_w1700_h800_1.jpg)
Lees verder
Voorbeeld 1: drones
Momenteel zien we een wildgroei aan drones. Ze zijn er van klein tot groot, te gebruiken voor sport en plezier, en zijn niet alleen een dreiging voor de civiele en militaire lucht- en scheepvaart maar ook voor de burgers. Maar in dit eerste voorbeeld focus ik op het gebruik van drones door criminelen en terroristen. Nadat deze dreiging prominent geworden was, werd er direct door de betrokken minister een werkgroep in het leven geroepen. Daaraan zit in ons ambtenarenbestel helaas onlosmakelijk een klankbordgroep en uiteraard een stuurgroep vast. De eerste werkt een idee uit en legt het voor, de andere geeft commentaar en de laatste informeert de minister. Dit resulteert meestal in een proces van maanden zo niet jaren. Tevens werd er een taskforce ingesteld die, gefocust op techniek, moest gaan bezien of er passende maatregelen konden worden bedacht om een drone of te stoppen of te onderscheppen. En terwijl dit hele ambtelijke circus draait, blijft de dreiging gewoon bestaan en neemt de kans op bijvoorbeeld een aanslag met een drone toe.
Criminelen en terroristen bestellen ondertussen gewoon anoniem het beoogde model drone via het internet, passen hem aan naar hun wensen en doen hun actie. Die kan bestaan uit het transporteren van drugs en wapens naar bijvoorbeeld een gevangenis, of het plegen van aanslagen door middel van explosieven. Verkenningen door middel van drones komen relatief weinig voor in Nederland (Google Maps voorziet in de meeste behoeften). Bovendien zien beveiligingspersoneel en ook burgers laagvliegende drones te gemakkelijk en melden dit bij de politie. Wat wel regelmatig voorkomt, is dat fotografen een drone inzetten om beelden te kunnen maken die anders niet gemaakt zouden kunnen worden. Dat er bij de politie zorgen zijn over deze vorm van gebruik van drones bij bijvoorbeeld ‘te beschermen personen of objecten’, mag duidelijk zijn. Afdoende wet- en regelgeving en voldoende opsporingscapaciteit zijn er nog niet. Bovendien houden criminelen en terroristen zich hier uiteraard toch niet aan.
Waarom gaat het fout?
Waar en waarom gaat het in dit voorbeeld nu fout binnen de overheid? De betrokken ambtenaren hebben weinig tot onvoldoende kennis in huis om het fenomeen drones te kunnen stoppen of te kunnen (laten) reguleren. De taskforce heeft wel redelijke kennis, maar is met handen en voeten gebonden aan de wet- en regelgeving op het gebied van de Luchtvaart.
Wat helaas snel vergeten wordt, zijn de commerciële bedrijven die al kennis hebben op dit vlak, opgedaan door internationale samenwerking of doordat zij in het buitenland aan het werk zijn en de vraag daar al zijn tegengekomen. Ook de kennis van (inter)nationale partners wordt slechts ten dele gebruikt, omdat dit niet past in het gangbare patroon van de betrokken ambtenaren. Je geeft nu eenmaal niet graag toe dat je geen of te weinig kennis hebt op een bepaald terrein. Daarbuiten hebben de ambtenaren hun eigen vastgelegde pad te lopen zoals de offerte-aanvraag, inkoop, (Europese) aanbesteding en dergelijke. Maar hierdoor wordt de realiteit snel uit het oog verloren. Je kunt nu eenmaal niet maanden bezig zijn met het regelen van een tender om er vervolgens achter te komen dat het aangeboden product niet past binnen ons bestel of inmiddels achterhaald is.
