Beoordeling van elektronische toegangscontrolesystemen in het kader van de AEO certificering bij de Douane
Afstudeerscriptie Postgraduate IT Audit Opleiding Vrije Universiteit Amsterdam Team 924 Johan Alink Frank Joosten
Scriptie "AEO certificering en toegangscontrole"
ii
Inleiding
Voorwoord Voor u ligt onze afstudeerscriptie ter afsluiting van de postgraduate IT-audit opleiding aan de Vrije Universiteit van Amsterdam. Deze scriptie is het resultaat van een leerzaam, interessant en vaak tijdrovend traject dat is uitgevoerd in de periode augustus 2008 tot en met maart 2009. Naar aanleiding van een stage, die we in het kader van deze opleiding bij de Douane hebben gevolgd, zijn we met het onderwerp van deze scriptie in aanraking gekomen. Door het schrijven van deze scriptie hebben wij veel geleerd omtrent Douane processen en fysieke beveiliging in het kader van de AEO regeling. Wij hopen en verwachten dat we met deze scriptie de vragen beantwoorden die, binnen dit onderwerp, door IT-auditors van de Douane gesteld werden. Wij hebben deze scriptie geschreven op persoonlijke titel, deze scriptie vertegenwoordigt niet de standpunten van onze werkgever de Belastingdienst of van de Douane. Het schrijven van deze scriptie was niet mogelijk geweest zonder de hulp van: Belastingdienst: Onze werkgever de Belastingdienst heeft ons in staat gesteld de IT-audit opleiding aan de VU te volgen. Joris Hulstijn: Joris is onze begeleider van de VU. Wij zijn hem zeer dankbaar voor zijn positief kritische inbreng en zijn praktische creatieve insteek. Frans Vermeulen: Frans is onze interne begeleider. Wij danken hem voor de inbreng van zijn kennis en ervaringen uit de praktijk. Medewerkers Douane: Voor de casusonderzoeken hebben wij aansluiting gezocht bij lopende AEO onderzoeken. Zonder de medewerking van de controlemedewerkers van de Douane hadden we de praktijkonderzoeken niet kunnen uitvoeren. Geïnterviewden: In het kader van deze scriptie hebben wij een aantal personen mogen interviewen. Wij zijn hen dankbaar voor de tijd die zij hebben willen vrijmaken voor het geven van het interview evenals hun heldere kijk op ons onderwerp. Docenten: Wij willen onze (gast)docenten danken voor al hun inspanningen bij het verzorgen van de colleges. Onze gezinnen: Het volgen van een opleiding en, meer in het bijzonder, het schrijven van een scriptie vergt veel tijd en inspanning. Dit is soms ten koste gegaan van de besteedbare tijd binnen onze gezinnen. Wij danken hen voor de ruimte die wij hiervoor hebben gekregen. Maart 2009
Johan Alink Frank Joosten
Scriptie "AEO certificering en toegangscontrole"
iii
Inhoud
Inhoud 1 1.1 1.2 1.3 1.4 1.5 1.6
Inleiding ................................................................................................................ AEO certificering bij de Douane .............................................................................. Aanleiding .............................................................................................................. De onderzoeksvraag ............................................................................................... Methode van onderzoek ......................................................................................... Samenvatting van deze scriptie .............................................................................. Leeswijzer ..............................................................................................................
1 1 1 2 2 3 3
2 2.1 2.2 2.3 2.4 2.5
Achtergronden AEO.............................................................................................. 4 Achtergrond AEO .................................................................................................... 4 Wet en regelgeving ................................................................................................. 5 Veiligheidseisen AEO vergeleken met andere standaarden .................................... 7 Certificeringproces AEO ......................................................................................... 9 Samenvatting van dit hoofdstuk .............................................................................10
3 3.1 3.2 3.3 3.4
Veiligheidseisen AEO ..........................................................................................11 Van AEO veiligheid naar IT beheer elektronische toegangscontrole ....................... 11 Risicoanalyse uit verschillende gezichtspunten ...................................................... 17 Verkenning elektronische toegangscontrolesystemen ............................................ 21 Conclusies van dit hoofdstuk .................................................................................24
4 4.1 4.2
Aandachtspunten bij onderzoek veiligheidseisen AEO ..................................... 26 Aandachtspunten en de vragenlijst ........................................................................26 Scenario’s .............................................................................................................28
5 5.1 5.2 5.3 5.4
Casusbeschrijvingen ...........................................................................................30 Casus 1 .................................................................................................................30 Casus 2 .................................................................................................................32 Casus 3 .................................................................................................................34 Aandachtspunten op risico’s praktijkonderzoeken .................................................. 37
6 6.1 6.2 6.3
Conclusie .............................................................................................................38 Beantwoording van de deelvragen ......................................................................... 38 Beantwoording van de hoofdvraag .........................................................................40 Reflectie ................................................................................................................40
Bijlage 1, Een aantal wetteksten van belang voor AEO certificering ............................. 41 Bijlage 2. Woordenlijst .....................................................................................................44 Bijlage 3. Geïnterviewde deskundigen ............................................................................ 45 Literatuur verwijzingen ....................................................................................................46
Scriptie "AEO certificering en toegangscontrole"
1
Inhoud
1
Inleiding
Deze scriptie heeft als onderwerp: ‘Beoordeling van elektronische toegangscontrolesystemen in het kader van de AEO certificering bij de Douane’ In dit hoofdstuk beschrijven we kort wat de AEO certificering inhoudt, beschrijven we de onderzoeksvraag en geven we de onderzoeksmethode aan. 1.1 AEO
AEO certificering bij de Douane
De afkorting AEO staat voor ‘Authorised Economic Operator’ of ‘geautoriseerde marktdeelnemer’. De AEO certificering is door de EU opgezet om een veilige internationale goederenstroom te bevorderen. Daarnaast wordt gestreefd naar zo min mogelijk oponthoud aan de buitengrenzen van de EU en zo min mogelijk administratieve lasten voor het bedrijfsleven. Mede naar aanleiding van de gebeurtenissen op 11 september 2001 en de aanslagen in Madrid zijn er strengere controlemaatregelen opgelegd aan het internationale goederenverkeer. Deze controles belemmeren de voortgang in de toeleveringsketen (‘supply chain’). De AEO certificering heeft als doel deze vertraging te voorkomen. Het goederenverkeer van gecertificeerde bedrijven wordt minder gecontroleerd of wordt sneller gecontroleerd. Voorwaarde voor certificering is dan wel dat de bedrijven passende veiligheidsmaatregelen nemen waardoor zij zelf kunnen garanderen dat de goederenstroom veilig is. Er zijn twee soorten AEO certificaat. • Douanevereenvoudigingen (certificaat ‘AEOC’ = customs simplifications) en • Veiligheid (certificaat ‘AEOS’ = security and safety). Een bedrijf kan ook de combinatie aanvragen (certificaat ‘AEOF’ = full).
Veiligheid nieuw voor Douane
Het certificaat AEOC-Douanevereenvoudigingen stelt vooral eisen aan douaneprocessen (tijdige en juiste aangiften). Voor de medewerkers van de Douane is dit bekend terrein. De beoordeling van de veiligheidseisen bij het certificaat AEOS-Veiligheid is voor de Douane nieuw. Hierbij worden vooral eisen gesteld aan het waarborgen van de integriteit van de goederenstroom. De uitvoering van deze certificering is opgedragen aan de nationale douane organisaties van de EU lidstaten. Een AEO certificaat wordt door ander lidstaten erkend. 1.2
Aanleiding
Naast de IT-audit opleiding aan de VU hebben wij via onze werkgever de Belastingdienst een stageprogramma doorlopen bij de ‘groene’ kant van de Belastingdienst, de Douane. De aanleiding voor de keuze van het scriptieonderwerp ligt in gesprekken met Douane medewerkers. Zij vertelden dat IT-auditors van de Douane die zich bezig houden met AEO certificeringonderzoeken ervaren dat het beheer van elektronische toegangssystemen in de praktijk onvoldoende is. Het beheer van de IT van toegangscontrolesystemen is bijvoorbeeld opgedragen aan de facilitaire dienst (gebouwbeheer) die geen kennis en ervaring heeft met IT. Hierbij werd gezegd dat het beoordelen van deze systemen nieuw is voor de Douane en dat er behoefte is aan richtlijnen en aanbevelingen voor het beoordelen van IT-aspecten van elektronische toegangscontrolesystemen. Deze richtlijnen worden niet aangereikt in de interne opleiding op het gebied van veiligheid in het kader van de AEO. Bij het college over fysieke beveiliging door Ernst Oud (28-1-2008) aan de VU IT-audit opleiding werd gesteld dat IT-auditors (te) weinig aandacht hebben voor IT achter fysieke beveiliging. Het doel van deze scriptie is het formuleren van aanbevelingen waarmee medewerkers van de Douane invulling kunnen geven aan het beoordelen van IT-aspecten bij elektronische toegangscontrolesytemen van een AEO aanvraag.
Scriptie "AEO certificering en toegangscontrole"
2
Inleiding
1.3
De onderzoeksvraag
Aan welke IT-beheersingsvereisten voor elektronische toegangscontrolesytemen moet een aanvrager van een AEO certificaat voldoen? Hoe toetst de Douane dit? Deelvragen: 1. Welke eisen stelt de AEO wet en regelgeving (op Nederlands en Europees niveau) aan beheer van elektronische toegangscontrole? Doel van deze vraag is om te onderzoeken of de AEO regelgeving concrete eisen aan het beheer van elektronische toegangscontrole stelt. 2. Welke normenkaders hanteren ondernemingen in de praktijk voor het beheer van IT systemen in elektronische toegangscontrole? Deze vraag heeft als doel te onderzoeken welke best-practices beschikbaar zijn. 3. In hoeverre kan de Douane algemeen bekende normenkaders gebruiken voor de beoordeling van het beheer van IT systemen van elektronische toegangscontrole? Doel hiervan is te onderzoeken of algemeen bekende normenkaders bruikbaar zijn bij het AEO onderzoek van de Douane. 4. Welke aanbevelingen kunnen worden geformuleerd? Het doel van deze vraag is aanbevelingen te vinden die behulpzaam kunnen zijn bij het AEO onderzoek van de Douane.
1.4
Methode van onderzoek
We zijn ons onderzoek gestart met het interviewen van specialisten op AEO gebied van de Douane. Daarna hebben we een literatuurstudie uitgevoerd en hebben we specialisten in het vakgebied fysieke beveiliging geïnterviewd. De resultaten uit de interviews en de literatuurstudie hebben we gebruikt om aandachtspunten te formuleren. Deze aandachtspunten hebben we gebruikt in de casusonderzoeken. Uit de ervaring die we opgedaan hebben tijdens de casusonderzoeken formuleren we aanbevelingen en komen we tot de conclusies van deze scriptie.
