High security? Eerst de basis maar eens op orde

Om me heen hoor ik nog wel eens verhalen hoe “high secure” de locaties van een organisatie beveiligd zijn. Op de één of andere manier lijkt het “stoer” om zwaarbeveiligd te moeten zijn. Maar zwaar beveiligen is zo eenvoudig nog niet en kost veel inspanning, tijd, doorzettingsvermogen en heel veel geld. De keten is immers zo zwak als de zwakste schakel.

Zwaar beveiligen is eigenlijk ook alleen nodig als de dreigingen daar aanleiding toe geven. Je moet het wellicht overwegen als je de organisatie wil beschermen tegen dreigingen als explosies of bomaanslagen, infiltratie en spionage, overvallen, sabotage en/of schietpartijen. En dat zijn complexe en soms hybride dreigingen die worden uitgevoerd door dadertypen als de georganiseerde criminaliteit, terroristische organisaties of statelijke actoren. Daartegen beveiligen is zo eenvoudig nog niet (en hoeft ook niet in alle gevallen want soms kan het ook wel een tandje minder).

Tel vooral je zegeningen als je niet zwaarbeveiligd hoeft te zijn. Want kijk je hoe de vlag er op het gebied van fysieke beveiliging in de praktijk echt bij hangt? Dan (b)lijkt het vaak toch allemaal tegen te vallen. De maatregelen zijn er (misschien) wel maar werken (op zichzelf of in samenhang) toch niet zo goed als gedacht. Helaas kom je daar soms pas achter nadat een incident zich voor heeft gedaan. Omdat er geen inspecties of audits zijn uitgevoerd naar de werking van de maatregelen en/of omdat er geen gedegen risicoanalyses zijn uitgevoerd of beveiligingsplannen zijn opgesteld. Simpel gezegd: Het schort nog wel eens aan het basis beveiligingsniveau van organisaties.

Voordat organisaties “high security” na gaan streven, doen ze er wat mij betreft verstandig aan eerst eens goed te kijken naar de manier waarop ze nu beveiligd zijn. Welke risico’s er zijn, welke maatregelen zijn er (nodig), hoe goed werken de maatregelen en wat kan er verbeterd worden. Eerst de basis op orde en het zogenaamde “low hanging fruit” maar eens plukken voordat er veel, heel veel, geld geïnvesteerd wordt in allerlei dure, ingewikkelde en soms onnodige beveiligingsmaatregelen.

Met dit in gedachte, geef ik hierna 25 voorbeelden die ik in de praktijk geregeld tegenkom. Het zijn zaken die verbeterd moeten worden om eerst de basis op orde te brengen. Ik ben vooral ook benieuwd naar de voorbeelden die jij tegenkomt.

