Cyber
28/02/2024

Fysieke beveiliging niet meer mogelijk zonder goed datamanagement

Beveiliging wordt steeds minder een kwestie van hoge hekken en dikke muren. Tegenwoordig draait het vooral om data. Vanzelfsprekend als het gaat om cybersecurity, maar opvallend genoeg is ook voor fysieke beveiliging data onmisbaar geworden als men dreigingen tijdig wil signaleren om incidenten te voorkomen of op zijn minst beheersbaar te houden. Reden voor Securitas Nederland om samen met enkele leden van de Benelux Chapter van ASIS International een ronde tafel over dit onderwerp te organiseren.

Aan de ronde tafel namen security professionals deel van onder andere grote winkelketens, industriële bedrijven, financiële dienstverleners, consultancy- en adviesbureaus, onderwijsinstellingen en bedrijven die in belangrijke mate deel uitmaken van de vitale infrastructuur. Zij gingen op uitnodiging van Securitas Nederland in op het belang van data voor het borgen van de continuïteit van hun organisaties. Daarbij gaat het om data die bijvoorbeeld aangeeft wat er beveiligd moet worden en waartegen, mits geplaatst in de juiste context en op de juiste manier verrijkt. Wat voor data heb je dan nodig? En hoe kom je daaraan? Data is onder andere afkomstig vanuit talloze sensoren en al of niet open bronnen op internet. Maar ook zeker de kennis op de werkvloer en van ondersteunende processen mag niet worden onderschat als databron. De uitdaging is om die data op het juiste moment uit de juiste bronnen te halen en die te transformeren naar informatie en vervolgens naar Intelligence. Informatie is data binnen een context die analyse mogelijk maakt. Intelligence is informatie op basis waarvan een handelingsperspectief is af te leiden, zoals te nemen maatregelen die negatieve effecten voorkomen of het herzien van het risicoprofiel. Men kan bijvoorbeeld trends signaleren, waaruit zelfs voorspellingen voor toekomstige incidenten zijn af te leiden. In een wereld waarin steeds meer openheid en toegankelijkheid van organisaties wordt verwacht, wordt het belang daarvan alleen maar groter.

Informatiebehoefte

Om aan data te kunnen komen is het een voorwaarde dat deze gedeeld wordt. De voorzitter van de conferentie vroeg dan ook terecht in hoeverre de aanwezigen bereid waren om data uit de eigen organisatie met anderen te delen. Van de zeventien deelnemers staken er slechts twee hun hand op. Eén wilde het beslist niet. De andere veertien deelnemers waren bereid data te delen onder voorwaarden. Zij willen bijvoorbeeld precies weten bij wie de data terechtkomt en wat die ermee gaan doen. En dan is het natuurlijk nog de vraag of data vanuit de privacywet- en regelgeving wel gedeeld mag worden. Dat ligt met name gevoelig bij zogenoemde ‘zwarte lijsten’.

De discussie werd op gang gehouden aan de hand van een aantal stellingen. Bijvoorbeeld: ‘een goed risico assessment geeft automatisch een compleet inzicht in de informatiebehoefte’. De meesten vonden dat wat kort door de bocht. De informatiebehoefte verandert namelijk voortdurend omdat riskmanagement een dynamisch proces is. Er ontstaan niet alleen steeds nieuwe risico’s, zelfs de bestaande risico’s zijn aan veranderingen onderhevig. Benadrukt werd dat risico assessment zeker niet alleen een taak is van de securitymanager. Data verzamelen begint op de werkvloer. Daarbij heb je vaak vele disciplines binnen de organisatie. De taak van de securitymanager is om ervoor te zorgen dat de risico’s integraal worden aangepakt. Ook stelt hij of zij de prioriteiten vast aan de hand van de frequentie en de impact van potentiële incidenten. Dat data hierbij onmisbaar is, werd door niemand ontkend. Gelijktijdig werd ook geconcludeerd dat de beschikbaarheid van data niet vanzelfsprekend is. Zeker niet bij de communicatie tussen bedrijfsleven en overheid.