Scriptie "AEO certificering en toegangscontrole"
3
Inhoud
1.5
Afhankelijkheid
Reguliere gegevensverwerking
Risicoanalyse
Onderbouwing verklaring
Samenvatting van deze scriptie
Deze scriptie gaat over de vraag welke eisen aan het beheer van IT in elektronische toegangscontrole worden gesteld, in het kader van AEO certificering bij de Douane. Om deze vraag te kunnen beantwoorden hebben we eerst gekeken welke veiligheidseisen de AEO regeling stelt. Deze eisen bestaan voor een deel uit eisen aan toegangscontrole, om te voorkomen dat ongewenste manipulaties aan de goederen plaatsvinden. Toegangscontrole wordt vaak afgedwongen met een elektronisch toegangscontrolesysteem. Hoe meer systemen in de toegangscontrole worden geautomatiseerd, des te afhankelijker wordt de organisatie van het betrouwbaar en continu functioneren van deze geautomatiseerde systemen. Om het betrouwbaar en continu functioneren van deze systemen te kunnen waarborgen is een adequaat beheer nodig, dat onder andere bestaat uit fysieke en logische toegangsbeveiliging van het systeem zelf en wijzigingenbeheer. Wij hebben onderzocht uit welke componenten een elektronisch toegangscontrolesysteem bestaat, en welk specifieke normen bestaan voor het beheer hiervan. Deze specifieke normen hebben wij niet gevonden. De verwerking van gegevens over ‘toegangsrechten van personen tot ruimten’ verschilt niet essentieel van reguliere gegevensverwerking. Daarom hebben we de conclusie getrokken dat de algemeen bekende normenkaders voor beheer van IT systemen ook op de IT systemen van elektronische toegangsbeveiliging van toepassing is. Naast dit (technische) spoor hebben we ook onderzocht op welke manier een ondernemer van de algemene eis van het voldoen aan ‘passende veiligheidsnormen’ komt tot concrete maatregelen. Een gebruikelijke methode hiervoor is risicoanalyse. Wij hebben onderkend dat er verschillende invalshoeken voor het selecteren van risico’s zijn. We hebben gezien dat de Douanerisico’s niet altijd volledig overlappend zijn met risico’s die uit de bedrijfsvoering worden onderkend. Bij de risicoanalyse en AEO beoordeling moet hiermee rekening worden gehouden. Bij de beoordeling van een AEO aanvraag toetst de Douane de verklaring van de aanvrager dat aan alle eisen wordt voldaan. De Douane onderzoekt de onderbouwing van deze verklaring, van de risico’s die bij risicoanalyse zijn meegenomen, tot de wijze waarop het beheer van IT in elektronische toegangscontrole is ingericht. Daarbij zijn niet alleen de individuele maatregelen van belang maar gaat het vooral om de samenhang in het stelsel van maatregelen.
1.6
Leeswijzer
Eisen aan toegangscontrolesystemen zijn een onderdeel van de AEO veiligheidseisen. De achtergrond, Wet en regelgeving en het certificeringproces van AEO komen in hoofdstuk 2 aan de orde. In hoofdstuk 3 beschrijven we de veiligheidseisen binnen AEO, risicoanalyse en verkennen we het elektronische toegangscontrolesystemen. Uit de veiligheidseisen volgen een aantal aandachtspunten. In hoofdstuk 4 passen we de aandachtspunten uit hoofdstuk 3 toe op een aantal scenario’s. Deze aandachtspunten hebben we vervolgens gebruikt bij de praktijkonderzoeken die we in hoofdstuk 5 beschrijven. Hoofdstuk 6 bevat onze conclusie.
Scriptie "AEO certificering en toegangscontrole"
4
Achtergronden AEO
2
Achtergronden AEO
In dit hoofdstuk verzamelen wij informatie over de AEO regeling. In § 2.1 de beschrijven we achtergrond van de AEO, in § 2.2 de Wet en regelgeving. In § 2.3 vergelijken we de veiligheidseisen AEO met andere standaarden en in § 2.4 beschrijven wij in het kort het certificeringproces 2.1
Achtergrond AEO
2.1.1
Internationale handel en de logistieke keten
De AEO certificering richt zich op de in- en uitvoer van goederen. In- en uitvoer moet hier gezien worden als vervoer van goederen tussen het grondgebied van de EU en landen buiten de EU. Bij de internationale handel zijn verschillende partijen betrokken. De AEO guidelines (Guidelines, 2007) noemt als rollen: producent, exporteur, expediteur (organisator van vervoer), entrepothouder (opslag), douane-expediteur, vervoerder en importeur.
Figuur 1, Deelnemers toeleveringsketen Keten
Door de combinatie van verschillende producenten van grondstoffen, halffabrikaten en eindproducten en wereldwijd verschillende locaties van productie, verwerking, op- en overslag, in- en uitpakken en vervoer is een ingewikkeld netwerk van toeleveringsketens ontstaan. Binnen een toeleveringsketen is elke schakel afhankelijk van de snelheid en betrouwbaarheid van de voorgaande schakel.
Logistieke functie
Tijd is voor veel ondernemingen steeds meer een kritisch managementonderwerp geworden. Productlevenscycli zijn korter dan ooit, industriële klanten en distributeurs eisen just-in-timeleveringen, supermarkten willen vijf uur na bestellen worden herbevoorraad en consumenten stappen gemakkelijk over op een ander product, als hun eerste keuze niet ogenblikkelijk beschikbaar is. Door uitgekiend lead time management kan de logistieke functie een belangrijke bijdrage leveren aan het op de juiste tijd en de juiste plaats beschikbaar hebben van goederen en diensten. (Visser en Van Goor, 2008) Het is in logistieke ketens van belang dat de snelheid van leveren niet beïnvloed wordt door onvoorspelbare, langdurige grenscontroles. 2.1.2
Taak Douane
Dagelijks gaan miljoenen tonnen aan goederen ons land in en uit: over land, zee en door de lucht. Op de goederenbewegingen aan de buitengrenzen van de EU moeten controles plaatsvinden. Dit is het werkterrein van de Douane. De Douane heeft hierbij te maken met politieke, beleidsmatige en juridische regels. Deze zijn deels Europees en deels nationaal bepaald. Heffen van belasting Stopfunctie
De Douane houdt zich bezig met het heffen en innen van belastingen bij de in- en uitvoer van goederen. Dat is de 'heffings- en inningsfunctie' van de Douane. De Douane zorgt er ook voor dat goederen die het land niet binnen mogen komen, aan de grens worden tegengehouden. Dit is de zogenoemde 'stopfunctie' van de Douane. De Douane 'stopt' ook de uitvoer van bepaalde goederen, zoals wapens en munitie. Dit soort goederen mag niet worden uitgevoerd naar bijvoorbeeld landen in oorlog, of landen die te maken hebben met internationale sancties. 2.1.3
Doel AEO regeling
Zoals wij in de inleiding schreven zijn, mede naar aanleiding van de gebeurtenissen op 11 september 2001 en de aanslagen in Madrid, de controlemaatregelen in het internationale goederenverkeer aangescherpt. Deze controles belemmeren de voortgang in de logistieke keten.
Scriptie "AEO certificering en toegangscontrole"
5
Inhoud
De AEO certificering heeft als doel deze vertraging te voorkomen. Het goederenverkeer van gecertificeerde bedrijven wordt minder gecontroleerd of wordt sneller gecontroleerd. Voorwaarde voor certificering is dan wel dat de bedrijven passende veiligheidsmaatregelen nemen waardoor zij zelf kunnen garanderen dat de goederenstroom veilig is. 2.1.4 Individuele bedrijven
Olievlekwerking
Commercieel voordeel
Invloed van individuele bedrijven op de keten
Bij de onderzoeken van AEO aanvragen worden individuele bedrijven beoordeeld, onder andere op de beheersing van veiligheidsrisico’s. Een individueel bedrijf dat de veiligheid van het eigen deel van de keten wil waarborgen, zal veel werk hebben aan het ‘veilig maken’ van de inkomende goederenstroom. Vervolgens zal de veiligheid van de goederenstroom ophouden te bestaan als de volgende schakels in de keten de veiligheid niet kunnen of willen waarborgen. Een AEO gecertificeerd bedrijf zal aan zijn toeleveranciers/dienstverleners eisen stellen op het gebied van veiligheid. Dit vereenvoudigt het waarborgen van de veiligheid van de inkomende goederenstroom. Een eenvoudige manier om vast te stellen dat toeleveranciers de veiligheid van de goederenstroom waarborgen is om van de toeleveranciers te eisen dat zij ook AEO gecertificeerd zijn. De Douane verwacht dat op deze manier de AEO certificering binnen een toeleveringsketen zich als een olievlek zal verspreiden, waardoor uiteindelijk de veiligheid in de gehele toeleveringsketen is gewaarborgd. Tijdens de casusonderzoeken (hoofdstuk 5) is ons gebleken dat AEO aanvragers verwachten dat het commercieel voordelig zal zijn om AEO gecertificeerd te zijn, omdat de kans op het verkrijgen van opdrachten wordt verhoogd. Het AEO certificaat wordt als een kwaliteitskeurmerk gezien. 2.1.5
Soortgelijke initiatieven wereldwijd
Naast de Europese AEO certificering zijn er wereldwijd ook andere veiligheidsinitiatieven die te maken hebben met het grensoverschrijdende goederenverkeer. Van Hooff en Klaassen (2006) hebben een groot aantal van deze veiligheidsinitiatieven beschreven. Enkele voorbeelden: • Verenigde Staten: C-TPAT, Customs-Trade Partnership Against Terrorism (www.cbp.gov) • Canada: PIP, Partners In Protection, Canadees equivalent van C-TPAT (www.cbsaasfc.gc.ca) • Australië: Frontline • WCO: SAFE Framework, Raamwerk, basis voor onder andere de Europese AEO regeling • Zweden: StairWay / StairSec (www.stairsec.se) • Internationaal: ISPS, International Ship and Port facility Security code, beveiliging zeehavens Onderlinge erkenning van de programma’s wordt nagestreefd. 2.2
Wet en regelgeving
In deze paragraaf beschrijven wij waar de veiligheidseisen in de wet en regelgeving zijn opgenomen. CDW
De AEO certificering is geregeld in het Communautair Douane Wetboek (CDW) (CDW, 2005) en de Toepassingsverordening (TvO) (TvO, 2006). Het CDW is het douanewetboek dat geldt in alle lidstaten van de EU. De TvO bevat regels over de toepassing van de regelingen in het CDW en is ook in alle EU lidstaten geldig.
Guidelines
Naast het CDW en de TvO is voor de AEO certificering een ‘Gids voor bedrijven met een AEO certificaat’ (Guidelines) (Guidelines, 2007) gemaakt. De gids heeft geen wetskracht
Scriptie "AEO certificering en toegangscontrole"
6
Achtergronden AEO
maar geeft uitleg. De gids is opgesteld voor Douane en bedrijven om te komen tot gemeenschappelijke opvattingen over de eenvormige toepassing van de wetgeving rond AEO certificering. De gids verwijst naar de COMPACT methode, (Compact-model, 2006) een methode voor risicobeoordeling. Hierop komen we terug in § 3.2. Een aantal wetteksten uit CDW en TvO van belang voor AEO certificering, zijn opgenomen in Bijlage 1. 2.2.1 Rechtstreekse werking van Europese verordeningen
Buitengrenzen EU
Europese wetgeving
Het CDW en de TvO zijn vastgelegd in Europese verordeningen. Beide verordeningen hebben rechtstreekse werking. Rechtstreekse werking betekent dat de verordeningen direct geldig zijn in de lidstaten van de Europese Unie, zonder tussenkomst van de nationale wetgever. Deze rechtstreekse werking is gebaseerd op artikel 249 van het Verdrag tot oprichting van de Europese Gemeenschap. (zie tekst in Bijlage 1) De Europese Unie is één douanegebied. Vervoer van goederen tussen lidstaten (zogenoemd intracommunautair goederenvervoer) wordt niet gezien als in- en uitvoer in de zin van het communautair douanewetboek. De AEO certificering heeft daarom alleen effect op goederen die het grondgebied van de EU binnenkomen of verlaten, dus het goederenverkeer aan de buitengrenzen van de EU. 2.2.2
AEO criteria
Artikel 5 bis lid 2 van de CDW (zie tekst in Bijlage 1) noemt de vier criteria voor het verlenen van de AEO status: • een passende staat van dienst op het gebied van de naleving van douanevereisten; • een deugdelijke handels- en, (…), vervoersadministratie die passende douanecontroles mogelijk maakt; • (…), het bewijs van financiële solvabiliteit; en • (…), passende veiligheidsnormen. In het kader van deze scriptie besteden wij geen aandacht aan ‘passende staat van dienst’, de ‘deugdelijke handels- en vervoersadministratie’ en ‘het bewijs van financiële solvabiliteit’. Wij richten ons op de ‘passende veiligheidsnormen’ zoals in Hoofdstuk 1 is aangegeven. 2.2.3
Veiligheidsnormen
De veiligheidsmpr,em zijn gespecificeerd in artikel 14 duodecies (lees 12) lid 1 van de TvO. Dit artikel heeft 7 letters (a-g). Wij vermelden hier alleen de tekst van letters a, b en c. De volledige tekst staat in Bijlage 1. Artikel 14 duodecies (passende veiligheidsnormen) 1. De veiligheidsnormen van de aanvrager worden passend geacht, zoals bedoeld in artikel 5 bis, lid 2, vierde streepje, van het Wetboek, indien aan de volgende voorwaarden is voldaan: Gebouw a) de gebouwen die voor de door het certificaat te dekken activiteiten worden gebruikt, zijn gemaakt van materialen die verhinderen dat onbevoegden zich hiertoe onrechtmatig toegang kunnen verschaffen; Toegangscontrole b) er zijn passende toegangscontrolemaatregelen genomen om onrechtmatige toegang tot verzendingsruimten, los- en laadkades en los- en laaddekken te voorkomen; Manipulatie voorkomen c) er zijn maatregelen genomen om het toevoegen, omwisselen of wegnemen van materialen, of andere manipulaties van de goederen bij het laden, lossen, de op- en overslag te voorkomen; De drie letters stellen ieder voorwaarden aan de inrichting van de fysieke toegangscontrole. A: stelt eisen aan fysieke maatregelen om onbevoegden toegang te voorkomen B: stelt eisen aan organisatorische en procedurele maatregelen om de rechtmatige toegang tot de ruimten en of het terrein mogelijk te maken C: stelt eisen aan het toezicht op de fysieke goederenstroom (tellen kwaliteitscontrole/wegen enz.)