  1. De sleuteladministratie is niet op orde waardoor er onbekend is wie welke sleutel heeft en dus wie toegang heeft tot het gebouw of delen van dat gebouw en toegangsrechten zijn gestapeld waardoor iemand die er al lang werkt meer en meer rechten heeft en in ruimtes kan komen waar hij of zij niets te zoeken heeft.
  2. Er zijn wel (veel) maatregelen maar er is niet duidelijk of ze werken zoals ze bedoeld zijn omdat er geen inspecties of audits uitgevoerd worden naar de werking van de maatregelen.
  3. Er wordt gebruik gemaakt van (en soms blind vertrouwt) op de adviezen van beveiligings-leveranciers die ook de spullen (mogen) leveren waardoor de risico’s niet centraal staan en er soms te veel of de verkeerde maatregelen worden getroffen die eigenlijk niet nodig zijn maar die wel veel geld kosten.
  4. De partij die de storingen aan beveiligingsmaatregelen op moet lossen heeft niet in alle gevallen tijdig een passende oplossing waardoor langer dan noodzakelijk (soms dagen of weken) gaten in de beveiliging aanwezig zijn als een storing zich voordoet.
  5. Er is een inbraakdetectiesysteem en er zijn inbraakdetectoren maar het alarm wordt er op vaste tijdstippen opgezet waardoor delen van de dag het gebouw niet onder alarm staat (vooral ’s morgens vroeg en aan het einde van de werkdag als het gebouw verlaten is staat het alarm er nog niet op).
  6. De aanrijtijd van de mobiele surveillance is contractueel misschien 15 minuten maar de praktijk leert dat ze er al snel 30 tot 45 minuten over doen om op locatie te komen terwijl de gemiddelde crimineel slechts een paar minuten nodig heeft om zijn actie uit te voeren.
  7. Er zijn camera’s maar de beelden zijn slecht of er is niemand die actief de beelden bewaakt, zelfs niet als er gebruik wordt gemaakt van zogenaamde slimme camera’s. De camera’s schrikken (mogelijk) af en de beelden kunnen als bewijslast gebruikt worden maar incidenten worden er niet mee voorkomen.
  8. Bij het ontwerp van het gebouw is onvoldoende rekening gehouden met beveiliging waardoor vluchtwegen (die geopend moeten kunnen worden in geval van een calamiteit) door beveiligde compartimenten lopen en daar dus een risico voor vormen.
  9. Er wordt gebruik gemaakt van een (elektronisch) toegangscontrolesysteem maar aan de onbeveiligde kant van de deuren zijn nooddrukkers aangebracht waarmee de deur door onbevoegden eenvoudig geopend kan worden.
  10. Toegangspassen en -middelen worden onderling aan elkaar uitgeleend waardoor niet geautoriseerde personen toegang krijgen tot delen van gebouwen waar ze niets te zoeken hebben.
  11. Toegangspassen worden niet zichtbaar gedragen en personen zonder toegangspas worden niet aangesproken. Bezoekers kunnen door het gebouw zwerven zonder dat iemand naar ze omkijkt omdat ze niet begeleid worden.
  12. Toegangspoorten en/of beveiligde deuren staan (te lang) open waardoor het voor ongeautoriseerde personen eenvoudig is om binnen te komen of mee te lopen met medewerkers die wel geautoriseerd zijn.
  13. Deuren (reguliere deuren en/of nooduitgangen) worden opengehouden door er brandblussers of andere materialen voor te zetten. Hierdoor is er geen zicht op wie het gebouw allemaal betreedt.
  14. BHV’ers moeten toegang hebben tot alle ruimtes en hebben daarvoor de rechten op hun toegangsmiddel. Ze horen deze rechten echter alleen te gebruiken als er zich een calamiteit voordoet maar in de praktijk worden de rechten ook voor andere situaties gebruikt.
  15. De vluchtwegen zijn geblokkeerd waardoor vluchten niet mogelijk is en er onnodige slachtoffers kunnen vallen. Vluchtwegen zijn wettelijk verplicht (Arbowet, Bouwbesluit bijvoorbeeld t.a.v. brand) maar zijn ook van belang voor andere beveiligingsincidenten waarbij mensen moeten kunnen vluchten.
  16. Nooduitgangen worden gebruikt om even snel een sigaretje te roken of een luchtje te scheppen waardoor er gaten in de buitengevel ontstaan en onbevoegden eenvoudig binnen kunnen sluipen.
  17. Akoestische signalen bij nooduitgangen worden als hinderlijk ervaren (want ze maken zo’n irritant geluid). Daarom worden ze onklaar gemaakt door kabels los te knippen.
  18. Bij een ontruiming of het indrukken van een rode noodknop (ontruimingsalarm), vallen alle deuren vrij en zijn zowel het gebouw als beveiligde compartimenten daarin door ongeautoriseerde personen te betreden zonder dat er toezicht op gehouden wordt.
  19. Er is beperkte kennis binnen de organisatie aanwezig op het gebied van fysieke beveiliging, beveiligingsrisico’s en de bijbehorende maatregelen. Iemand (zoals de Facility Manager) moet het erbij doen en die heeft het al druk genoeg met allerlei andere zaken.
  20. Er is geen of een sterk verouderd beveiligingsbeleid dat in de praktijk nauwelijks gebruikt wordt en vooral een papieren tijger is.
  21. Er zijn geen risicoanalyses, beveiligingsplannen en/of -dossiers voor de locaties waardoor het ontbreekt aan inzicht. Risico’s worden over- of onderschat en de maatregelen zijn niet afgestemd op de risico’s.
  22. Er is een laag beveiligingsbewustzijn binnen de organisatie en medewerkers is niet goed uitgelegd waarom bepaalde maatregelen aanwezig zijn. Maatregelen worden als lastig ervaren en omzeild terwijl er niet gehandhaafd wordt.
  23. Het hogere management vindt dat de maatregelen niet op hen van toepassing zijn. Ze vinden de maatregelen onzinnig of leven ze niet na. Of er ontstaan juist allerlei cowboy verhalen waardoor maatregelen getroffen worden die niet nodig zijn omdat ze geen risico’s verlagen.
  24. Na een incident begint het hoogste management zich te bemoeien met de beveiligings-maatregelen en moeten er, op stel en sprong, allerlei ondoordachte maatregelen worden doorgevoerd die uiteindelijk niet leiden tot een lager risico of soms zelfs leiden tot een verhoogd risico.
  25. Er worden slechts zeer beperkt incidentanalyses uitgevoerd nadat een beveiligingsincident zich voor heeft gedaan. Er is geen sprake van een lerende organisatie en het is vooral pleisters plakken. Hierdoor is niet inzichtelijk of het incident een geaccepteerd risico betrof, wat eventueel de oorzaak van het incident is en welke verbeteringen er eventueel moeten worden doorgevoerd.

Dit zijn praktijkvoorbeelden die ik zo kon verzinnen en als ik er nog wat verder over nadenk, kan ik er ongetwijfeld nog 25 bij bedenken. Maar welke veel voorkomende praktijkvoorbeelden kom jij tegen die organisaties op kunnen pakken om het basis beveiligingsniveau op orde te brengen? Laat ze me weten, ik ben reuze benieuwd.