Bronnen

‘Data draagt altijd op de juiste manier bij aan een betere informatiepositie’. Dat was de tweede stelling. Een van de deelnemers merkte op dat men er dan wel zeker van moet zijn dat de data betrouwbaar is, anders werkt het juist tegen je. Gezond boerenverstand en het goed kennen van de organisatie blijft dan ook altijd een vereiste om data op de juiste waarde te kunnen inschatten. In de praktijk komt het verwerken van data nog vaak neer op het signaleren van afwijkingen van gewenste situaties binnen het bedrijfsproces. Daarbij wordt nog niet echt gebruik gemaakt van nieuwe ontwikkelingen, zoals kunstmatige intelligentie. Een uitdaging blijft het verzamelen van data omtrent risico’s met een kleine frequentie, maar een hoge impact. Voor risico’s met een hoge frequentie en een kleine impact, zoals winkeldiefstal, kan vaak gebruik worden gemaakt van open bronnen, zoals de AD Misdaadmeter. Maar met een dergelijke bron kun je geen terroristische aanslag voorspellen. Securitas maakt gebruik van in- en externe databronnen om het mogelijke dreigingsbeeld voor haar klanten inzichtelijk te maken met het Risk Intelligence Center. Belangrijk is in ieder geval dat het eigen proces van de organisatie goed gemonitord wordt en dat er geacteerd wordt op afwijkingen. Om (nieuwe) trends en afwijkingen te ontdekken, kan ook gebruik worden gemaakt van kunstmatige intelligentie. Zo zijn onder andere fraude en andere integriteitschendingen aan het licht gekomen. Momenteel wordt daarvoor vooral gebruik gemaakt van het instrument screening. Maar dat geeft zeker geen 100 procent zekerheid. Het combineren van de met screening verkregen data met andere bronnen kan via bepaalde algoritmen tot verbeterde inzichten leiden, maar kan ook flink botsen met de wet- en regelgeving op het gebied van privacy. In dat geval kan een verdachte vrijuit gaan, doordat de rechter de bewijsmaterialen als ‘onrechtmatig verkregen’ bestempelt en daardoor niet ontvankelijk verklaart. Inschakeling van een expert kan voorkomen dat het slachtoffer op het verdachtenbankje terecht komt.

Zegen of vloek

Op dat spanningsveld tussen privacy en security had de derde stelling betrekking: ‘De huidige (privacy)wetgeving ondersteunt effectief het gebruik van data’. Zoals te verwachten viel, was niet iedereen het daarover eens. Zo maakt volgens een van de deelnemers het ‘ambtelijke geneuzel‘ van de Autoriteit Persoonsgegevens (de Nederlandse Gegevensbeschermingsautoriteit) het bijna onmogelijk om een waarschuwingsregister voor de detailhandel op te zetten. ‘Je moet door duizend hoepels springen als je iets met data wilt doen.’ Een van de deelnemers aan de ronde tafel vond het wel meevallen, zolang je goed naar de nuances in de wetgeving kijkt. Zo ligt het delen van camerabeelden vaak erg gevoelig, maar wordt het vaak al een stuk eenvoudiger als men zich beperkt tot verwerking van met camera’s gegenereerde metadata. Mensen die zich aan de wet houden, komen dan niet herkenbaar in beeld. Door de wetgeving word je in ieder geval gedwongen om zorgvuldig na te denken over wat je gaat doen met data. Dat is dan weer een pluspunt, aldus een van de deelnemers. De meerderheid van de aanwezigen vond dat Nederland wel overgereguleerd is. Bovendien zou de regelgeving vaak jaren achterlopen op de ontwikkelingen in de maatschappij en de technologie. Dan krijg je situaties dat bedrijven weten hoe zij met data hun risico’s kunnen verkleinen, maar dat niet doen uit angst voor problemen met de Autoriteit Persoonsgegevens. Een ander was daar niet zo bang voor, zolang je maar de juiste expertise in huis haalt. Dat laatste is zeker nodig als je voor een multinational werkt. Want elk land hanteert eigen regels. Daarnaast is ook de overheid niet altijd consequent. De privacy-autoriteit wil geen private camera’s die gericht zijn op het publieke domein, terwijl de politie dat juist toejuicht omdat de ‘illegale’ beelden kunnen bijdragen aan het oplossen van ernstige misdrijven.

De wetgeving is dus niet zozeer het probleem maar wel de onduidelijkheid en onzekerheden rondom interpretaties en handhaving en de daarmee samenhangende risico’s voor de bedrijfsvoering (sancties). Geconcludeerd kan worden dat het verzamelen en analyseren van data van levensbelang is voor een effectieve beveiliging, maar dat naast technische, ook juridische expertise in huis gehaald zal moeten worden om te voorkomen dat de verzamelde data een vloek wordt, in plaats van een zegen.

Deze ronde tafel bood Securitas de mogelijkheid om haar kennis te delen én om in gesprek met de deelnemers te vernemen waar de uitdagingen op het gebied van beveiliging liggen. Dit draagt bij aan de missie van het bedrijf om de continu veranderende wereld te transformeren naar een veiligere plek om in te leven en werken. Omdat de genodigde experts aan de ronde tafel op persoonlijke titel deelnamen en vrijuit moesten kunnen spreken over gevoelige onderwerpen, is besloten hun namen niet te noemen in dit artikel.

