Is het zinvol om je voor te bereiden op iets waarvan het zeer onwaarschijnlijk is dat het ooit gebeurt? Mag je een conditietest voor beveiligers invoeren en ze ontslaan als ze die niet halen? Wat doe je ertegen dat criminelen infiltreren en geleidelijk het bestuur over je bedrijf of gemeente overnemen? Hoe zijn plofkraken uit te bannen? En wat doe je tegen criminelen die via social engineering je organisatie binnendringen? Dat waren enkele van de vragen die werden behandeld tijdens het derde congres van de Nationale Denktank Integrale Beveiliging.

Op 6 februari vond in het iconische hoofdkantoor De Amsterdamse Poort van ING Bank in Amsterdam Zuidoost voor de derde keer het tweejaarlijkse congres plaats van de Nationale Denktank Integrale Beveiliging. Deze organisatie bestaat uit de laatste drie VBN Securityprofessionals van het Jaar en zes andere experts, die gezamenlijk kennis ontwikkelen ter beantwoording van relevante maatschappelijke veiligheidsvraagstukken. Door ontsluiting van kennis en informatie over beveiliging en (maatschappelijke) beveiligingsvraagstukken wil de denktank mede zorgdragen voor een effectieve en efficiënte publiek-private samenwerking.

Bruggen bouwen
Jan Crijns, Head of Corporate Security & Investigations bij ING Bank, heette de ongeveer 160 deelnemers aan het congres welkom. Onder hen zo’n 100 VBN-leden en 60 overige genodigden. “Onze ambitie is bruggen bouwen naar de toekomst”, benadrukte Hélène Minderman, dagvoorzitter, beleidsadviseur veiligheidszaken bij TLN en TAPA, voormalig VBN Securityprofessional van het Jaar en voorzitter van de Nationale Denktank Integrale Beveiliging. “Omdenken is nodig om voorbereid te blijven op de toekomst die komen gaat.”
Omdat de aanpak van nationale veiligheidskwesties, de centrale doelstelling van de denktank, niet te bevatten is in één congres, was gekozen voor een aantal thema’s die invloed hebben op het slagen van een criminele actie. De criminaliteitsdriehoek bepaalt of zo’n actie plaatsvindt en succesvol is en bestaat uit de crimineel, een doelwit en afwezigheid van beveiliging. Als één van deze factoren wordt weggenomen, vindt er geen criminele handeling plaats.

Onwaarschijnlijke gebeurtenissen
Het eerste thema was ‘Crisis, het onverwachte dat gebeurt’, voorgedragen door Adri Kieboom, Business Continuity & Crisis Management Officer van ING Bank. Hij wees erop hoe belangrijk het kan zijn dat je voorbereid bent op de meest onwaarschijnlijke gebeurtenissen. “In 1992 waarschuwde ik al voor de mogelijkheid dat er een vliegtuig op een van onze gebouwen zou kunnen neerstorten. Daar werd om gelachen. Dat gebeurt niet, zei iedereen. Datzelfde jaar vond de Bijlmerramp plaats. Als het vliegtuig iets verder was gevlogen, was het bovenop een van onze datacentra terecht gekomen. In 2009 gebeurde weer zoiets. Het toestel van Turkish Airlines plofte vlakbij een van onze andere datacentra in een weiland. Ons belangrijkste datacentrum staat naast Rotterdam-The Hague Airport, dus ik houd mijn hart vast!”
Grote incidenten
Het loopt niet altijd goed af bij ING, zo liet Kieboom zien. Het bedrijf is in de loop der tijd door verschillende grote incidenten getroffen, die allemaal even onwaarschijnlijk leken. In 1995 stortte het dak van een archiefgebouw in door zware regenval en in 2002 leidde een prullenbakbrandje ertoe dat 22 kantooretages onder water kwamen te staan. “Alles wat automatisch gaat, gaat automatisch fout. Je kan dus niet volledig vertrouwen op automatische systemen. Voorlopig kunnen computers alleen doen wat wij bedacht hebben, dus houd je altijd mensen nodig die kunnen denken.” Kieboom was niet tegen automatisering, maar waarschuwde dat geen techniek onfeilbaar is. Alles gaat een keer kapot. Zolang je daar rekening mee houdt, is er niets aan de hand. Denk niet dat je het allemaal goed voor elkaar hebt, want des te meer valt het dan tegen als het toch verkeerd loopt!”

