Security in het tijdperk van Internet of Things
RAI Amsterdam
Meer informatieRobots worden elke 18 maanden twee keer zo slim, vertelde keynote speaker Carlo van de Weijer van de TU Eindhoven. “Het zal nog zo’n twintig jaar duren, maar dan zijn robots net zo slim als de mens.” De spreker doet zelf onderzoek naar mogelijkheden voor zelfrijdende auto’s. “Dan merk je wel tegen welke uitdagingen je oploopt. Een computer kan heel snel rekenen, maar is niet intelligent. Een automatisch rijdende auto is ook nog lang niet in staat om complexe verkeerssituaties goed in te schatten. Voordat we iets in de praktijk inzetten, is het dus essentieel om de kaders te bepalen. Wat kan wel en wat kan niet. Zeker als het gaat om kritische toepassingen als veiligheid en verkeer.” Van de Weijer toonde verbluffende beelden van robots kunnen tegenwoordig, maar liet ook zien hoe dramatisch het fout kan gaan.
‘Business continuity’ na de ramp
“We doen van alles om onze computersystemen te beschermen, maar hebben we ook een plan B voor als het toch fout gaat?” Deze retorische vraag stelde Rinske Geerlings van Business as Usual. “100 procent veiligheid bestaat niet, dus wat doen we ‘when the shit hits the fan’?” Haar bedrijf maakt gebruik van gaming en interactieve sessies om op een leuke manier de interesse van betrokkenen te wekken. “Wie moeten er aantreden als het mis gaat? Veel organisaties doen aan ‘business continuity’, maar denken dat het alleen om het maken van back-ups gaat. Ze weten niet of met het terugplaatsen van een back-up alles weer ‘up and running’ is.
Serieuze training vereist
Het vergt serieuze training van mensen om na een groot incident alles weer snel in orde te krijgen. Kan de organisatie intussen zonder ICT verder functioneren, zodat klanten geen hinder ondervinden? Dat is iets wat zelden geoefend of getest wordt. Wat als het gebouw en de ICT er niet meer zijn? En wat als vitale mensen niet meer beschikbaar zijn? Je kan wel back-ups hebben, maar zonder medewerkers heb je daar niet veel aan.” Geerlings prees het dat bedrijven veel aan preventie doen, maar benadrukte dat respons minstens zo belangrijk is. “Als je daarover op de dag van de ramp gaat nadenken, ben je mooi te laat.
Laaghangend fruit pakken
Met alle scenario’s rekening houden is niet te doen, maar het maakt al een groot verschil als je in ieder geval het laaghangend fruit pakt. Laat het niet over aan een afdeling, maar betrek er mensen bij van alle afdelingen. Vorm daarmee een team dat inventariseert welke functies allemaal kunnen wegvallen tijdens een incident en hoe dat opgevangen kan worden. Besef ook dat dit bij medewerkers weinig prioriteit heeft, waardoor je je best moet doen om het leuk te maken. Gebruik bij voorkeur een toolkit, want er zijn altijd dingen waar je pas aan wordt herinnerd als het te laat is.”
Veelzijdige sensortechnologie tegen agressie
Tinus Kanters van de gemeente Eindhoven vertelde over een uniek project in zijn gemeente, waarbij met geavanceerde techniek wordt geprobeerd agressie in het uitgaansgebied Stratumseind te verminderen. Dit onder andere door situaties te analyseren die aan agressie vooraf gaan, zodat bij het detecteren van vergelijkbare situaties vroegtijdig kan worden ingegrepen. “We kunnen gemiddeld nu 23 seconden eerder ingrijpen. Dat lijkt kort, maar het scheelt enorm als je 23 seconden minder klappen krijgt.” In het gebied wordt ook geëxperimenteerd met verschillende kleuren en intensiteiten licht om agressie te verminderen. Zelfs met geuren wordt gewerkt. Zo komt er steeds meer technologie bij. Mensen blijven ook een belangrijke rol spelen, bijvoorbeeld om het publiek om te leiden als het te druk wordt. Ook zo wordt irritatie en de daaruit voortkomende agressie verminderd. Technisch is dit een grote uitdaging, maar organisatorisch ook. Kanters: “Van wie is de data? En wat mag je mee doen?” Om problemen met privacywetgeving te voorkomen, wordt de data zoveel mogelijk geanonimiseerd. Gezichten worden onherkenbaar gemaakt en mensen kunnen zelfs als stippen worden weergegeven, als het alleen gaat om het meten van de drukte en de flow op een bepaald moment. Het is een project dat nooit af is en dat vooral bedoeld is om nieuwe technologie in een uitdagende praktijk te testen. Andere steden zijn welkom om het project te bekijken en de ervaringen in de eigen uitgaansgebieden toe te passen.