Door: Vincent Vreeken

Foto’s: Secumedia

www.secumedia.nl

Fysieke beveiliging niet meer mogelijk zonder goed datamanagement

Beveiliging wordt steeds minder een kwestie van hoge hekken en dikke muren. Tegenwoordig draait het vooral om data. Vanzelfsprekend als het gaat om cybersecurity, maar opvallend genoeg is ook voor fysieke beveiliging data onmisbaar geworden als men dreigingen tijdig wil signaleren om incidenten te voorkomen of op zijn minst beheersbaar te houden. Reden voor Securitas Nederland om samen met enkele leden van de Benelux Chapter van ASIS International een ronde tafel over dit onderwerp te organiseren.

Aan de ronde tafel namen security professionals deel van onder andere grote winkelketens, industriële bedrijven, financiële dienstverleners, consultancy- en adviesbureaus, onderwijsinstellingen en bedrijven die in belangrijke mate deel uitmaken van de vitale infrastructuur. Zij gingen op uitnodiging van Securitas Nederland in op het belang van data voor het borgen van de continuïteit van hun organisaties. Daarbij gaat het om data die bijvoorbeeld aangeeft wat er beveiligd moet worden en waartegen, mits geplaatst in de juiste context en op de juiste manier verrijkt. Wat voor data heb je dan nodig? En hoe kom je daaraan? Data is onder andere afkomstig vanuit talloze sensoren en al of niet open bronnen op internet. Maar ook zeker de kennis op de werkvloer en van ondersteunende processen mag niet worden onderschat als databron. De uitdaging is om die data op het juiste moment uit de juiste bronnen te halen en die te transformeren naar informatie en vervolgens naar Intelligence. Informatie is data binnen een context die analyse mogelijk maakt. Intelligence is informatie op basis waarvan een handelingsperspectief is af te leiden, zoals te nemen maatregelen die negatieve effecten voorkomen of het herzien van het risicoprofiel. Men kan bijvoorbeeld trends signaleren, waaruit zelfs voorspellingen voor toekomstige incidenten zijn af te leiden. In een wereld waarin steeds meer openheid en toegankelijkheid van organisaties wordt verwacht, wordt het belang daarvan alleen maar groter.

Informatiebehoefte

Om aan data te kunnen komen is het een voorwaarde dat deze gedeeld wordt. De voorzitter van de conferentie vroeg dan ook terecht in hoeverre de aanwezigen bereid waren om data uit de eigen organisatie met anderen te delen. Van de zeventien deelnemers staken er slechts twee hun hand op. Eén wilde het beslist niet. De andere veertien deelnemers waren bereid data te delen onder voorwaarden. Zij willen bijvoorbeeld precies weten bij wie de data terechtkomt en wat die ermee gaan doen. En dan is het natuurlijk nog de vraag of data vanuit de privacywet- en regelgeving wel gedeeld mag worden. Dat ligt met name gevoelig bij zogenoemde ‘zwarte lijsten’.

De discussie werd op gang gehouden aan de hand van een aantal stellingen. Bijvoorbeeld: ‘een goed risico assessment geeft automatisch een compleet inzicht in de informatiebehoefte’. De meesten vonden dat wat kort door de bocht. De informatiebehoefte verandert namelijk voortdurend omdat riskmanagement een dynamisch proces is. Er ontstaan niet alleen steeds nieuwe risico’s, zelfs de bestaande risico’s zijn aan veranderingen onderhevig. Benadrukt werd dat risico assessment zeker niet alleen een taak is van de securitymanager. Data verzamelen begint op de werkvloer. Daarbij heb je vaak vele disciplines binnen de organisatie. De taak van de securitymanager is om ervoor te zorgen dat de risico’s integraal worden aangepakt. Ook stelt hij of zij de prioriteiten vast aan de hand van de frequentie en de impact van potentiële incidenten. Dat data hierbij onmisbaar is, werd door niemand ontkend. Gelijktijdig werd ook geconcludeerd dat de beschikbaarheid van data niet vanzelfsprekend is. Zeker niet bij de communicatie tussen bedrijfsleven en overheid.