Fitheid voor beveiligers
“Mag een werkgever eisen dat een beveiliger fit is?” Die vraag stelde Arjen Appelman, zelfstandig consultant op het gebied van veiligheid in de zorgsector en voormalig VBN Securityprofessional van het Jaar. Hij deed hiernaar onderzoek, samen met de securitymanagers Harm van Dijk van ING en Raymond de Jong van het Rijksmuseum. Alleen de overheid schijnt eisen te stellen aan de fysieke conditie van beveiligers, maar ook daarbij wordt niet gekeken naar de prestaties die een beveiliger moet leveren, zoals dat wel gebeurt bij de brandweer en de politie. Bij de brandweer leidt het falen voor de conditietest zelfs tot ontslag uit de operationele dienst. Beveiligers worden echter zelden of nooit aan de tand gevoeld, wat hun fitheid betreft. Behalve bij het Leids Universitair Medisch Centrum (LUMC), vertelde Gerco de Koning, die daar projectleider, beleids- en kwaliteitsmedewerker en adviseur is. “Onze beveiligers maken regelmatig situaties mee, waarbij hun conditie zwaar op de proef wordt gesteld.”

Verplichte conditietest
Het LUMC beschikt over een eigen bedrijfsbeveiligingsdienst. Gemiddeld 350 keer per jaar moeten de beveiligers in actie komen voor een spoedgeval, zoals een persoonsalarm. Soms moeten daarbij grote afstanden lopend worden afgelegd, waarna nog veel kracht nodig kan zijn om een agressieve persoon onder bedwang te houden. Daarnaast zijn er jaarlijks nog zo’n 170 bhv-zaken en 170 helikopterlandingen, waarbij beveiligers moeten assisteren. “En dan heb ik het nog niet over problemen met drugs- en alcoholverslaafden en vandalen”, aldus De Koning. De beveiligers van het ziekenhuis worden ook getraind in het dragen van een ademluchtuitrusting, die nodig is bij bestrijding van brand en ongevallen met gevaarlijke stoffen. “Voorheen lieten we beveiligers fietsen om te kijken of ze fit genoeg waren, maar tegenwoordig maken we gebruik van een brandweertest. Wie vanwege een slechte conditie niet slaagt voor deze test, mag bij ons niet meer met ademlucht worden ingezet. Deze maatregel gaan we nu voor alle beveiligers invoeren. Op het moment draait een pilot, waarbij wij kijken naar welke eisen wij moeten gaan stellen. De keuringsresultaten zijn nu nog zonder consequenties, maar geven ons wel een idee van hoe wij ervoor staan.” Het LUMC doet veel om beveiligers te motiveren gezond te leven. Medewerkers krijgen vergoedingen voor sportscholen, er worden sportactiviteiten georganiseerd en met wordt gemotiveerd om gezond voedsel te eten. De beveiligers zijn er volgens De Koning erg positief over. “Je wordt niet alleen gezonder, maar gaat er ook beter uitzien, waardoor je je zelfverzekerder voelt en in alle opzichten beter presteert.”

Ondermijning
Dr. Giliam de Valk, universitair docent bij het Institute of Security and Global Affairs van de Universiteit Leiden, sprak over ‘ondermijning’. “Een ernstig fenomeen. Het tast de fundamenten van de rechtsorde aan en ontwricht de maatschappij.” De specialist in inlichtingenstudies schetste hoe criminelen in bonafide organisaties kunnen infiltreren via social engineering. “Het begint met het bepalen van het doelwit, ofwel de buit. Wat wil de crimineel bereiken? Vervolgens gaat hij op zoek naar kwetsbaarheden bij de aan te vallen organisatie. Wie moet hij beïnvloeden om binnen te kunnen geraken?” Om je hierop voor te bereiden, zijn volgens De Valk drie vragen van belang: Wat wil ik beschermen? Wat is vitaal voor mijn organisatie? En wat wil de tegenstander? “Vaak denken organisaties dat hun leidinggevenden het belangrijkst zijn. In de praktijk maakt het vaak echter nauwelijks uit als een CEO wegvalt. Veel belangrijker is de IT-manager die overal bij kan! En de HRM-manager die gaat over de rechten van medewerkers. Dergelijke personen beheren de ‘sleutels’ die overal toegang toe verschaffen.” Infiltreren is volgens De Valk niet zo moeilijk. “Via sociale media is al heel veel informatie te verzamelen over wie wat doet en hoe van die medewerkers de persoonlijke situatie in elkaar zit.”

