Proactieve security of pesterij?
Alberto Stegeman wilde tijdens een undercoveractie in 2008 aantonen dat de beveiliging op Schiphol gebrekkig was en krijgt als dank een voorwaardelijke geldboete van duizend euro voor het vervalsen van een KLM-personeelpas. Tegelijkertijd zijn er organisaties die hogere bedragen neerleggen, juist om zichzelf te laten testen door een red team. Slaat Schiphol de plank mis door dit gratis consult niet in dank af te nemen of is er iets anders aan de hand? Het antwoord op die vraag vereist wat uitleg, maar de reactie van Schiphol is zeer begrijpelijk.
Wanneer een organisatie besluit onderzoek te doen naar haar unknown unknowns (datgene waarvan ze niet weten dat ze het niet weten) dient er eerst bepaald te worden wat de primaire en secundaire securitydoelstellingen zijn, welke beveiligingsmaatregelen er reeds zijn getroffen om deze doelstellingen na te streven en welke manieren er reeds bekend zijn om de eigen organisatie in te dringen. Voordat een red team een organisatie betreedt zijn er dus al veel voorbereidingen getroffen en, belangrijker nog, is er een strikte doelstelling voor de red teaming oefening opgesteld, welke afgestemd is met de opdrachtgever. Zonder deze doelstelling is een oefening zinloos: het red team heeft immers een heel andere functie dan simpelweg proberen de organisatie binnen te dringen. Dit zal immers, met genoeg inzet, bijna altijd mogelijk blijken maar bewijst feitelijk zeer weinig. Het doel van red teaming is dan ook om vanuit het perspectief van de vijand de organisatie en diens structuren, methodes en systemen te analyseren. De theorie is dat wanneer vanuit de aanvaller geredeneerd wordt, aanvalsmethoden ontdekt worden die voorheen nog niet bekend waren. Zodoende kan een organisatie zich voorbereiden op dreigingen waar het nog niet daadwerkelijk mee te maken heeft gehad, en verkleint men de kans dat een situatie, object of gedraging onterecht niet als dreiging wordt aangemerkt. De Red Teaming Groep Nederland biedt de mogelijkheid om de opgedane kennis uit eerdere red teaming oefeningen effectief te gebruiken om die kans nog verder te verkleinen.
Het is dus per definitie onjuist om een red teaming oefening te beschouwen als een mogelijkheid om de alertheid van het personeel te toetsen, laat staan om de 'resultaten' direct te delen met de media. Voor het personeel moet een red teaming oefening een leerzame uitdaging zijn, die hen motiveert en tevens het nut van hun werk bewijst. Afstraffing is uit den boze. De resultaten van een red teaming oefening dienen uiterst vertrouwelijk te worden behandeld en moeten voor de opdrachtgevende organisatie inzichtelijk maken welke unknown unknowns er nog in het spel zijn. Vervolgens kan de organisatie haar operationele procedures verbeteren en raken medewerkers nog meer gemotiveerd om zich in te zetten voor hun securitydoelstellingen.
Het gevolg van een verkeerde aanpak wordt pijnlijk duidelijk als een verslaggever van PowNews op 25 maart 2014 in het kader van de NSS-top laat zien dat een tramhalte iedere reiziger de mogelijkheid biedt om ongecontroleerd uit te stappen in een gebied waar men vanaf de andere kant absoluut niet in mocht. „Zonder pas komt niemand erin”, zegt een politieagente tegen de verslaggever. Wanneer deze vervolgens vanaf de andere kant komt aanlopen en een andere agent confronteert met zijn bevindingen komt de politieagent moeilijk uit zijn woorden. Laat dit een gat in het securitybeleid zien? Wanneer de securitydoelstelling is om mensen niet in een bepaald gebied toe te laten misschien wel, echter is een toegangscontrole normaliter geen doel maar een middel om een andere doelstelling te bereiken. Die doelstelling wordt echter niet genoemd, waardoor de actie van de verslaggever slechts een provocerende werking heeft. De organisatie krijgt niet de mogelijkheid om zichzelf te verbeteren en de betreffende agent wordt niet verreikt maar gaat juist met een negatieve ervaring naar huis.
Toch heeft de actie van Stegeman iets opgeleverd: iedere organisatie kan nu de aanwezigheid van Alberto Stegeman met een cameraploeg als Verdachte Indicator in de operationele procedure opnemen. Een mooie illustratie van het nut van pan-sectorale dreigingsinformatie.