Bronnen

‘Data draagt altijd op de juiste manier bij aan een betere informatiepositie’. Dat was de tweede stelling. Een van de deelnemers merkte op dat men er dan wel zeker van moet zijn dat de data betrouwbaar is, anders werkt het juist tegen je. Gezond boerenverstand en het goed kennen van de organisatie blijft dan ook altijd een vereiste om data op de juiste waarde te kunnen inschatten. In de praktijk komt het verwerken van data nog vaak neer op het signaleren van afwijkingen van gewenste situaties binnen het bedrijfsproces. Daarbij wordt nog niet echt gebruik gemaakt van nieuwe ontwikkelingen, zoals kunstmatige intelligentie. Een uitdaging blijft het verzamelen van data omtrent risico’s met een kleine frequentie, maar een hoge impact. Voor risico’s met een hoge frequentie en een kleine impact, zoals winkeldiefstal, kan vaak gebruik worden gemaakt van open bronnen, zoals de AD Misdaadmeter. Maar met een dergelijke bron kun je geen terroristische aanslag voorspellen. Securitas maakt gebruik van in- en externe databronnen om het mogelijke dreigingsbeeld voor haar klanten inzichtelijk te maken met het Risk Intelligence Center. Belangrijk is in ieder geval dat het eigen proces van de organisatie goed gemonitord wordt en dat er geacteerd wordt op afwijkingen. Om (nieuwe) trends en afwijkingen te ontdekken, kan ook gebruik worden gemaakt van kunstmatige intelligentie. Zo zijn onder andere fraude en andere integriteitschendingen aan het licht gekomen. Momenteel wordt daarvoor vooral gebruik gemaakt van het instrument screening. Maar dat geeft zeker geen 100 procent zekerheid. Het combineren van de met screening verkregen data met andere bronnen kan via bepaalde algoritmen tot verbeterde inzichten leiden, maar kan ook flink botsen met de wet- en regelgeving op het gebied van privacy. In dat geval kan een verdachte vrijuit gaan, doordat de rechter de bewijsmaterialen als ‘onrechtmatig verkregen’ bestempelt en daardoor niet ontvankelijk verklaart. Inschakeling van een expert kan voorkomen dat het slachtoffer op het verdachtenbankje terecht komt.

Zegen of vloek

Op dat spanningsveld tussen privacy en security had de derde stelling betrekking: ‘De huidige (privacy)wetgeving ondersteunt effectief het gebruik van data’. Zoals te verwachten viel, was niet iedereen het daarover eens. Zo maakt volgens een van de deelnemers het ‘ambtelijke geneuzel‘ van de Autoriteit Persoonsgegevens (de Nederlandse Gegevensbeschermingsautoriteit) het bijna onmogelijk om een waarschuwingsregister voor de detailhandel op te zetten. ‘Je moet door duizend hoepels springen als je iets met data wilt doen.’ Een van de deelnemers aan de ronde tafel vond het wel meevallen, zolang je goed naar de nuances in de wetgeving kijkt. Zo ligt het delen van camerabeelden vaak erg gevoelig, maar wordt het vaak al een stuk eenvoudiger als men zich beperkt tot verwerking van met camera’s gegenereerde metadata. Mensen die zich aan de wet houden, komen dan niet herkenbaar in beeld. Door de wetgeving word je in ieder geval gedwongen om zorgvuldig na te denken over wat je gaat doen met data. Dat is dan weer een pluspunt, aldus een van de deelnemers. De meerderheid van de aanwezigen vond dat Nederland wel overgereguleerd is. Bovendien zou de regelgeving vaak jaren achterlopen op de ontwikkelingen in de maatschappij en de technologie. Dan krijg je situaties dat bedrijven weten hoe zij met data hun risico’s kunnen verkleinen, maar dat niet doen uit angst voor problemen met de Autoriteit Persoonsgegevens. Een ander was daar niet zo bang voor, zolang je maar de juiste expertise in huis haalt. Dat laatste is zeker nodig als je voor een multinational werkt. Want elk land hanteert eigen regels. Daarnaast is ook de overheid niet altijd consequent. De privacy-autoriteit wil geen private camera’s die gericht zijn op het publieke domein, terwijl de politie dat juist toejuicht omdat de ‘illegale’ beelden kunnen bijdragen aan het oplossen van ernstige misdrijven.

De wetgeving is dus niet zozeer het probleem maar wel de onduidelijkheid en onzekerheden rondom interpretaties en handhaving en de daarmee samenhangende risico’s voor de bedrijfsvoering (sancties). Geconcludeerd kan worden dat het verzamelen en analyseren van data van levensbelang is voor een effectieve beveiliging, maar dat naast technische, ook juridische expertise in huis gehaald zal moeten worden om te voorkomen dat de verzamelde data een vloek wordt, in plaats van een zegen.

Deze ronde tafel bood Securitas de mogelijkheid om haar kennis te delen én om in gesprek met de deelnemers te vernemen waar de uitdagingen op het gebied van beveiliging liggen. Dit draagt bij aan de missie van het bedrijf om de continu veranderende wereld te transformeren naar een veiligere plek om in te leven en werken. Omdat de genodigde experts aan de ronde tafel op persoonlijke titel deelnamen en vrijuit moesten kunnen spreken over gevoelige onderwerpen, is besloten hun namen niet te noemen in dit artikel.

Door: Vincent Vreeken

Foto’s: Secumedia

www.secumedia.nl

Laatste nieuws

Alle nieuwsberichten