themadagen, het bieden van demonstratiemogelijkheden aan leveranciers en het aanbieden van oplossingen voor gelijksoortige organisaties en bedrijven.

DHM bij ING
Als laatste keynote sprak Harm van Dijk van ING over hoe binnen zijn organisatie DHM wordt toegepast binnen het Risk Measurement Model. Dit model wordt ingezet in alle veertig landen waar de bank actief is en is bedoeld voor het bepalen van de risico’s die medewerkers en eigendommen lopen. Daarbij worden veel onderdelen van DHM gebruikt om bijvoorbeeld te kunnen nagaan wat actiegroepen als Extinction Rebellion, plofkrakers en inbrekers kunnen aanrichten. In 2019 is begonnen met de bouw van het model en het zal volgens Van Dijk nooit afkomen omdat risk management nu eenmaal een continu proces is. Het betoog van de securitymanager van ING leek op een herhalingscursus DHM. Veel deelnemers aan de SERN-dag zullen zich hebben gerealiseerd dat veel kennis alweer naar de achtergrond is gezakt. Van Dijk liet het dan ook niet na om hen te attenderen op de bijscholingsmogelijkheden. Het Risk Measurement Model gaat alleen over fysieke beveiliging en niet over financiële risico’s die de bank loopt, zoals de witwasboetes van honderden miljoenen. Ook IT-risico’s komen niet aan de orde, ofschoon wel rekening wordt gehouden met de invloed die financiële- en IT-risico’s op de fysieke veiligheid kunnen hebben. Een uitdaging van de laatste tijd is het hybride werken. ING kan niet controleren of alle medewerkers de beveiliging thuis op orde hebben, maar Van Dijk gaat er vanuit dat mensen thuis zelfs zorgvuldiger zullen zijn dan op de zaak. “Op kantoor laat je nog wel eens iemand binnen die je niet kent. Thuis doe je dat niet.”

De SERN-dag werd afgesloten met een deskundige rondleiding door het Aviodrome en een bezoek aan het vernieuwde, maar nog niet gebruikte Lelystad Airport, waar een indrukwekkende demonstratie met een crashtender werd gegeven en deelnemers een kijkje achter de schermen van airport security konden nemen.