Scriptie "AEO certificering en toegangscontrole"
7
Inhoud
De handelingen die volgens letter C moeten worden voorkomen zijn: • Toevoegen, hiermee wordt bedoeld dat moet worden voorkomen dat misbruik van de goederenstroom wordt gemaakt voor het vervoer van goederen van derden. Dit risico noemen we ook wel bijpakken of smokkel. Dit risico wordt groter als personen die toegang hebben tot informatie over de bestemming van goederen, ook toegang hebben tot de goederen zelf. • Wegnemen, hierbij gaat het om het risico van diefstal van goederen. Hierbij kunnen de bezittingen van de onderneming (vervoermiddelen, voorraden, hulpmiddelen) worden misbruikt voor bedreiging van de veiligheid. Bijvoorbeeld: een vliegtuig dat als wapen wordt gebruikt om tegen een gebouw te vliegen, diefstal van goederen die direct een gevaar kunnen vormen voor de veiligheid (bijvoorbeeld wapens of explosieven),maar ook relatief veilige en goedkope stoffen die gebruikt kunnen worden als grondstof voor explosieven (kunstmest + diesel). Daarnaast gaat het ook om het uit de goederenstroom onttrekken van goederen die elders onrechtmatig zijn ingebracht. • Omwisselen, hierbij gaat het om een combinatie van het wegnemen van goederen en het toevoegen van andere goederen, wellicht om het wegnemen te maskeren. Op deze risico’s komen we terug in § 3.2 Risicoanalyse uit verschillende gezichtspunten. Naast deze algemene eisen noemen de toepassingsverordening en de guidelines geen specifieke maatregelen. In de AEO regelgeving is vastgelegd welke beheersingsdoelen worden nagestreefd. De manier waarop (met welke maatregelen) deze beheersingsdoelen worden bereikt wordt overgelaten aan de AEO aanvragers zelf. De AEO regelgeving is ‘principle based’, niet ‘rule based’. Zie ook de vergelijking tussen TAPA en AEO in § 2.3. 2.3
Veiligheidseisen AEO vergeleken met andere standaarden
Naast het AEO programma en de in § 2.1.5 hiervoor genoemde initiatieven bij grensoverschrijdend goederenverkeer, zijn er ook initiatieven die betrekking hebben op de veiligheid in de toeleveringketen (Supply Chain Security). Twee bekende initiatieven zijn TAPA en ISO 28000. Na een algemene beschrijving vergelijken we in dit hoofdstuk AEO met deze standaarden op de aspecten: • het certificeringproces • toepassingsgebied • gestelde eisen 2.3.1
Algemeen
AEO certificering is gebaseerd op wetgeving van de Europese Unie. De eisen hebben betrekking op goederen die worden uitgevoerd of ingevoerd in de EU. Het intracommunautaire vervoer valt buiten de reikwijdte. ISO 28000 is een internationale norm vastgesteld door de International Organisation for Standardisation. Leden zijn de nationale standaardisatie instituten (in Nederland NEN). ISO 28000, ‘Specification for security management systems for the supply chain’ heeft als doel de beveiliging van de toeleveringsketen (supply chain). TAPA (Technology Asset Protection Association) is van oorsprong Amerikaanse organisatie. Aangesloten zijn producenten en vervoerders. TAPA geeft normen voor de veilig vervoer en opslag van hoogwaardige goederen. 2.3.2 AEO
Certificeringproces
AEO eisen zijn opgesteld door de EU. Certificering wordt uitgevoerd door de nationale Douane organisaties (overheid). Het proces kan per land verschillen. In Nederland moet het bedrijf bij de aanvraag een samenvatting van een zelfbeoordeling indienen en verklaren dat men de wettelijke eisen kent en dat het bedrijf aan deze eisen voldoet. Gecertificeerde bedrijven moeten relevante wijzigingen in de organisatie melden (art. 14 quatervicies TvO).
TAPA
Scriptie "AEO certificering en toegangscontrole"
8
Achtergronden AEO
TAPA eisen zijn opgesteld door de TAPA organisatie. Certificering wordt uitgevoerd door certificeringbedrijven die door TAPA zijn aangewezen. Het certificaat is twee jaar geldig. Elk jaar moet het gecertificeerd bedrijf een zelfbeoordeling uitvoeren en deze indienen bij de certificeringinstantie TAPA kent twee soorten: FSR (Freight Security Requirements) en TSR (Trucking Security Requirements). Beide soorten kunnen op 3 verschillende niveaus worden gecertificeerd. De eisen zijn sterk op maatregelen gericht. Sommige maatregelen zijn ‘Mandatory’ (verplicht) om gecertificeerd te kunnen worden, anderen zijn niet verplicht maar er moet een bepaald percentage aan maatregelen uit de lijst ‘gescoord’ worden. ISO 28000
ISO 28000 eisen zijn opgesteld door de ISO organisatie. Certificering door geaccrediteerde certificeringbedrijven (International Accreditation Forum). Dit is de Third party audit. Een bedrijf kan er ook voor kiezen een zelfbeoordeling uit te voeren en zelf te verklaren dat aan de eisen wordt voldaan of een handelspartner (mede schakel in de toeleveringsketen) een audit te laten uitvoeren (Second party audit) De ISO 28000 eisen zijn niet direct gerelateerd aan maatregelen, maar geven richting aan het proces waarlangs de maatregelen worden geselecteerd (Risicoanalyse, prioriteren, inventariseren van bestaande maatregelen, selectie aanvullende maatregelen, beoordelen restrisico) en het documenteren van dit proces. 2.3.3
Verschillen
Het grootste verschil tussen TAPA enerzijds en AEO / ISO 28000 anderzijds is het feit dat TAPA concrete maatregelen voorschrijft waaraan bedrijven moeten voldoen. Risicoanalyse en afweging door het bedrijf is beperkt tot de selectie van de niet-mandatory maatregelen uit de lijst (score van 60% is nodig voor certificering). De AEO regelgeving en ISO 28000 schrijven geen concrete maatregelen voor. Het wordt aan bedrijven zelf overgelaten een risicoanalyse uit te voeren en op basis daarvan zelf passende maatregelen te nemen. Bedrijven hebben de mogelijkheid meer rekening te houden met de specifieke situatie. Het is echter ook moeilijker vooraf aan te geven wanneer maatregelen ‘voldoende’ zijn in de ogen van de certificeringinstantie.
Rule based / Principle based
Het voorschrijven van concreet meetbare eisen (maatregelen) in een norm wordt ‘rulebased’ genoemd. Het aangeven van een beheersingsdoel, waarbij het aan de gebruiker zelf wordt overgelaten op welke manier (met welke maatregelen) het doel wordt bereikt, wordt ‘principle based’ genoemd. TAPA is rule-based, AEO en ISO 28000 zijn principle based. 2.3.4
De verschillen in een tabel
AEO EU (basis op SAFE framework WCO) Veilige goederen stroom tussen EU en niet-EU landen Certificering Nationale Douane door (overheid)
TAPA TAPA organisatie (marktpartijen) Beschermen hoogwaardige goederen (diefstal) Door TAPA aangewezen certificeringbedrijven
Reikwijdte
Onderneming
Geldigheid
Onbepaald (Certificaat kan worden geschorst of ingetrokken)
Gebouw (of afgescheiden gedeelte) dat gebruikt wordt voor opslag/behandelen van goederen. 2 jaar
Opgesteld door Gericht op
Scriptie "AEO certificering en toegangscontrole"
ISO 28000 ISO Veiligheid in de toeleveringsketen Geaccrediteerde certificeringbedrijven (International Accreditation Forum) (Third party audit) Deel van de toeleveringsketen. Deel van bedrijf of meerdere tegelijk.