Infiltratie van de overheid
In de media gaat ondermijning vooral over infiltratie van de overheid door criminelen. “Je kan dat alleen met beleid bestrijden”, aldus De Valk. “Nederland heeft een democratische en stabiele rechtsorde, maar toch vindt ondermijning ook in ons land plaats. Hoe kan dat? Om te beginnen proberen we alles te juridiseren. Als er een probleem ontstaat, proberen we dat met wetgeving op te lossen. Dat werkt echter niet, want criminelen houden zich niet aan de wet. Een ander probleem is de bureaucratie. Maatregelen worden zodanig vastgelegd, dat zij bijna niet meer te veranderen zijn. Zo raak je al snel op achterstand als criminelen hun werkwijze veranderen. De derde factor is specialisme. Iedereen werkt vanuit een bepaalde discipline en dat is niet altijd de juiste discipline. Wil je echt iets bereiken, dan zal je je moeten baseren op integrale data over criminaliteit. Zo ontdek je de trends en daar kan je op anticiperen met beleid.” De Valk noemde geldautomaten als voorbeeld. “Die worden steeds sterker en slimmer gemaakt. Maar toch vliegt er nog regelmatig een in de lucht. Het heeft dus geen zin om te kijken naar hoe criminelen te werk gaan. Dan ben je al te laat. Focus je op hoe ze zich voorbereiden. Er wordt bijvoorbeeld vaak vooraf gerommeld aan de shutter van de automaat. Als je dat detecteert, kan je de plofkrakers voorblijven. Zo gaat het ook met ondermijning. Kijk altijd naar wat je aan preventie nodig hebt, maar ook naar hoe criminelen op die preventie zullen reageren!”

Ondermijning in de logistiek
Student Jelmer Noordam vertelde over het onderzoek naar ondermijning in de logistiek, dat hij namens de denktank heeft mogen uitvoeren bij transportbedrijf MainFreight. Naast reguliere controles moet je er volgens hem ook voor zorgen dat elke medewerker goed oplet wat er gebeurt en dat hij daar op een goede manier melding van kan doen. Is het legaal wat er in een vrachtwagen zit?” Ondermijning is volgens de onderzoeker niet altijd ingewikkeld. “Het kan om criminelen gaan, maar ook om familieleden die een kwetsbaarheid vormen, bijvoorbeeld door zonder kwade bijbedoelingen vitale informatie op internet te zetten, waarmee criminelen hun voordeel kunnen doen. Je hebt dus ook awareness nodig, anders wordt er niets gemeld. Verder zijn een goede administratie en huisregels van belang om organisaties weerbaarder te maken tegen ondermijning.” Noordam noemde blockchain als goede mogelijkheid om fraude met vrachtdocumenten tegen te gaan. “Daarnaast kunnen we niet zonder goede publiek-private samenwerking. Bedrijfsleven en overheid beschikken over informatie waarmee zij elkaar kunnen versterken. Alleen moet dat dan wel gebeuren.”

Overvallen
Landelijk overvalcoördinator van de Nationale Politie, Jos van der Stap, vertelde dat het aantal overvallen in tien jaar tijd is gedaald van 3000 naar 1100. “Dat is grotendeels te danken aan onze taskforce, onder leiding van de Rotterdamse burgemeester Aboutaleb. En een vergelijkbare taskforce willen we nu opzetten om ondermijning tegen te gaan.” Aandacht blijft volgens de politieman nodig, omdat de overvallers van toen geen brave burgers zijn geworden, maar zich op andere activiteiten zijn gaan richten. “Met uitzondering van een Pool een tijdje terug, weet elke crimineel dat een bankoverval geen zin meer heeft tegenwoordig. Hoe kom je dan aan contant geld? Plofkraken, drugshandel, overvallen op juweliers….” Van der Stap noemde weer de criminaliteitsdriehoek. “Je hebt een crimineel en een doelwit. Dus probeer je de beveiliging te versterken. Het gevolg is dat criminelen automaten van andere banken gaan uitproberen en dat zij tot slot uitwijken naar het buitenland. In Duitsland vonden de afgelopen tijd 500 plofkraken plaats, waarbij in 200 gevallen de verdenkingen uitgingen naar daders uit Nederland.”
Verbanden leggen
Naast het beter beveiligen van geldautomaten, is ook het vergaren van informatie over criminelen van belang. “Door verbanden te leggen hebben we 350 personen in het vizier gekregen. Mensen die zich bezighouden met plofkraken, maar ook met daaraan gerelateerde criminaliteit. Zo proberen we steeds meer te weten te komen over criminelen, ook internationaal. Vervolgens kijken we naar hoe we op basis van die inlichtingen kunnen interveniëren. Daarbij werken wij nauw samen met de vier grootste banken en met Geldservice Nederland (GSN), dat alle geldautomaten aan het vervangen is door de gele Geldmaten, die veel beter beveiligd zijn. We hebben daar samen de standaards voor ontwikkeld.” Intussen onderzoekt de politie volop de mogelijkheden van ‘sensing’, ofwel het toepassen van sensoren om vroegtijdig criminele indicatoren te signaleren. “Tijdig zien wat er gebeurt leidt tot meer heterdaadsuccessen. Daarmee komen ook weer nieuwe dadergroepen in kaart, die we kunnen analyseren om hun netwerken bloot te leggen. In Roermond wordt dit proces nu in de praktijk toegepast in de strijd tegen mobiel banditisme.” Van der Stap riep de aanwezigen op om mee te denken over wat nog meer met sensoren bereikt kan worden.Tussendoor was er gelegenheid om een rondleiding te volgen door het prachtige hoofdkantoor van ING, waarbij ook de kluis werd bezocht.