Een andere vertragende factor is dat de overheid daar waar het gaat om gebouwaanpassingen voor bijvoorbeeld anti-drone apparatuur (om bij het voorbeeld te blijven), altijd het RijksVastgoedBedrijf (RVB) moet inschakelen. Het RVB huurt een adviesbureau in en laat de werkzaamheden door derden uitvoeren. Dit komt bijna neer op verplichte winkelnering. Voor je het weet ben je maanden verder door de vele vergaderingen en overleggen, is de techniek weer achterhaald en loop je als Overheid achter de feiten aan. En al die tijd staat de spreekwoordelijke deur open voor onheil.
Oplossing
Een oplossing zou kunnen zijn dat de overheid eens out-of-the-box gaat en ‘gewoon’ een werkende oplossing koopt, een zogenaamd ‘cots-product’ – commercial of the shelf – uiteraard zonder de regelgeving geweld aan te doen. Het zou zelfs onder R&D-gelden aangeschaft kunnen worden, vervolgens in de praktijk worden getest en aansluitend een aankooptraject starten. Dat duurt dan wel weer even, maar in de tussentijd staat er wel een product te doen wat het moet doen. Namelijk ons beschermen tegen aanvallen met drones.”
Voorbeeld 2: Windows XP
Een ander voorbeeld waarom er wat kanttekeningen te plaatsen zijn bij de security van de overheid is het volgende. Bij een aantal departementen is gevraagd hoe de stand van zaken is met betrekking tot de diverse besturingssystemen (gerelateerd aan security, niet aan de bedrijfsvoering). En wat blijkt? Er zijn nog steeds departementen waar cruciale IT-systemen werken op Windows XP. Dit is natuurlijk vragen om problemen. Het meest voorkomende antwoord op de vraag waarom dit zo is, is dat dit geen systemen zijn die aangesloten zijn op het Internet. Feit is echter dat service en onderhoud door derde partijen wordt uitgevoerd, normaliter door een laptop aan te sluiten op het betreffende systeem. Hoe moeilijk is het om dan een stukje software te uploaden (eventueel door een ander, ongemerkt, geplaatst op die laptop) en het systeem later te manipuleren. Denk hierbij aan toegangscontrole, sleutelbeheer, het beheer van parkeergarages, maar ook kluisjes en dergelijke.
Niet representatief
Is de situatie nu echt zo erg bij de overheid, of zijn de genoemde voorbeelden excessen? Vanuit mijn eigen ervaring kan ik zeggen dat ze niet zijn overdreven of verzonnen. Maar gelukkig zijn ze ook niet representatief voor de gehele overheid. Veel departementen hebben hun beveiliging goed op orde. Maar juist door die departementen waar het niet op orde is, wordt de aandacht erop gevestigd.
Wat kan de overheid nu doen om van het imago van traag en niet doortastend te zijn af te komen, en hun beveiliging tegen bijvoorbeeld drones op orde te krijgen? Ze zouden hun plaats binnen de maatschappij moeten wijzigen van een staatsorgaan naar werken als een bedrijf op het gebied van inkoop en ontwikkeling. Op een aantal gebieden is dit al in gang gezet, maar juist daar waar het gaat om inkoop nog niet. Er zijn momenteel te veel langlopende contracten met vaste prijsafspraken, waardoor alternatieve bedrijven geen kans maken. Bedrijven die juist wel adequaat reageren op nieuwe situaties. Er zitten nog te veel ambtenaren vastgeroest op hun plek, terwijl ze met wat coaching en training veel beter zouden kunnen functioneren. De overheid zou vooral op het gebied van security afscheid moeten nemen van vaste (huis)leveranciers met langjarige contracten en over moeten gaan op de gewone vraag- en aanbodwerking van de markt.
Wake-up call
Is dit artikel nu een klaagzang over hoe erg het gesteld is met onze overheid en hoe slecht er wordt omgegaan met belastinggelden en veiligheid? Nee, absoluut niet. Wel is het hopelijk een wake-up call voor de overheid om niet te ver achterop te raken en de realiteit niet uit het oog te verliezen.
Ed Posthumus, PSC Advies