9
Inhoud
Zelfbeoorde Bij aanvraag. ling Verplichting relevante wijzigingen te melden. Type / Niveau
Douanevereenvoudiging en (AEOC) Veiligheid (AEOS) Beide (AEOF)
Insteek
Principle based
Jaarlijks (rapport naar certificeringinstelling) TAPA-C volledig zelfbeoordeling TAPA-FSR (Freight Security Requirements) A, B en C. TAPA-TSR (Trucking Security Requirements) 1, 2, 3. Rule based
First party audit (zelf verklaarde naleving mogelijk) First party audit Second party audit Third party audit
Principle based
Tabel 1, De verschillen tussen AEO, TAPA en ISO 28000
2.4
Samenvatting van de zelfbeoordeling
CMM score
Certificeringproces AEO
De procedure voor het krijgen van een AEO certificaat start in Nederland met uitvoeren van een zelfbeoordeling (‘self-assessment’) door de aanvrager. Met dit AEO self-assessment vormen bedrijven een oordeel over de kwaliteit van het eigen interne beheersingssysteem. Nadat geïnventariseerd is welke maatregelen er zijn, hoe procedures zijn vastgelegd en worden toegepast, kan de samenvatting van de self-assessment worden ingevuld. Bij de samenvatting worden volwassenheidsscores op een schaal van 1 tot 5 voor de interne beheersing op dat onderdeel ingevuld. Deze scores en bijbehorende omschrijvingen zijn afgeleid van het Capability Maturity Model (CMM) (Humphrey, 1987). De samenvatting van de self-assessment wordt met de AEO aanvraag ingediend bij het Landelijk Centrum AEO (LC). Bij de aanvraag verklaart het bedrijf dat men de wettelijke eisen kent en dat het bedrijf aan deze eisen voldoet. Het onderzoek van de Douane is gericht op de juistheid van die verklaring. 2.4.1
Beoordeling Douane
Na een beoordeling op een aantal vormvereisten formuleert het LC een controleopdracht Veel bedrijven zij bij de Douane bekend door afgegeven vergunningen. Een AEO aanvraag kan ook worden ingediend door bedrijven die bij de Douane niet bekend zijn. De opdracht bij “onbekende” klanten begint altijd met het uitvoeren van een UTB onderzoek (‘understanding the business’). Dit houdt in dat tijdens een bedrijfsbezoek zoveel informatie wordt verzameld dat kennis bij de Douane over de onbekende klant op gelijk niveau komt als over klanten die bekend zijn. Bedrijfsbezoek
Daarnaast wordt in alle gevallen een bedrijfsbezoek afgelegd waarmee het totstandkomingsproces van de self-assessment wordt beoordeeld: zijn de juiste mensen er bij betrokken? Is de risicoanalyse op de juiste wijze uitgevoerd? Hoe is men tot de scores gekomen? e.d. Afhankelijk van de bevindingen uit het bedrijfsbezoek en de scores in de self-assessment wordt ook beoordeeld of de volwassenheidsscores terecht op bijvoorbeeld een 3 zijn vastgesteld. Op sommige punten zullen Douanemedewerkers zich altijd baseren op eigen waarnemingen, op andere punten wordt beoordeeld hoe de ondernemer zelf tot de score is gekomen. Het bewijsmateriaal en de restrisico’s worden beoordeeld. 2.4.2
Horizontaal toezicht
Door zoveel mogelijk aan te sluiten bij de eigen risicoanalyse van de aanvrager is het mogelijk dat het bedrijfsleven zonder aanpassing, of met kleine aanpassingen van administratie en werkwijze, een AEO status krijgt. Zo levert de Douane maatwerk in het AEO concept (www.Douane.nl). Dit heeft ook gevolgen voor het toetsen van een aanvraag door de Douane. Scriptie "AEO certificering en toegangscontrole"
10
Achtergronden AEO
Uitkomstgericht controleren niet mogelijk
Doordat de AEO eisen open normen zijn, is het voor de Douane niet mogelijk om uitkomstgericht de maatregelen te toetsen aan een vaste norm. De aanvrager bepaalt zelf op welke manier en met welke maatregelen hij aan de open norm voldoet. Deze vorm van toetsen sluit aan bij de werkwijze van de Belastingdienst: Horizontaal toezicht, georganiseerd vertrouwen. (Staatssecretaris, 2005) De klassieke controlemethode van de Douane kenmerkt zich door verticaal toezicht en wantrouwen. De Douane selecteert en controleert.(www.Douane.nl) Bij horizontaal toezicht geldt het uitgangspunt dat de Douane start op basis van vertrouwen, en niet op basis van wantrouwen. Dat is geen blind vertrouwen maar vertrouwen dat gebaseerd is op ervaringen uit het verleden (hoe staat het bedrijf bij de Douane bekend) en de eigen verantwoordelijkheid van het bedrijf. Die verantwoordelijkheid betekent dat het bedrijf zelf alle waarborgen en veiligheidsprocedures bewaakt en niet wacht op een controle. De beoordeling door de Douane van de bestaande waarborgen, veiligheidssystemen en van een aantal formele aspecten zoals die in de EU wetgeving zijn opgenomen, biedt de douane houvast om het bedrijf al dan niet het vertrouwen te geven. Vandaar het uitgangspunt georganiseerd vertrouwen. De Belastingdienst (inclusief Douane) onderzoekt waar hij de verantwoordelijkheid voor de naleving met maatschappelijke partijen kan delen. De Belastingdienst is van mening dat de meeste burgers, bedrijven en instellingen maatschappelijke verantwoordelijkheid kunnen en willen dragen. Door scherp te onderscheiden tussen risicovolle en minder risicovolle bedrijven, en aan bonafide bedrijven bepaalde toezichtstaken over te laten, ontstaat ruimte om in het eigen toezicht de mensen die het niet zo nauw nemen met de regels aan te pakken. Horizontaal toezicht wordt zo een effectieve aanvulling op het traditionele, verticale toezicht, waarbij de overheid van bovenaf controleert of de regelgeving correct wordt nageleefd. (Belastingdienst, 2008, blz 34) De Douane wil op een slimme manier steunen op en aansluiten bij de waarborgen die deelnemers in de keten zelf al hebben genomen. Het gaat hierbij met name om de interne beheersingsmaatregelen (AO/IB) van een bedrijf. Maar bijvoorbeeld ook om ISPS-, TAPAen ISO-certificeringen en verder om C-TPAT normen of SAS 70-accountantsverklaringen. Zo verhoogt de Douane de effectiviteit van zijn controles, terwijl de lasten voor het bedrijfsleven niet hoger worden. Zo wil de Douane een gezamenlijke verantwoordelijkheid met de onderneming dragen voor naleving van wet- en regelgeving. Het toetsen door de Douane is gericht op het zo snel mogelijk goedkeuren, daarbij gebruik makend van werkzaamheden die door derden reeds zijn uitgevoerd. De Douane wil zo snel mogelijk vertrouwen op het werk van de ondernemer. Daarvoor zoekt de Douane wel een vorm van bewijs.
Uitbesteden van toezicht
In feite besteedt de Douane een deel van het klassieke toezicht uit aan de ondernemer die een AEO aanvraag indient of aan een externe derde die bij de aanvrager controleert. 2.5
Samenvatting van dit hoofdstuk
De AEO regeling heeft als doel het bevorderen van het internationale goederenverkeer, zonder concessies te doen aan de veiligheid en andere douanebelangen. De controle van de goederen aan de buitengrens van de EU wordt deels vervangen door veiligheidsmaatregelen bij de ondernemer zelf. Bij het AEO onderzoek toetst de Douane of de interne beheersing van de ondernemer voldoende veiligheidswaarborgen biedt. In het volgende hoofdstuk gaan wij in op de veiligheidseisen die aan de aanvrager worden gesteld.
Scriptie "AEO certificering en toegangscontrole"
11
Inhoud
3
Veiligheidseisen AEO
In dit hoofdstuk leggen we in § 3.1 de relatie tussen de AEO regeling in het algemeen en het specifieke onderwerp van deze scriptie: de IT van toegangscontrolesystemen. De algemene AEO veiligheidseisen per ondernemer moeten per ondernemer worden geconcretiseerd. De meest gebruikelijke methode hiervoor is risicoanalyse. De risico’s die daarbij in aanmerking worden genomen beschrijven we afzonderlijk in § 3.2 Risicoanalyse uit verschillende gezichtspunten. Tijdens het specificeren komen we op elektronische toegangscontrolesystemen. De toegangscontrolesystemen bespreken we in hoofdstuk in § 3.3 Verkenning elektronische toegangscontrolesystemen 3.1
Van AEO veiligheid naar IT beheer elektronische toegangscontrole
Er is een groot verschil in detaillering tussen de eisen die aan AEO certificering worden gesteld en daar binnen het onderwerp van deze scriptie: beheer van IT in elektronische toegangscontrole. In dit onderdeel specificeren we het scriptieonderwerp steeds verder, van AEO veiligheidseisen naar beheer van IT in toegangscontrolesystemen, langs het volgende schema: AEO certificering (§ 3.1.1)
Veiligheidseisen binnen AEO (§ 3.1.2) Fysieke beveiliging van de goederen (§ 3.1.3) Toegangscontrole (§ 3.1.4) Elektronische toegangscontrolesystemen (§ 3.1.5) Beheer van IT in elektronische toegangscontrolesystemen (§ 3.1.6) Door bij elke niveau de vraag te stellen ‘hoe is de beheersing op dit niveau geregeld’ komen wij tot aandachtspunten die we in hoofdstuk 4 verzamelen tot een vragenlijst. 3.1.1
AEO certificering
Een AEO onderzoek begint met een ‘understanding the business’ (zie § 2.4.1 Beoordeling Douane). Onderdeel daarvan is een beoordeling van de ‘control environment’. Dit omvat de toon van een organisatie en bepaalt hoe de mensen in een onderneming omgaan met risico’s, ook op veiligheidsgebied. Inclusief risicomanagementbeleid en risicoacceptatiegraad, integriteit, normen en waarden en de omgeving waarin zij opereren. Veiligheidsbeleid
Het risicomanagementbeleid en de risicoacceptatie op het gebied veiligheid is vastgelegd in het veiligheidsbeleid. Dit veiligheidsbeleid is onderdeel van de ‘control environment’. Dit leidt tot de vraag: 1.1 Wat is het veiligheidsbeleid van de onderneming? - Hoe wordt het beleid uitgedragen naar betrokkenen? (personeel, leveranciers, klanten) 3.1.2
Veiligheidseisen binnen AEO
Om in aanmerking te komen voor een AEO certificaat moet de aanvrager voldoen aan de eisen van ‘passende staat van dienst’ bij het nakomen van douaneverplichtingen, deugdelijke handels- en vervoersadministratie en fininanciële gezondheid.
Scriptie "AEO certificering en toegangscontrole"
12
Veiligheidseisen AEO
Om in aanmerking te komen voor het certificaat veiligheid moet de aanvrager ook voldoen aan de eis van het voldoen aan ‘passende veiligheidsnormen’. In deze scriptie gaan wij niet in op de eisen van nakoming van douaneverplichtingen, de handels- en vervoersadministratie en de financiële gezondheid van de aanvrager. Passende veiligheidsnormen
Wij gaan alleen in op de ‘passende veiligheidsnormen’. Deze zijn alleen van toepassing op een aanvrager van het AEO certificaat Veiligheid. Om te voldoen aan de AEO veiligheidseisen zal de ondernemer op de één of andere manier tot maatregelen moeten komen. Risicoanalyse is hiervoor de voor de hand liggende methode. Maar AEO is niet de enige reden waarom de ondernemer veiligheidsmaatregelen neemt. Ook zonder AEO is er reden veiligheidsmaatregelen te nemen.
Verschillende invalshoeken bij risicoanalyse
In hoofdstuk § 3.2 hierna hebben wij een aantal verschillende invalshoeken vergeleken. We hebben vastgesteld dat verschillende invalshoeken tot een andere lijst van risico’s leiden of tot een andere waardering van die risico’s. Dit verschil in risicoperceptie kan tot andere maatregelen leiden. De AEO onderzoeker moet inzicht hebben in de wijze waarop de risicoanalyse is uitgevoerd en welke risico’s (perspectieven/invalshoeken) daarbij in aanmerking zijn genomen. Dit leidt tot de vragen: 1.2 Is er een risicoanalyse uitgevoerd op fysieke veiligheid? - Wie zijn daarbij betrokken geweest? (intern en extern) 1.3 Welke invalshoeken zijn gehanteerd bij identificeren van risico's? - bescherming waardevolle goederen, - interne veiligheid personeel, - externe veiligheid publiek, - mogelijk misbruik van goederen en bedrijfsmiddelen 1.4 Welke kosten/baten afweging is gemaakt, welke prioriteiten zijn gesteld? 3.1.3
Fysieke beveiliging van de goederen
Een belangrijk deel van de AEO veiligheidseisen bestaat uit de fysieke beveiliging van de goederen. De AEO guidelines (Guidelines, 2007, blz 22) beschrijft dit als volgt: Wat het AEO veiligheidscertificaat betreft wordt opgemerkt dat de veiligheidscriteria voornamelijk betrekking hebben op de beveiliging van de ruimten waar de goederen zijn opgeslagen of de beveiliging van de containers.
