Het met security bouwen van een toekomst uit de chaos
De toekomst van security. Dat was de titel van de najaarsbijeenkomst van ASIS International Benelux Chapter in Gent. Aan de orde kwamen de geopolitieke ontwikkelingen, nieuwe vormen van fraude, onderzoekend interviewen en het crisismanagement bij Philips.
Als locatie was ditmaal gekozen voor het Museum van Schone Kunsten in de prachtige Vlaamse stad Gent. Directeur Manfred Sellink heette het gezelschap welkom met een korte speech over de ontwikkeling van de museumbeveiliger. “Voorheen was dat iemand die voor al het andere werk was afgekeurd, maar daar is de laatste decennia nogal veel verandering in gekomen. De Wet Tobback (inmiddels de Wet Jambon) verplichtte begin jaren negentig beveiligingsorganisaties zich te professionaliseren en de nieuwe eisen gingen ook voor onze beveiligingsdienst gelden. Intussen zijn we alweer in een nieuwe fase beland en streven we naar een optimale mix van erfgoedbewakers en fysieke beveiliging. We kijken voortdurend vooruit en willen een voortrekker zijn op het gebied van museale beveiliging. We hebben daarvoor modellen ontwikkeld die inmiddels internationaal navolging krijgen.”
Chaos
Dagvoorzitter Paul Robrechts wees op de chaos waarin de wereld momenteel verkeert. “We hebben te maken met een oorlog in Oekraïne en de daaraan gerelateerde energiecrisis en natuurlijk nog altijd de klimaatcrisis. We kunnen daarover klagen en ons machteloos voelen, maar we kunnen de chaos ook omarmen en kansen benutten. Geslaagde kantelpunten in de geschiedenis zijn altijd vanuit positiviteit vertrokken en dat zal nu ook moeten gebeuren. We kunnen de wereld nog redden door niet ons eigen transitievermogen te onderschatten en niet het transitievermogen van de overheid en het bedrijfsleven te overschatten. We zullen vanuit de chaos naar de toekomst moeten kijken!”
Hoe dat laatste vanuit een geopolitiek standpunt kan, vertelde prof. dr. David Criekemans. “We mogen geopolitieke factoren niet negeren bij het oplossen van veiligheidsvraagstukken”, benadrukte hij. “40 jaar geleden spraken we nog vooral over militaire en binnenlandse veiligheid, maar nu zien we dat veiligheid in de hele samenleving verweven zit. We praten bijvoorbeeld over economische en ecologische veiligheid. Zo hebben veel van de huidige conflicten het beschermen van handelsbelangen als grondslag. Door niet alle belangen mee te wegen, ontstaan problemen zoals de energiecrisis en de komende jaren de kobaltcrisis. Daarnaast brengen cyberdreigingen de oorlog steeds dichterbij.” Criekemans wees ook nog op de dreiging van drones, die ideaal zijn voor het uitschakelen van vitale infrastructuur. “Aanslagen zijn niet te voorkomen, dus moeten we investeren in veerkracht. En dat geldt ook voor kleinere organisaties, die dergelijke investeringen niet kunnen opbrengen. Die zullen we als samenleving moeten helpen veerkracht te krijgen.”
Nieuwe modus operandi in fraude
‘Aan een boom zo vol geladen mist men vijf, zes pruimen niet.’ Met dit zinnetje uit het bekende ‘Jantje zag eens pruimen hangen’ van Hiëronymus van Alphen startte fraudeonderzoeker Lode Barrezeele zijn betoog. “Ik heb als belastinginspecteur veel personen ontmoet op wie dit van toepassing was. Als het van de grote hoop komt, is het niet erg. Zo zag je tijdens de coronacrisis dat allerlei slapende vennootschappen ineens financiële steun bij de overheid gingen aanvragen.” Mensen worden volgens Barrezeele makkelijk het slachtoffer van fraude. “We nemen liever het risico om opgelicht te worden, dan dat wij wantrouwend zijn. Dus wanneer ik als forensisch auditor wordt ingeschakeld, is er vaak al veel gebeurd.” Een vorm van fraude die momenteel een snelle groei doormaakt is social engineering. “98 procent van de geslaagde cyberaanvallen is gebaseerd op social engineering”, aldus de expert. “We zeggen dan dat de mens de zwakke schakel is, maar het probleem zit in de organisatie die het mogelijk maakt dat mensen een zwakke schakel worden. Zo kunnen mensen bij 86 procent van de organisaties een cyberincident veroorzaken door op een kwaadaardige link in een e-mail te klikken! Er moet dus permanent in bewustwording worden geïnvesteerd.”
Leugendetectie
Het herkennen van kwaadaardige intenties is een kunst op zich. An Gaiser verstaat die kunst als weinig anderen. Al zo’n twintig jaar interviewt zij sollicitanten en medewerkers van organisaties, waarbij zij zich concentreert op het signaleren van spanningen bij het stellen van bepaalde vragen. Een belangrijk hulpmiddel daarbij is de door Paul Ekman ontwikkelde methode voor het herkennen van micro-expressies. Dat zijn spierspanningen in het gezicht, die soms maar een fractie van een seconde duren, maar die kunnen vertellen of wat iemand zegt overeenkomt met wat hij of zij denkt. “Het is geen kunstje dat je in een dag kunt leren”, vertelde Gaiser. “Je zult je er jarenlang in moeten trainen. Er wordt nu ook met kunstmatige intelligentie gewerkt om menselijke emoties te herkennen, maar zo’n technisch systeem mist menselijke kwaliteiten als empathie, die toch heel belangrijk zijn om gesignaleerde spanningen juist te kunnen interpreteren. Iemand die glimlacht is niet per definitie blij. Daarnaast speelt het normenkader van de geïnterviewde een belangrijke rol. Zonder rekening te houden met deze factoren is betrouwbare leugendetectie een utopie.”
Business continuity en crisismanagement
Als laatste spreker ging Jeroen Schütz in op het crisismanagement bij Philips. Toepasselijk, want het bedrijf verkeert momenteel in een diepe crisis vanwege de affaire met de slaapapneu-apparaten. Indirect heeft dat ook gevolgen voor de veiligheid binnen het bedrijf en de veiligheid van medewerkers. Verreweg de meeste incidenten kunnen gewoon door de organisatie zelf worden opgevangen. Dat behoort tot de dagelijkse gang van zaken. Wanneer het om ernstige incidenten gaat, wordt het een kwestie voor het business continuity-team. En als dat het niet meer aankan, wordt het crisisteam ingeschakeld. Het gaat dan om zaken die de operatie, veiligheid of reputatie van Philips bedreigen en een grote impact hebben op de organisatie, de aandeelhouders of zelfs de samenleving. “Dergelijke incidenten kunnen niet door het riskmanagement van de gewone organisatie worden afgehandeld”, aldus Schütz. Als het gaat om een bekend scenario, zoals een natuurramp, politieke kwesties of zelfs een ontvoering, kan business continuity dat oplossen. Het crisismanagement is het laatste vangnet en kan je beschouwen als vergaarbak voor alles waar we geen standaard oplossing voor hebben.” Philips heeft meldkamers in Europa, Brazilië en India, die samen 24 uur per dag operationeel zijn en jaarlijks 144.000 incidenten beoordelen en toewijzen aan het juiste domein.