Social Engineering
Als laatste spreker ging Elsine van Os van SignPostSix in op de risico’s van social engineering. Maar eerste wilde de klinisch en forensisch psycholoog weten hoeveel van de aanwezigen zich met cybersecurity bezighouden. Eén dame stak haar hand op! “70 procent van de hacks begint met social engineering”, waarschuwde Van Os. “Edward Snowden had nooit zoveel informatie van de NSA kunnen verzamelen als hij niet collega’s en een leidinggevende had beïnvloed. Vooral collega’s vormen dus een risico. Een agent van de FBI kon twintig jaar lang informatie naar de Russen doorspelen, voordat hij werd ontdekt. Het is belangrijk om te weten wie daders kunnen zijn, maar weet ook wie slachtoffer kunnen worden! Jongeren zijn kwetsbaarder dan ouderen, want ouderen hebben nog een natuurlijke achterdocht voor alles wat online gebeurt, terwijl internet voor jongeren een warm bad is.” Riskant zijn ontevreden medewerkers die hun bedrijf wel eens iets betaald willen zetten en machiavellistische leiders die alleen op eigen gewin uit zijn. “Doordat de technische beveiliging tegenwoordig zo goed is, kiezen criminelen steeds meer voor social engineering om bij hun doelwit te komen. Dat gebeurt onder andere door het vertrouwen te winnen van vitale medewerkers. En dat op een manier dat die medewerkers zich er prettig bij voelen. Mensen hebben een natuurlijke neiging om elkaar te vertrouwen en daar weten criminelen handig misbruik van te maken.”

Methodes
Bij beïnvloeding van medewerkers spelen zes factoren een belangrijke rol, vertelde Van Os, die onder andere de wereldwijde inlichtingen- en analyseorganisatie bij Shell heeft opgezet en onderzoek deed naar de verschillende dreigingen tegen deze olie- en gasproducent. “Autoriteit is heel belangrijk. Het maakt nogal verschil of iemand een politie-uniform draagt. Zo wist Anders Breivik met zijn wapens het eiland Utøya op te komen, zonder dat iemand lastige vragen stelde, waarna hij een bloedbad aanrichtte. Autoriteit stelt het slachtoffer op zijn gemak. Dat doen sociale vaardigheden ook, evenals het tonen van inzet en loyaliteit. Dat zijn de wapens van de social engineer. Iemand in de problemen helpen en hem vervolgens helpen daaruit te komen, is ook heel effectief, net als het leggen van tijdsdruk. ‘Het moet nu gebeuren anders zijn de gevolgen niet te overzien!’ Als mensen in de stress raken, worden ze minder zorgvuldig.”
Chinezen
Social engineering is volgens Van Os niet altijd op een persoon gericht. Het kan ook gaan om het doorzoeken van afvalcontainers naar vertrouwelijke informatie of om het rechercheren op sociale media. “Als het doelwit eenmaal bekend is, kan met spear phishing geprobeerd worden de gewenste informatie te krijgen. Bijvoorbeeld door via spoofing een mail te sturen, die afkomstig lijkt van de hoogste leidinggevende van het slachtoffer.” De psycholoog sloot af met een waarschuwing voor de toenemende spionage door Chinezen, die ook intensief gebruik maken van social engineering. 30 tot 50 duizend ambtenaren doen niets anders dan zich bezighouden met economische spionage. “Maak medewerkers dus bewust van het risico van social engineering. Niet eenmalig, maar continu, totdat het een automatisme is geworden.Het congres werd afgesloten met de overdracht van het voorzitterschap van de Nationale Denktank Integrale Beveiliging door Hélène Minderman aan Armand van Bercheycke, die eind 2018 verkozen is tot VBN Securityprofessional van het Jaar en daarmee automatisch het voorzitterschap over de denktank heeft gekregen.

© Vincent Vreeken / BeveiligingNieuws.nl