Verschillende ruimten
Zonering
Een onderneming maakt voor de bedrijfsprocessen gebruik van verschillende ruimten. Bijvoorbeeld het buitenterrein, een kantoor of magazijn. De leiding van de organisatie of de eigenaar van het bedrijfsproces bepaalt welke ruimte voor de voortgang van het bedrijfsproces, kritische middelen en/of mensen huisvest. Niet-kritische ruimten vereisen minder specifieke beveiliging. In de fysieke beveiliging wordt zonering gebruikt om het niveau van beveiliging voor de verschillende soorten ruimten te groeperen en op elkaar af te stemmen (Coumou, 2002). . Ook de te beschermen goederen moeten op beveiligingsrisico worden geclassificeerd. Hierbij kan de bestemming van die goederen (de plaats waar ze naar toe worden vervoerd) een verhoogd risico vormen voor bijvoorbeeld bijpak (smokkel). De keuze voor de mate waarin een ruimte als kritisch worden aangemerkt is het uitgangspunt voor het treffen van maatregelen. Door de ruimten die een gelijke beveiliging vereisen bij elkaar te concentreren, wordt het eenvoudiger het beveiligingsniveau te realiseren en te handhaven. Daarvoor wordt gebruik gemaakt van zonering. Dit houdt in dat een rangorde wordt aangegeven van ruimten en sterkte van beveiligingsmaatregelen, bijvoorbeeld: • Zone 0: openbare ruimte, geen toegangsbeheersing (vrije toegang). Bijvoorbeeld de receptie. Scriptie "AEO certificering en toegangscontrole"
Inhoud
13
• Zone 1: beperkt toegankelijke ruimte met toegangsbeheersing (alleen eigen personeel en bezoekers toelaten). Deze zone kan op zijn beurt in van elkaar gescheiden ruimten worden onderverdeeld, de zogenoemde compartimenten. Bijvoorbeeld kantoorruimte en magazijn/productie. • Zone 2: zeer beperkt toegankelijke ruimte met strenge toegangsbeheersing (uitsluitend specifiek aangewezen eigen personeel toelaten). Bijvoorbeeld computerruimten, highrisk/high value goederenopslag. Per zone wordt vastgesteld welke (groepen) mensen er mogen komen. Kennis over de bestemming van goederen in combinatie met toegang tot de goederen zelf vormt een verhoogd risico. Daarom moet bij het vaststellen van het beleid rekening worden gehouden met scheiding tussen toegang tot gegevens (kantoor) en toegang tot de goederen (magazijn). Voor de beoordeling van de fysieke beveiliging is het van belang te weten hoe de organisatie deze indeling de zonering en de toegang van personen heeft opgezet, in relatie tot de aard en de omvang van de onderneming. Dit leidt tot de vragen: 2 Welk beleid wordt gehanteerd voor het verlenen van toegang tot bedrijfsterrein, kantoor, goederenopslag? - Is dit gebaseerd op een classificatie / zonering van ruimten? - Is dit gebaseerd op classificatie van goederen en de bestemming daarvan? - Is functiescheiding in het beleid verwerkt? - Is het beleid vastgelegd? - Hoe wordt het uitgedragen?
IT ondersteunt fysieke beveiliging
Relatie IT en fysieke beveiliging De relatie tussen IT en fysieke beveiliging gaat twee kanten op: • IT ondersteunt de fysieke beveiliging van goederen en gebouwen, bijvoorbeeld door een elektronisch toegangscontrolesysteem gebaseerd op pasjes. • IT componenten, zoals apparatuur en kabels, moeten fysiek worden beveiligd om de blijvende goede werking van informatiesystemen te waarborgen. Deze scriptie gaat over de eerste vorm: IT ondersteuning van fysieke beveiliging, als onderdeel van de veiligheidseisen voor AEO certificering. IT ondersteuning van fysieke beveiliging De fysieke beveiliging wordt op verschillende manieren ondersteund door IT-systemen. Een aantal voorbeelden hiervan: • Camera’s (CCTV) Beelden van videocamera’s worden vastgelegd op harde schijf van een computersysteem • Inbraakalarm Het inbraakalarm bestaat uit sensoren (beweging, geluid) verbonden met een centrale verwerkingseenheid die een alarm kan laten afgaan (stil alarm naar meldkamer, geluid of lichtsignalen op locatie) • GPS Satellietnavigatie De satelliet zender/ontvanger op een vrachtwagen, trein of boot bepaalt zijn positie, snelheid en richting via GPS satellietgegevens en stuurt deze door naar het kantoor van de vervoerder. • TREC – Tamper Resistant Embedded Controller Het elektronische zegel op een container meet positie snelheid, richting, temperatuur, druk, luchtvochtigheid van de container en stuurt deze door naar het kantoor van belanghebbenden. Het zegel geeft ook door wanneer de container geopend wordt. (Sjouwerman, 2008) • Elektronische toegangscontrole Met kaartlezers wordt de identiteit van de persoon die toegang vraagt vastgesteld Scriptie "AEO certificering en toegangscontrole"
14
Veiligheidseisen AEO
waarna een centrale verwerkingseenheid toetst of de pashouder toegangsrechten heeft en op afstand de deur of poort ontgrendelt. Uit deze voorbeelden blijkt dat op veiligheidsgebied uitgebreid gebruik wordt gemaakt van ondersteuning van computersystemen. Om dit verantwoord te kunnen doen moet kunnen worden vertrouwd op deze systemen. De systemen moeten robuust genoeg zijn om dit vertrouwen waar te maken. Afhankelijkheid geautomatiseerde systemen
Hoe meer systemen in de fysieke beveiliging worden geautomatiseerd, des te afhankelijker wordt de organisatie van het betrouwbaar en continu functioneren van de geautomatiseerde systemen. In deze scriptie beperken wij ons tot de systemen van toegangscontrole. Deze keuze is ingegeven door de volgende overwegingen: • De meeste van de bovengenoemde systemen zijn onderdeel van detecterende maatregelen. Die maatregelen voorkomen niet direct dat ongewenste situaties zich voordoen, maar registreren alleen. De preventieve werking van deze systemen is indirect via het vergroten van de ontdekkingskans of herkenning van de daders. • Een toegangscontrolesysteem is actief in het wel of niet toelaten van personen tot gevoelige ruimten en goederen. Als dit systeem niet (goed) werkt kunnen onbevoegden toegang krijgen tot ruimten en goederen en kunnen zij ‘toevoegen, omwisselen of wegnemen van materialen, of andere manipulaties’ aan goederen uitvoeren. Dit raakt direct de veiligheidseisen in de AEO regelgeving (art 14 duodecies lid 1 letter c TvO. Zie ook § 3.1.3). • De Nederlandse Douane heeft in 2008 enkele tientallen bedrijven gecertificeerd. Het betrof met name grote ondernemingen. Er worden nog enkele duizenden aanvragen verwacht. Voor de meeste van deze middelgrote bedrijven is de verwachting dat er wel een elektronisch toegangssysteem aanwezig is maar dat er geen gebruik gemaakt wordt van de overige geavanceerde systemen die genoemd worden bij het begin van deze paragraaf. 3.1.4
Toegangsrechten
Toegangscontrole
Zoals hiervoor in § 3.1.3 ‘Fysieke beveiliging van de goederen’ is vermeld moet het te beveiligen terrein en de te beveiligen gebouwen worden ingedeeld in risicoklassen: de zonering. Ook de te beschermen goederen moeten op beveiligingsrisico worden geclassificeerd. Aan de hand van de zonering en de classificatie wordt aangegeven welke personen (of groepen personen) toegang mogen hebben tot de geclassificeerde goederen en ruimten Deze indeling wordt vervolgens gebruikt bij het instellen van de toegangsrechten van een elektronisch toegangsbeveiligingssysteem. Bij toegangscontrole wordt in de regel gebruik gemaakt van pasjes waarmee een persoon toegang kan krijgen tot bepaalde ruimten. De pas heeft daarbij twee functies: • Bij de ‘poort’ krijgt de persoon vrije doorgang na tonen van de pas (visueel aan een bewaker, of elektronisch bij een paslezer) • In de ruimte is de pas het ‘bewijs’ dat de drager gerechtigd is om zich in die ruimte te bevinden. Om dit ook visueel te kunnen verifiëren kan op de pas een pasfoto zijn afgedrukt en is het meestal verplicht de pas zichtbaar te dragen. Bron: Casusonderzoeken en beleid Belastingdienst. Uitgifte van sleutels voor toegang tot een gebouw is beperkt. Een toegangspas heeft dezelfde functie als een sleutel. Passen worden breed verspreid. Vanwege de rechten die aan het bezit van een pas kunnen worden ontleend is het belangrijk dat passen alleen in het bezit zijn van personen die volgens het beleid inderdaad recht van toegang hebben. Bezit van passen door personen die volgens het beleid geen toegangsrechten (meer) hebben moet zo veel mogelijk worden voorkomen. Als personen tijdelijk toegang hebben gekregen tot bepaalde ruimten, moet dat recht worden ingetrokken als de noodzaak van de toegang is vervallen.
Scriptie "AEO certificering en toegangscontrole"
15
Inhoud
Dit leidt tot de vraag: 3.1 Hoe is het passen/sleutelbeheer ingericht? - Uitgifte / inname van toegangspassen / sleutels - In dienst treden, uit dienst treden, functiewijzigingen personeel - Tijdelijk personeel - Personeel van dienstverleners (schoonmaak, kantine) Technisch, organisatorisch, procedureel
Toegangscontrole bestaat echter niet alleen uit de technische maatregelen van een elektronisch toegangsbeveiligingssysteem. Buiten dit systeem dient er ook aandacht te zijn voor organisatorische en procedurele maatregelen. Als voorbeelden hiervan noemen we: • Schriftelijke vastleggingen van bevoegdheden ten aanzien van toegang tot ruimten en goederen. Deze vastleggingen moeten ook in functie en taakomschrijvingen worden opgenomen. • Opleiding van personeel op veiligheidsgebied. Hieronder valt ook het bewust maken van het naleven van de voorschriften zoals draagplicht toegangspas. • De “Tone at the top” met betrekking tot toegangscontrole. Het naleven van de beveiligingsvoorschriften door leidinggevenden kan het gedrag op dit gebied van de overige werknemers beïnvloeden. De controleomgeving (cultuur in de onderneming) speelt hierbinnen een belangrijke rol en is hier mede van afhankelijk. Dit leidt tot de vraag: 3.2 Hoe worden personeel en bezoekers bewust gemaakt van het belang van toegangscontrole? - Vastlegging van bevoegdheden ten aanzien van toegang tot ruimten en goederen in functie- en taakomschrijving - Voorlichting - Aanspreken op (niet-) naleven voorschriften De controleomgeving (cultuur), hebben we al meegenomen in vraag 1 over het beveiligingsbeleid. In deze scriptie richten wij ons verder op de elektronische toegangscontrole.
3.1.5
Elektronische toegangscontrolesystemen
Een verkenning van elektronische toegangssystemen hebben wij opgenomen in § 3.3 Daar gaan wij in op de componenten van zo’n systeem, leveranciers in de markt en certificaten en normen die op dit gebied worden gebruikt. Als de toegangscontrole wordt afgedwongen door een elektronisch systeem (en niet door een sleutel of een bewaker bij de deur), zijn de toegangsrechten van personen vastgelegd in een computer. Eerst wordt (conform het beleid) door een bevoegde functionaris het besluit genomen dat een persoon bepaalde deuren mag passeren (of bepaalde ruimten mag betreden). Vervolgens worden de toegangsrechten conform het besluit vastgelegd in een registratie in een computer. Daarna kan de computer de deur automatisch openen als een persoon via zijn pasje toegang vraagt. De beslissing over toegangsrechten mag alleen door een bevoegde functionaris worden genomen, de beslissing moet overeenstemmen met het beleid. Er moet bijzondere aandacht zijn voor tijdelijke autorisaties, die moeten ook tijdig weer worden ingetrokken. De genomen beslissing over toekennen of intrekken van toegangsrechten moet juist en tijdig in de computerregistratie worden vastgelegd. Deze computerregistratie moet beschermd zijn tegen ongeautoriseerde wijzigingen om te voorkomen dat toegangsrechten in het systeem worden toegekend die niet overeenstemmen met het beleid.