Werkgroepen
De Amsterdam Security Conference wordt in nauwe samenwerking met de Vereniging Beveiligingsprofessionals Nederland georganiseerd. De vereniging startte afgelopen voorjaar vier werkgroepen die zich gingen buigen over de onderwerpen ‘Internet-of-Things en Cybersecurity’, ‘Drones’, ‘Insider Threat’ en ‘Travel Security’. Tijdens de conferentie was het mogelijk om twee van de vier presentaties van deze werkgroepen te volgen en werden whitepapers uitgereikt met de voorlopige resultaten.
Drones
Voor de werkgroep Drones was het positief dat tijdens de conferentie in RAI Amsterdam de Drone Week plaatsvond. Tijdens de pauzes kon de beurs worden bezocht en daar vond ook de presentatie door de werkgroep plaats. Er is in Nederland wet- en regelgeving voor het gebruik van drones, maar die maakt professioneel gebruik bijna onmogelijk. Omdat de behoefte aan drones de komende jaren snel zal toenemen en de apparaten veel mogelijkheden in de security bieden, is snel nieuwe regelgeving nodig. Hieraan wordt inmiddels in Brussel gewerkt, waarna de regels voor de gehele EU zullen gelden. De werkgroep wil ondersteuning bieden aan de totstandkoming van regels en richtlijnen op basis van de praktijk.
Personeel
René Reijenga en Rosa Kasha gingen in op het lastige onderwerp Insider Threat, ofwel de dreiging die van eigen medewerkers uitgaat. Zij ontwikkelden met de werkgroep een richtlijn voor het screenen van personeel voordat dat wordt aangenomen, maar ook om bestaand personeel aan de tand te voelen en te kijken welk risico mensen vormen die de organisatie al of niet vrijwillig verlaten. Bij screening moet met veel zaken rekening worden gehouden. Daarom biedt de richtlijn ook een stappenplan, zodat geen van de belangrijke voorwaarden over het hoofd worden gezien. De Algemene Verordening Gegevensbescherming maakt screening er niet makkelijker op, maar ook hier geldt dat er geen problemen zijn te verwachten als de juiste weg wordt gevolgd. Dat houdt onder andere in dat screening vooraf aangekondigd dient te worden, dat verteld wordt wat het inhoudt en dat de resultaten met de kandidaat worden gedeeld.
Publiek-private samenwerking
Jan Verkaar behandelde het onderwerp publiek-private samenwerking. Er gebeurt al veel op dat vlak, maar de VBN verwacht hier zinvolle bijdragen vanuit de dagelijkse praktijk aan toe te kunnen voegen. De werkgroep bestaat inmiddels uit een groot aantal personen uit verschillende sectoren, die enthousiast aan de slag zijn gegaan om een en ander op papier te krijgen. Op het moment worden doelen geformuleerd en een road map uitgezet naar de volgende Security Summit in 2020. Hierbij komen verschillende zaken aan de orde, zoals politieke en juridische aspecten rond een PPS en wat PPS kan betekenen bij de bescherming van specifieke sectoren, zoals bijvoorbeeld cultureel erfgoed.