Is de ambtenaar de zwakste schakel in de beveiligingsketen?
Nadenkend over het onderwerp beveiliging in relatie tot overheidsinstellingen werd de aandacht getrokken door een nieuwsbericht waarin werd gemeld dat de bouwtekening van een verblijf, in gebruik bij premier Blair van Engeland, inclusief beveiligingsmaatregelen, tegen betaling van f 40,-- te koop zou zijn bij de plaatselijke overheid.
In het kader van de uitvoering van de regelgeving met betrekking tot openbaarheid van bouwbesluiten werd aan belangstellenden de mogelijkheid gegeven deze bouwtekeningen te kopen. Dan vallen de oren van je hoofd.
Enerzijds zijn er overheidsinstellingen bij een dergelijk project betrokken die in het diepste geheim werken aan de beveiliging van een dergelijk (politiek) gevoelig object conform de voor hen geldende procedures en anderzijds zijn er ambtenaren die conform de voor hén geldende instructies, uitvoering geven aan de openbaarheid van gegevens.
Een schrijnend voorbeeld waaruit maar weer eens blijkt dat de mens de zwakste schakel is in de beveiligingsketen.
Uit een onlangs gehouden onderzoek door een werkgeversorganisatie werd bekend dat naar schatting de schade als gevolg van (interne) criminaliteit 1 miljard op jaarbasis zou bedragen.
En dan praten we uitsluitend over de bekend geworden incidenten. Waarschijnlijk slechts het bekende topje van de (criminele) ijsberg. Cijfers die er niet om liegen en die ondanks alle preventieve en repressieve maatregelen blijven stijgen.
Security-bewustzijn
De zojuist geschetste situatie met betrekking tot het incident in Engeland is extreem, maar geeft wel aan hoe soms onbewust op een eenvoudige manier met (vertrouwelijke) informatie wordt omgesprongen. Het feit dat het onbewust kan gebeuren schept meteen een hele gevaarlijke situatie. Degene, en dat kan iemand binnen de eigen organisatie zijn, maar ook een buitenstaander, die bewust uit is op het onrechtmatig verkrijgen van (vertrouwelijke) informatie en/of goederen heeft door het ontbreken van security-bewustzijn vaak vrij spel.
Heel vaak blijkt achteraf hoe kinderlijk eenvoudig het voor de 'dader' bleek te zijn om aan informatie en/of goederen te komen. Sterker nog, we staan er vaak met de neus bovenop en nemen al of niet bewust deel aan het proces!
Geen mooier vermaak dan leedvermaak, maar hoe is het eigenlijk gesteld met het security-bewustzijn in ons eigen land? Hoe gaan bedrijven en overheidsinstellingen hier om met dit fenomeen? Houden wij onszelf of onze ambtenaren weleens een spiegel voor als we het in dit verband hebben over security-bewustzijn?
Tijdens onze preventieve bedrijfsbeveiligingsonderzoeken die wij zowel binnen overheidsinstellingen als bij het bedrijfsleven uitvoeren, worden we dagelijks geconfronteerd met een (te) laag security-bewustzijn en de vervelende consequenties hiervan. Om een paar praktijkvoorbeelden te noemen:
- Vertrouwelijke dossiers die onbeheerd op bureaus blijven liggen in (lunch)pauzes of zelfs na werktijd. Collega's die nieuwsgierig zijn of bewust uit zijn op dergelijke vertrouwelijke informatie wordt het wel heel erg makkelijk gemaakt. Wie komen buiten werktijd nog in het pand? Kunnen medewerkers van externe dienstverleners (schoonmaak, beveiliging, storingsmonteurs e.d.) deze informatie zomaar inzien? En hoe gaan deze mensen om met deze informatie? Regelmatig worden wij in onderzoeken geconfronteerd met het feit dat er vertrouwelijke informatie is 'gelekt'. Verbaasd?
- Waardevolle (computer)apparatuur, laptops, die onbeheerd wordt achterlaten in de (bedrijfs)auto. Het zal niet de eerste keer zijn dat op deze wijze na een autodiefstal of inbraak uw goederen en informatie letterlijk en figuurlijk op straat voor het 'oprapen' liggen.
- Geautomatiseerde systemen die makkelijk toegankelijk zijn voor onbevoegden. Ondanks allerlei (preventieve) beveiligingsmaatregelen vinden wij tijdens onze onderzoeken bijna altijd het password in de werkomgeving van medewerkers. Soms zelfs vermeld aan de achterzijde van de computer. Heel praktisch als een collega ziek is, maar beveiligingstechnisch gezien absurd!
- Omgang met sleutels en/of toegangspassen, die als het goed is op basis van functionaliteit zijn uitgereikt. Maar al te vaak blijken (te) veel medewerkers in het bezit te zijn van sleutels en/of toegangspassen. Na een incident is er geen overzicht wie mogelijk verantwoordelijk zou kunnen zijn. Wie bepaalt eigenlijk binnen de organisatie wie wel of niet een sleutel krijgt en of dat functioneel noodzakelijk is?
Dit zijn slechts enkele voorbeelden van gevallen waar gebrek aan security-bewustzijn de basis vormde voor incidenten. Zo kunnen er nog vele genoemd worden, maar de rode draad in al deze gevallen blijkt veelal de mens te zijn.