Scriptie "AEO certificering en toegangscontrole"
16
Veiligheidseisen AEO
Dit leidt tot de vragen: 3.3 Hoe is het autorisatiebeheer ingericht? - Wie mag de beslissing nemen voor autorisatie voor toegang tot ruimten? - Wie voert de autorisaties in in het elektronische toegangscontrolesysteem? - Hoe wordt gewaarborgd dat autorisaties tijdig worden ingetrokken? - Hoe wordt gecontroleerd of autorisaties in het systeem overeenstemmen met de genomen beslissingen? 3.4 Hoe wordt omgegaan met tijdelijke autorisaties? Bijvoorbeeld: - Bijstand bij grote drukte (kantoorpersoneel meehelpen In productie) - Toegang voor BHV personeel tot ruimten waar zij op grond van hun normale functie geen toegang hebben 3.5 Hoe wordt de werking van het toegangscontrolesysteem vastgesteld? - Logging van ongeautoriseerde toegangspogingen - Wordt deze logging geanalyseerd en wordt hierop gereageerd? (aanspreken van overtreders)
Wijzigingenbeheer
Wijzigingbeheer van het systeem zelf Het elektronische toegangscontrolesysteem moet voldoen aan de eisen die voortvloeien uit het beveiligingsbeleid. Bij nieuwbouw en bij latere wijzigingen worden de eisen voor de aannemer/installateur opgenomen in het programma van eisen (zie § 3.3.2). Bij de oplevering van het nieuwe of gewijzigde systeem wordt het systeem geaccepteerd door de gebruiker. Die moet wel eerst testen of het opgeleverde systeem aanvaardbaar is (acceptatietest). 4.1 Hoe worden wijzigingen aan het toegangscontrolesysteem beheerd? - Hoe worden de eisen samengesteld die worden gesteld aan aannemer/installateur? - Hoe is de acceptatie van wijzigingen in de inrichting van het toegangscontrolesysteem georganiseerd? (bij oplevering door de installateur) 3.1.6
Beveiliging van systeem zelf
Beheer van de IT in elektronische toegangscontrole
De toegangsregels in een elektronische toegangscontrolesysteem zijn opgeslagen in een centrale verwerkingseenheid. Een computer. Deze computer(s) moeten beveiligd zijn tegen ongeautoriseerde wijzigingen en tegen storingen. Hiervoor gelden in het algemeen de zelfde eisen als voor de computers die voor de reguliere gegevensverwerking worden gebruikt. In § 3.3.4 stellen wij vast dat er geen specifieke normenkaders zijn voor het beheer van de centrale verwerkingseenheid in elektronische toegangscontrolesystemen. Wij concluderen daarbij dat algemeen bekende normenkaders, maar ook de onderdelen 1.2.3.06 – 08 van de Guidelines toepasbaar zijn op deze centrale verwerkingseenheden. Het onderwerp van deze scriptie is deels gebaseerd op de mededeling van sommige deskundigen dat in de praktijk is gebleken dat computers voor elektronische toegangscontrole op dit punt minder adequaat worden beheerd dan de computers voor de reguliere gegevensverwerking. Dit wordt onder andere veroorzaakt door het feit dat deze computers niet in beheer zijn bij de reguliere IT-afdeling van de onderneming, maar bij een facilitaire dienst (gebouwbeheer), die IT niet als kerntaak heeft.
Scriptie "AEO certificering en toegangscontrole"
17
Inhoud
Dit leidt tot de vragen: 4.2 Waar staan de computers die de elektronische aansturing regelen van het openen van poorten en deuren? - Wie heeft toegang tot deze computers? - Is de toegangsbeveiliging (zowel fysiek als logisch) hetzelfde als bij de servers die voor de informatievoorziening aanwezig zijn? 4.3 Hoe wordt de blijvende werking van de IT in het toegangscontrolesysteem gewaarborgd? - Fysieke beveiliging apparatuur - Logische toegangcontrole voor instellingen - Logging van ongeautoriseerde toegangspogingen tot IT - Wordt deze logging geanalyseerd en wordt hierop gereageerd? (aanspreken van overtreders) - IT-audit naar de general controls rond IT 3.1.7 Uitbesteding
Uitbesteding
Bij uitbesteding van (een deel) van de beveiliging worden aan de dienstverlener de zelfde eisen gesteld als de eisen die in de onderneming zelf van toepassing zijn. De eisen worden vastgelegd in een overeenkomst (SLA) en de naleving van de eisen wordt getoetst. Dit leidt tot de vragen: 5 Als sprake is van uitbesteding van (onderdelen van) beveiliging - Hoe worden de eisen vastgesteld die worden gesteld aan de dienstverlener? (risicoanalyse, wie zijn betrokken etc) - Hoe zijn die eisen vastgelegd richting dienstverlener? (SLA) - Hoe wordt de nakoming van die eisen gecontroleerd? 3.1.8
Samenhang
De samenhang
Het doel van de maatregelen op de verschillende niveau’s is dat het geheel van de toegangscontrole effectief is. Stelt de ondernemer zelf ook vast of de samenhang van het stelsel van maatregelen inderdaad leidt tot een effectieve toegangscontrole? Dit leidt tot de vraag: 6 Hoe wordt de effectiviteit van de toegangscontrole getest? (technisch, organisatorisch, procedureel) 3.1.9
Conclusie
Door het onderwerp AEO certificering steeds verder te specificeren, via toegangscontrole naar de IT achter toegangscontrole, hebben wij het onderwerp in lagen afgepeld. Door bij elke laag de vraag te stellen ‘hoe is de beheersing van deze laag geregeld’ zijn wij gekomen tot aandachtspunten die we in hoofdstuk 4 verzamelen tot een vragenlijst. 3.2
Risicoanalyse uit verschillende gezichtspunten
De normen waaraan een bedrijf moet voldoen om een AEO status te krijgen, zijn 'open normen' dus niet tot in detail vastgesteld. In de Guidelines wordt aangegeven dat het inrichten van het interne beheerssysteem kan worden aangepakt via een risicoanalyse die in het Compactmodel wordt beschreven. Dit is echter geen verplichting. De ondernemer mag zelf kiezen hoe hij tot een beheerste omgeving komt waarmee voldaan wordt aan de veiligheidseisen van de AEO regeling. Verschillende gezichtspunten
Uit de interviews en uit de praktijkonderzoeken blijkt dat bij het bepalen van relevante risico’s op het gebied van veiligheid de ondernemer risico’s uit verschillende gezichtspunten kan benaderen.
Scriptie "AEO certificering en toegangscontrole"
18
Veiligheidseisen AEO
Hierbij gaat het bijvoorbeeld om risico’s: • uit de bedrijfsvoering • uit fysieke beveiliging in de logistieke keten • uit accountantscontrole Om voor AEO certificering in aanmerking te komen zal de ondernemer ook de risico’s uit het oogpunt van de Douane in zijn risicoanalyse moeten betrekken. In dit hoofdstuk gaan we na in welke mate de risico’s die een ondernemer uit de bovenstaande gezichtspunten afdekt overeenkomen met de douanerisico’s. Scenario’s Om risico’s (waaronder specifieke Douane risico’s) te onderkennen schetsen we hieronder een aantal scenario’s die ontleend zijn aan de praktijk via gesprekken met Douane medewerkers. Scenario 1 De server waarop de software voor het toekennen van rechten op toegangspassen is geïnstalleerd, staat niet in een afgesloten ruimte maar is ondergebracht bij de facilitaire dienst. Daarmee is deze server ook toegankelijk voor externen (klimaatbeheersing, brandbeveiliging e.d.). Daarnaast is er geen logische toegangsbeveiliging op deze server. Daarmee is het voor iedereen die toegang heeft tot deze ruimte mogelijk om toegangsrechten op pasjes aan te passen. Scenario 2 Op het gebied van back-up en recovery procedures, en de mogelijkheden tot uitwijk bij calamiteiten wordt deze server niet op eenzelfde wijze behandeld als de servers waarop de informatiesystemen draaien. In het dat zich een calamiteit voordoet loopt men het risico dat men niet meer beschikt over de gegevens wie bevoegd is en dus toegang tot bepaalde ruimten en goederen heeft. Scenario 3 Er is een adequaat toegangsbeveiligingssysteem met slagbomen, receptie pasjes e.d.. Echter doordat het bewustzijn van bepaalde risico’s bij het personeel niet aanwezig is kunnen hierdoor genomen maatregelen worden ontkracht. Bijvoorbeeld een zij(nood)deur van het magazijn moet altijd gesloten zijn. Deze deur wordt echter regelmatig gebruikt om buiten te roken. De deur blijft onbeheerd open en iedereen is in staat zo het magazijn binnen te lopen. Scenario 4 Een grote groep personen (beveiligers) heeft rechten om toegangsrechten aan te maken in het elektronische systeem. Ze loggen allemaal onder een en dezelfde naam in op het systeem. De werkplekken staan de hele dag onvergrendeld in een niet beveiligde ruimte. Er kan zonder userid en of password worden opgestart. Scenario 5 Kantoorpersoneel moet regelmatig helpen in het magazijn en heeft op de toegangspassen naast toegang tot de kantoorruimten ook volledige toegang tot het magazijn. Het risico op bijpak is groter doordat het kantoorpersoneel met de beschikkende functie (verkoop) weet wat de bestemming van de goederen is, ook ingezet wordt voor de uitvoerende functie om in het magazijn goederen te picken (klaarmaken voor verzending). Scenario 6 Bij het toekennen van rechten op toegangspassen zijn aparte groepen (met bijbehorende rechten) gemaakt voor kantoorpersoneel en voor magazijnmedewerkers. De ingang van de kantine is alleen vanuit het magazijn te bereiken. Om in de kantine te komen moet het kantoorpersoneel alsnog toegangsrechten voor de toegangsdeur van het magazijn krijgen. Hierdoor krijgen personen die kennis hebben over de bestemming van goederen toegang tot de goederen. Deze vermenging van toegangsrechten vormt een verhoogd risico voor bijpak en smokkel. Uit de centrale vraagstelling van deze scriptie willen wij aanvevelingen opstellen voor het toetsen door de Douane. Met deze aanbevelingen moeten IT-auditors van de Douane de risico’s rondom fysieke beveiliging van de scenario’s zoals hierboven beschreven onderkennen. Scriptie "AEO certificering en toegangscontrole"
19
Inhoud
3.2.1
Risico’s vanuit de eisen van de Douane
De relevantie van risico’s moet worden beoordeeld in het licht van de doelstellingen van de Douane (inachtneming fiscale eisen en veiligheidseisen) en het soort AEO certificaat dat wordt aangevraagd. De risico’s worden in het Compact model (vrijwel identiek aan artikel 4 lid 25 CDW) omschreven als: De waarschijnlijkheid dat er bij de aankomst, het vertrek, de doorvoer of de bijzondere bestemming van goederen die tussen het douanegebied van de EU en derde landen worden vervoerd en in verband met de aanwezigheid van niet-communautaire goederen zich een gebeurtenis voordoet die: – de correcte toepassing van communautaire of nationale maatregelen in de weg staat, of – de financiële belangen van de EU en haar lidstaten schaadt; of – een bedreiging vormt voor de veiligheid, de volksgezondheid, het milieu of de consumenten in de EU. Niet-communautaire goederen zijn goederen die van buiten de EU komen waarvan de invoerformaliteiten nog niet zijn afgerond. In interviews met zowel specialisten van de Douane als specialisten op het gebied van fysieke beveiliging is bevestigd dat er bij ondernemingen met name sprake is van het beveiligen tegen risico’s als diefstal en in veel mindere mate tegen (Douane-) risico’s als bijpak (smokkel). 3.2.2
Navelstaren
Risico’s vanuit de eisen van het bedrijf.
Bedrijven (commerciële ondernemingen) kijken alleen naar risico’s die een bedreiging kunnen zijn voor de continuïteit van de onderneming. Hoge kosten door verlies van bezittingen of uitval van productie of verkoop zijn een motivatie voor het nemen van maatregelen. Hierbij worden risico’s als diefstal, brand e.d. afgedekt. Specialisten in het vakgebied fysieke beveiliging noemen dit “navelstaren”. Daarnaast worden wel risico’s afgedekt vanuit wettelijke voorschriften zoals brandveiligheid, gevaarlijke stoffen of voedsel- en warenwetten. 3.2.3
Risico’s vanuit de fysieke beveiliging in de logistieke keten
In de logistieke dienstverlening (supply chain) wordt naast diefstal vooral het risico belicht van de verstoring van de goederenstroom. Door invloeden van buitenaf (bijvoorbeeld door overstroming, hevige storm of door terrorisme) kan de voortgang van de goederenstroom in gevaar komen waardoor goederen niet tijdig worden ontvangen en productie in gevaar komt. Invalshoek bedrijven: diefstal en fraude
Uit onderzoek (Gevers Deynoot–de Booij, 2006) is gebleken dat “ … een groeiend aantal bedrijven aan de slag is gegaan om hun eigen securitymanagementsysteem te verbeteren. Niet alleen om de eigen bedrijvigheid te beschermen, maar ook om te gebruiken als selectieinstrument in de keten, naar hun leveranciers toe of richting hun vervoerder of onderaannemer. Een aantal bedrijven geeft aan al rekening te houden met risico’s uit Douane oogpunt om aanslagen in de logistieke keten, maar een groter deel van respondenten van het onderzoek houdt er absoluut geen rekening mee. Uit het onderzoek blijkt dat het begrip security meer in het kader van het beveiligen van de goederen tegen diefstal en fraude wordt gebruikt. Security wordt minder in het kader van bijpak en antiterrorisme gezien.”
Garanderen logistieke betrouwbaarheid
Becker (2005) geeft een definitie van een beveiligde logistieke keten opgesteld uit het perspectief van het bedrijfsleven: “Een beveiligde logistieke keten - waarborgt dat ketenpartijen op tijd kunnen blijven leveren aan hun klant en - beschermt sociale en economische structuren - door het inzetten van operationele, tactische en strategische beveiligingsmaatregelen - voor het voorkomen van misbruik, verboden handelingen en ongewenste gebeurtenissen in de logistieke keten. De definitie stelt dus het garanderen van logistieke betrouwbaarheid voorop (…).Tenslotte bakent de definitie beveiliging af tot handelingen van buitenaf. Veiligheid (‘safety’) wordt dus niet meegenomen.”
Scriptie "AEO certificering en toegangscontrole"
20
Veiligheidseisen AEO
We concluderen dat bedrijven wel aandacht hebben voor beveiliging in de goederenketen, maar dat dit vooral gericht is op het waarborgen van de eigen bedrijfsdoelen. 3.2.4
Retourgoederen
Risico’s vanuit de accountantscontrole
In de accountantscontrole is de beveiliging van goederen vooral gericht op het beschermen van de waarden van de organisatie. Waarden mogen de organisatie niet ongeregistreerd verlaten. De maatregelen zijn met name gericht op het voorkomen van diefstal. Dit blijkt onder andere uit de volgende passages : • “Een hoge waarde van de goederen rechtvaardigt sterke maatregelen voor beveiliging hiervan”. Starreveld deel 2A hoofdstuk II § 8 : • Bewaringscontrole betreft de vraag: “Zijn alle ten behoeve van het bedrijf ontvangen of verkregen waarden, … , nog aanwezig?”. En “Het gaat om het treffen van preventieve maatregelen die gericht zijn op de voorkoming van verlies, ontvreemding of onrechtmatig gebruik of verbruik van deze activa”. Starreveld deel 1 (5e druk) hoofdstuk XIV § 2 Er wordt wel aandacht gevraagd voor retourgoederen zoals lege emballage (inderdaad leeg?) en controle op het achteraf bijsluiten van goederen in intern reeds gecontroleerde zendingen naar derden (paard van Troje). Het voorkomen van smokkel heeft bij Starreveld alleen als doel te voorkomen dat goederen de onderneming ongeregistreerd verlaten. Doelstelling is niet te voorkomen dat ongewenste goederen binnenkomen, of dat de legale goederenstroom van de onderneming gebruikt wordt voor het vervoer van goederen van derden. Bij de bespreking van maatregelen ter bescherming van bedrijfsmiddelen in deel 1 hoofdstuk XIV § 2 besluit Starreveld met de opmerking dat er tal van mogelijkheden zijn, maar dat de meeste van deze niettemin op allerlei punten onvolkomen zijn en derhalve aanvulling behoeven. Starreveld ziet deze aanvulling in controle achteraf op gegevens.
Beschermen activa
Hieruit blijkt dat het doel van de ‘Starreveldse’ accountantscontrole inderdaad alleen ligt in het beschermen van de activa van de onderneming. Bescherming tegen specifieke AEO veiligheidsrisico’s zoals mogelijk misbruik van de goederen (handelsgoederen, transportmiddelen etc.) of mogelijk misbruik van de goederenstroom voor het vervoer van goederen van derden door criminelen is op zich geen doel. Deze AEO veiligheidsrisico’s kunnen immers nooit door achteraf extra controle van gegevens worden voorkomen. Wel kunnen maatregelen die zijn genomen met het doel diefstal te voorkomen ook voor dit doel werken. Bijvoorbeeld de genoemde functiescheiding als preventieve maatregel. 3.2.5
Conclusie
Nu we de risico’s vanuit de bovenstaande gezichtspunten hebben beschreven kunnen we de vraag beantwoorden of deze risico’s passen op de AEO eisen. De verschillende invalshoeken zien verschillende risico’s. Vanuit de laatste drie gezichtspunten wordt er vrijwel niet gekeken naar veiligheid voor de omgeving (in hoeverre is de onderneming zelf een bedreiging voor de veiligheid van de omgeving). Als er geen sprake is van (direct) gevaarlijke stoffen wordt er niet nagedacht over de risico’s dat kwaadwillenden de bezittingen van de onderneming (vervoermiddelen, voorraden, hulpmiddelen) misbruiken voor bedreiging van de veiligheid. Als • • •
voorbeelden van deze risico’s kunnen worden genoemd: Vliegtuig als wapen tegen gebouw Relatief veilige stoffen gebruiken als grondstof voor explosieven (kunstmest + diesel) Het bijpakken van materialen bij zendingen met een specifieke vooraf bekende bestemming
Daartegenover zien we in de AEO eisen geen aandacht voor risico’s als brand of wateroverlast, die vanuit de eisen van het eigen bedrijf wel van belang zijn.
Scriptie "AEO certificering en toegangscontrole"
21
Inhoud
Illustratie van verschil in risicoperspectief: AEO Accountantscontrole Wegnemen (diefstal) Toevoegen Omwisselen Andere manipulaties Verlies door onheil van buitenaf (brand, water)
+ + + + -
+ +/+ +/+
TAPA
+ +/+ +/+
Fysieke beveiliging logistiek + +/+ +/+
/
Tabel 2, Verschil in risicoperspectief Perspectief heeft Op invloed op maatregelen
het totale gebied van fysieke beveiliging moet rekening worden gehouden met zowel de Douane risico’s als de risico’s uit de andere oogpunten. Het al dan niet meenemen van Douane risico’s in de beoordeling heeft gevolgen voor de te nemen maatregelen op het gebied van fysieke beveiliging.
Aanbeveling I voor de AEO beoordeling: Risio’s uit verschillende gezichtspunten overlappen elkaar gedeeltelijk. Bij de beoordeling van de risicoanalyse bij een AEO aanvraag is het van belang vast te stellen of voldoende rekening is gehouden met Douanerisico’s. 3.3
Verkenning elektronische toegangscontrolesystemen
In dit onderdeel beschrijven we de onderdelen waaruit een elektronisch toegangscontrolesysteem bestaat. Ook hebben we globaal gekeken hoe de markt van toegangscontrole er uit ziet, en wie zo al de leveranciers en installateurs zijn. 3.3.1 Componenten
Onderdelen van een elektronisch toegangscontrolesysteem
Een toegangscontrolesysteem bestaat uit de volgende onderdelen • Poorten Deuren, poorten, tourniquets of slagbomen worden op afstand bestuurd. • Lezers Leesapparatuur leest het hulpmiddel DeurDeurCentrale waarmee de persoon die toegang vraagt controllers controllers computer zich kan identificeren. Dit kan met behulp van een PIN-code, toegangskaart/ toegangspas of biometrisch via vingerafdruk of irisscan. Het lezen van de StatusLezer Lezer Slot kaart of pas kan optisch (barcode) of melder ingang uitgang besturing elektromagnetisch (RFID, magneetstrip). • Openers Figuur 2, Besturing van de vergrendeling in het slot Elektronisch toegangscontrolesysteem van de deur, poort of tourniquet. • Statusmelders De statusmelder stelt vast of de deur geopend of gesloten is. • Deurcontrollers In de deurcontroller komen de signalen van lezer(s), opener en statusmelder samen. De controller combineert de signalen en communiceert met de centrale computer. • Computer Centrale verwerkingseenheid waarin de regels zijn opgeslagen welke personen toegang hebben tot welke locaties (autorisatie). Na het vaststellen van de identiteit via de kaartlezer neemt de verwerkingseenheid een beslissing of de persoon toegelaten mag worden en stuurt een signaal naar de opener in de poort. • Communicatie De kaartlezers, openers en statusmelders zijn met kabels aan de deurcontroller verbonden. De deurcontrollers zijn met kabels met de computer verbonden. Via de kabels wordt, met vastgestelde protocollen, een signaal van kaartlezers en statusmelders naar computer gestuurd en stuurt de computer een signaal naar de openers.
Scriptie "AEO certificering en toegangscontrole"
22
Standaard computers
Veiligheidseisen AEO
De meeste componenten (randapparatuur) van een toegangscontrolesysteem zijn ‘dedicated’, specifiek gemaakt voor dit doel. De computers (servers) waarin toegangsgegevens zijn opgeslagen zijn standaard computers zoals die ook voor reguliere informatieverwerking gebruikt worden. In deze scriptie richten wij ons op de computer, de centrale verwerkingseenheid waarin de regels voor toegang zijn opgeslagen, en het beheer van deze computersystemen. 3.3.2
Keurmerk
Levering van een elektronisch toegangscontrolesysteem
Bij de bouw van een toegangscontrolesysteem zijn de volgende partijen betrokken, ontleend aan het Certificatieschema Keurmerk Elektronisch Toegangsbeheer (SSSQ, 2008): Adviesbureau Levert programma van eisen (PvE) en een overzichtstekening van het te beveiligen gebied: gebouwen (bouwlagen) en alle doorgangen Leverancier Levert de componenten van het toegangscontrolesysteem Technisch (installatie-)bedrijf Maakt detailontwerp en installeert het toegangscontrolesysteem Onderhoudsbedrijf Onderhoud en reparatie Het adviesbureau stelt meestal het PvE op en projecteert het toegangscontrolesysteem De projectie is een overzichtstekening met gebouwen (bouwlagen) en alle doorgangen met classificatie van de doorgang. Het PvE en de projectie zijn onafhankelijk van een bepaald merk en type toegangscontrolesysteem. De leverancier borgt de onderlinge samenwerking tussen de componenten. Het technisch (installatie-) bedrijf maakt het detailontwerp in combinatie met de toegepaste componenten en installeert het systeem op locatie De gebruiker is zelf verantwoordelijk voor het organiseren van het onderhoud. De gebruiker is ook verantwoordelijk voor de autorisaties in het toegangscontrolesysteem en het beheer van het computersysteem. 3.3.3
Leveranciers
Bij een van de interviews bleek dat de rollen zoals die in het hiervoor genoemde certificatieschema zijn verdeeld, soms door dezelfde bedrijven worden ingevuld. Zo vervullen technische installatiebedrijven vaak ook de rol van adviesbureau, waarna samen met de klant een geschikte leverancier wordt gezocht. Marktverdeling
Uit het interview met een deskundige bleek dat de marktverdeling in Nederland van installateurs (op gebied toegangscontrolesystemen, voor grote projecten) ongeveer is: Chubb Varel Security B.V. 20-25% (www.chubbvarel.nl) Unica Security 15-20% (www.unica.nl) Imtech 15-20% (www.imtechas.eu) GTI 10-15% (www.gti.nl) Verder zijn er nog een groot aantal kleinere installateurs. Leveranciers van componenten zijn o.a.: Iolan (www.iolan.com/nl/) Nedap security management (www.nedap-aeos.com/nl/) ARAS security (www.aras.nl) Bosch security systems (products.boschsecuritysystems.eu) KeyProcessor (www.keyprocessorservices.nl) Chubb (www.chubbsecurity.nl) HiSec (www.hisec.com) Niscayah (voorheen Securitas) (www.niscayah.nl)
Niet uitwisselbaar
De componenten van de verschillende leveranciers zijn niet onderling uitwisselbaar. Elke leverancier hanteert voor de componenten eigen standaarden.