Dit artikel begon met het voorbeeld uit Engeland. Het is ook makkelijk om naar een ander te wijzen. Ook binnen organisaties is dat een reactie die wij vaak tegenkomen. Als de organisatie geconfronteerd wordt met allerlei vervelende incidenten dan wordt geopperd dat de dader waarschijnlijk te zoeken is in kringen van buitenstaanders of bij een externe dienstverlener.
Wijzen naar een ander; terwijl onze ervaringen heel vaak duiden op bewuste en onbewuste betrokkenheid van binnenuit. Een wetenschap om rekening mee te houden als wordt gewerkt aan een goed beveiligingsplan!
Procedures en instructies
Als reactie op vermissingen en dergelijke zien we vaak dat organisaties gaan investeren in technische hulpmiddelen. Er worden forse investeringen gedaan in toegangscontrolesystemen, elektronische beveiligingssystemen, zwaar hang- en sluitwerk en zo zijn er nog vele technische- of bouwkundige preventieve maatregelen te benoemen. Maatregelen die veelal zijn afgestemd op de (onterechte) gedachte dat het kwaad uitsluitend van buiten komt!
Overigens ook maatregelen die noodzakelijk zijn, maar slechts tot resultaat zullen leiden als de organisatie is afgestemd op het gebruik van deze middelen. Er zullen met name ook organisatorische maatregelen getroffen dienen te worden! Er zal een goede afstemming dienen te komen tussen bouwkundige, elektronische en organisatorische maatregelen. Er zullen procedures en instructie opgesteld dienen te worden. En wat nog belangrijker is; er zal geïnvesteerd dienen te worden in de gemeenschappelijke factor: de medewerker, de mens in de organisatie!
Als voorbeeld in dit verband; de aanschaf van een geavanceerd toegangscontrolesysteem dat met de hedendaagse techniek heel veel zaken registreert en controleert. Het zijn echter nog steeds dezelfde medewerkers die met deze techniek moeten werken. Wie autoriseert als de 'vaste medewerker' ziek is? Heeft een oproepkracht van een(extern) beveiligingsbedrijf alle kennis in huis om het systeem te bedienen? Hoe gaat men om met verloren pasjes? Wie bepaalt eigenlijk wie waar naar binnen mag? Kortom, als deze zaken niet goed zijn georganiseerd (ook buiten werktijd!) dan is een dergelijk systeem binnen de kortste keren 'vervuild' en vervalt het eigenlijk tot een nietszeggende, kostbare brok techniek! Sterker nog, het suggereert een gevoel van veiligheid die in werkelijkheid niet (meer) bestaat.
Security-management
Bij steeds meer bedrijven en overheidsinstellingen gaat security-management deel uitmaken van de bedrijfsvoering. Er dient door de organisatie beleid te worden vastgesteld dat wordt vertaald in procedures en instructies. Hier houdt het echter nog niet op. Als bovenstaande zaken zijn geregeld, zal erop moeten worden toegezien dat ook conform de vastgestelde procedures gewerkt wordt.
Het opstellen van procedures en instructies alleen is niet voldoende. Met name overheidsinstellingen worden gekenmerkt door de vele procedures en instructies. Op papier is vaak alles tot in de kleinste puntjes geregeld. Toch is het aantal incidenten binnen overheidsinstellingen kennelijk niet minder frequent dan binnen het bedrijfsleven. Reden daarvan? Dezelfde menselijke factor!
Door het management zal een draagvlak gecreëerd dienen te worden voor (preventieve) beveiligingsmaatregelen. Er moet gewerkt worden aan verhoging van het security-bewustzijn van de medewerkers. Leidinggevenden hebben hierin een duidelijke voorbeeldfunctie te vervullen. Zaken die met beveiliging van doen hebben dienen bespreekbaar te worden gemaakt.
En áls dat eenmaal bespreekbaar is, kunnen we elkaar ook de spiegel eens voorhouden, zonder dat medewerkers dit direct als bedreigend ervaren. Wie, binnen uw organisatie, spreekt een onbekende bezoeker aan als deze zelfstandig door het pand loopt? Waarom blijft er vertrouwelijke informatie op bureaus liggen na werktijd en wie durft daar een collega over aan te spreken? Waarom blijven kostbare laptops onbemand achter in kantoren, terwijl er een afsluitbare kast aanwezig is?
Uit onze ervaringen weten we dat slechts weinigen aandacht hebben voor dergelijke zaken. Men ervaart het als gênant om iemand aan te spreken of men denkt dat het wel goed zal zijn. Bovendien "wie ben ik om een collega of een bezoeker aan te spreken." Deze cultuur doorbreken en het bespreekbaar maken, in combinatie met een goed pakket aan (preventieve) maatregelen, legt de basis voor een professionele aanpak.
Voorkomen is beter dan genezen, is een gezegde dat hier zeker opgeld doet. En zeker voor de overheid geldt dat incidenten voorkomen dienen te worden. Afgezien van financiële schade die ontstaat na een incident, hebben overheidsinstellingen ook een maatschappelijke verantwoordelijkheid en een hele duidelijke voorbeeldfunctie.
© Bovenstaand artikel van onze hand is gepubliceerd in het tijdschrift Overheids Management, jrg 11, nr 5, Mei 1998, Thema: Beveiliging; een uitgave van VUGA Uitgeverij B.V. te Den Haag.