Scriptie "AEO certificering en toegangscontrole"
23
Inhoud
De centrale computers zelf zijn wel standaard, met algemeen bekende besturingssystemen. De software voor de opslag van toegangsrechten en de besturing is echter weer specifiek gemaakt voor de componenten van één leverancier. Netwerk
De communicatie tussen computer en controllers verloopt tegenwoordig steeds vaker via standaard netwerken (TCP/IP-protocol), zodat deze communicatie ook via het normale bedrijfsnetwerk kan verlopen. 3.3.4
Normen bij elektronische toegangscontrole
Bij onderzoek naar eisen/normen op gebied van elektronische toegangscontrole vonden we: • BORG 2005 “Nationale beoordelingsrichtlijn, Procescertificaat voor het ontwerp, de installatie en het onderhoud van inbraakbeveiliging” versie 2.1, 15 december 2008. • SSSQ 2008 “Regeling Elektronisch Toegangsbeheer, Procescertificaat voor het ontwerpen, installeren, opleveren en onderhouden van elektronische toegangscontrolesystemen, 1 mei 2007. • ISO EN 50133 Alarmsystemen - Toegangsbewakingssystemen voor beveiligingstoepassingen
Beveiligingsplan
Oplevercertificaat
Programma van eisen
BORG Het BORG certificaat (BORG, 2005, blz. 2) stelt eisen aan dienstverleners die diensten verrichten rond alarminstallaties zoals hieronder beschreven. “De diensten die gecertificeerd kunnen worden, omvatten activiteiten als: - het maken van een beveiligingsplan - het ontwerpen, uitvoeren en onderhouden van de elektronische maatregelen; en - het ontwerpen en uitvoeren van de bouwkundige beveiligingsmaatregelen.” Het stelt bijvoorbeeld eisen aan het beveiligingsplan dat door de dienstverlener moet worden opgesteld. Het is de taak van de dienstverlener om, samen met de opdrachtgever een Programma van Eisen (PvE) op te stellen. Het PvE is het uitgangspunt voor het op te stellen beveiligingsplan. Bij oplevering van een alarminstallatie verstrekt een BORG gecertificeerd installatiebedrijf een opleveringsrapport en opleverbewijs/oplevercertificaat waarbij de dienstverlener verklaart dat: “ … de aan het gebouw getroffen elektronische maatregelen voldoen aan onderdeel 3.2.2 van de ‘Nationale beoordelingsrichtlijn voor het BORG procescertificaat voor ontwerpen, uitvoeren en onderhouden van inbraakbeveiliging 2005 versie 2’ en dat de aan het gebouw getroffen bouwkundige beveiligingsmaatregelen voldoen aan onderdeel 3.3.2 van die beoordelingsrichtlijn.” SSSQ De ‘Regeling Elektronisch Toegangsbeheer’ (SSSQ, 2008) stelt vergelijkbare eisen aan leveranciers/installateurs van elektronische toegangsbeheersystemen als BORG ‘Nationale beoordelingsrichtlijn’ stelt aan dienstverleners bij alarmsystemen. Het stelt eisen aan het Programma van Eisen dat de leverancier/installateur samen met de opdrachtgever opstelt. Ook wordt een oplevercertificaat aan de opdrachtgever verstrekt. Aanbeveling II voor het AEO onderzoek: De opdrachtgever ontvangt bij aanleg of wijziging van een alarminstallatie of een elektronisch toegangscontrolesysteem de volgende documenten: • Een Programma van Eisen • Een Een beveiligingsplan en/of een projectie (overzichtstekening van o.a. gebouwen, bouwlagen, doorgangen, zones) • Een opleverbewijs/oplevercertificaat. Deze documenten kunnen worden gebruikt om te beoordelen of het beveiligingbeleid hiermee adequaat wordt ondersteund.
Scriptie "AEO certificering en toegangscontrole"
24
Technische eisen
Veiligheidseisen AEO
ISO EN 50133 De ISO EN 50133 norm bestaat uit drie delen: • Deel 1: Systeemeisen • Deel 2-1: Algemene eisen voor onderdelen • Deel 7: Richtlijnen voor de toepassing De norm stelt voornamelijk (technische) eisen aan de componenten en aan het samenstellen van die componenten tot een werkend toegangscontrolesysteem. Het stelt eisen tot aan de oplevering van het systeem aan de opdrachtgever. Het stelt geen eisen aan het gebruik of het beheer van het systeem na oplevering.
Ontbrekende eisen
Ontbrekende eisen Wij zouden vooral met betrekking tot de centrale verwerkingseenheid onder andere eisen verwachten rond: • Logische toegangscontrole: bescherming van de gegevens van geprogrammeerde autorisaties • Fysieke toegangscontrole: bescherming van de fysieke toegang tot de verwerkingseenheid • Wijzigingenbeheer: Wijziging aan hardware, besturingssysteem en software moet op een gecontroleerde manier plaatsvinden Ook bij interviews met deskundigen op gebied fysieke beveiliging is ons niet gewezen op het bestaan van normen voor het beheer van de centrale verwerkingseenheid van toegangscontrolesystemen. Er werd ons verteld dat deze niet bestaan.
Invulling met normen Wij hebben vastgesteld dat er, na oplevering van het toegangscontrolesysteem, geen bekende normen zijn voor het beheer van de centrale verwerkingseenheid van toegangscontrolesystemen. Bekende normenkaders Het ligt wel heel erg voor de hand om hiervoor, bij het ontbreken van een specifieke norm, een van de bekende normenkaders of best-practices als ITIL of ISO 27002 (Code voor informatiebeveiliging) voor te gebruiken. Aanbeveling III voor het AEO onderzoek: Stel vast welk normenkader door de aanvrager wordt gebruikt voor het beheer van de centrale verwerkingseenheid van het toegangscontrolesysteem. Als geen specifiek normenkader wordt gebruikt, kan, in overleg, een algemeen bekend normenkader voor het eigen onderzoek worden geselecteerd. De aandachtspunten in 1.2.3.06, 1.2.3.07 en 1.2.3.08 in de Guidelines zijn ook toepasbaar op de centrale verwerkingseenheid van een toegangscontrolesysteem. 3.3.5
Conclusie van dit onderdeel
Een elektronisch toegangscontrolesysteem bestaat uit een computer (centrale verwerkingseenheid) met specifieke randapparatuur. In bekende normenkaders worden technische eisen gesteld aan de componenten van het toegangscontrolesysteem, aan de installateurs, installatie zelf en aan de oplevering. Er zijn geen specifieke normen bekend voor het IT-beheer. Algemeen bekende normenkaders zijn toepasbaar op de centrale verwerkingseenheid. Ook de aandachtspunten 1.2.3.06 – 08 in de Guidelines zijn toepasbaar. 3.4
Conclusies van dit hoofdstuk
Beveiliging vanuit de accountantscontrole en vanuit de logistieke keten is vooral intern gericht. De AEO regelgeving belicht de veiligheid van de goederenstroom uit een ander perspectief. Douanerisico’s
Bij het toetsen van een AEO aanvraag kan niet volstaan worden met het beoordelen van de risico’s uit het gezichtspunt van de accountantscontrole of het gezichtspunt van de voortgang van de goederenstroom. Er moet ook worden vastgesteld dat de aanvrager ook rekening heeft gehouden met risico’s uit Douane oogpunt.
Scriptie "AEO certificering en toegangscontrole"
Inhoud
25
Conclusie: De risico’s uit Douane oogpunt moeten voor een AEO certificering door de aanvrager expliciet in de risicoanalyse zijn meegenomen. Aanbeveling I voor het AEO onderzoek: Beoordeel of in het beveiligingsbeleid en beveiligingsplan aandacht is voor de specifieke Douanerisico’s. Voor beheer van IT-systemen in elektronische toegangscontrole, zijn geen specifieke normen of best-practices bekend. Algemeen bekende normenkaders en best-practices zoals ITIL en ISO 27002 (Code voor Informatiebeveiliging) zijn toepasbaar op deze IT-systemen Ook de aandachtspunten 1.2.3.06 – 08 in de Guidelines zijn toepasbaar. Aanbeveling II voor het AEO onderzoek: De opdrachtgever ontvangt bij aanleg of wijziging van een alarminstallatie of een elektronisch toegangscontrolesysteem de volgende documenten: • Een Programma van Eisen • Een Een beveiligingsplan en/of een projectie (overzichtstekening van o.a. gebouwen, bouwlagen, doorgangen, zones) • Een opleverbewijs/oplevercertificaat. Deze documenten kunnen worden gebruikt om te beoordelen of het beveiligingbeleid hiermee adequaat wordt ondersteund. Aanbeveling III voor het AEO onderzoek: Stel vast welk normenkader door de aanvrager wordt gebruikt voor het beheer van de centrale verwerkingseenheid van het toegangscontrolesysteem. Als geen specifiek normenkader wordt gebruikt, kan, in overleg, een algemeen bekend normenkader voor het eigen onderzoek worden geselecteerd. De aandachtspunten in 1.2.3.06, 1.2.3.07 en 1.2.3.08 in de Guidelines zijn ook toepasbaar op de centrale verwerkingseenheid van een toegangscontrolesysteem.
Scriptie "AEO certificering en toegangscontrole"
26
Aandachtspunten bij onderzoek veiligheidseisen AEO
4
Vragenlijst
Aandachtspunten bij onderzoek veiligheidseisen AEO
In hoofdstuk 3 hebben we een aantal aandachtspunten opgesteld bij verschillende ‘lagen’ in het traject van het algemene niveau van ‘AEO certificering’ naar het detailniveau van ‘IT beheer van elektronische toegangscontrole’. In dit hoofdstuk voegen we de aandachtspunten samen tot een vragenlijst die kan worden gebruikt bij onderzoek naar de veiligheidseisen AEO. De vragenlijst hebben wij gebruikt bij de praktijkonderzoeken die we in hoofdstuk 5 beschrijven. 4.1
Aandachtspunten en de vragenlijst
Bij de opbouw van de vragenlijst volgen we de indeling die we ook in hoofdstuk 3 hebben gebruikt: AEO certificering
Veiligheidseisen binnen AEO Fysieke beveiliging van de goederen Toegangscontrole Elektronische toegangscontrolesystemen Beheer van de IT in elektronische toegangscontrolesystemen AEO certificering 1.1 Wat is het veiligheidsbeleid van de onderneming? - Hoe wordt het beleid uitgedragen naar betrokkenen? (personeel, leveranciers, klanten) Veiligheidseisen binnen AEO 1.2 Is er een risicoanalyse uitgevoerd op fysieke veiligheid? - Wie zijn daarbij betrokken geweest? (intern en extern) 1.3 Welke invalshoeken zijn gehanteerd bij identificeren van risico's? - bescherming waardevolle goederen, - interne veiligheid personeel, - externe veiligheid publiek, - mogelijk misbruik van goederen en bedrijfsmiddelen 1.4 Welke kosten/baten afweging is gemaakt, welke prioriteiten zijn gesteld? Fysieke beveiliging van de goederen 2 Welk beleid wordt gehanteerd voor het verlenen van toegang tot bedrijfsterrein, kantoor, goederenopslag? - Is dit gebaseerd op een classificatie / zonering van ruimten? - Is dit gebaseerd op classificatie van goederen en de bestemming daarvan? - Is functiescheiding in het beleid verwerkt? - Is het beleid vastgelegd? - Hoe wordt het uitgedragen? Toegangscontrole 3.1 Hoe is het passen/sleutelbeheer ingericht? - Uitgifte / inname van toeganspassen/sleutels - In dienst treden, uit dienst treden, functiewijzigingen personeel Scriptie "AEO certificering en toegangscontrole"
27
Inhoud
- Tijdelijk personeel - Personeel van dienstverleners (schoonmaak, kantine) 3.2 Hoe worden personeel en bezoekers bewust gemaakt van het belang van toegangscontrole? - Vastlegging van bevoegdheden ten aanzien van toegang tot ruimten en goederen in functie- en taakomschrijving - Voorlichting - Aanspreken op (niet-) naleven voorschriften Elektronische toegangscontrolesystemen 3.3 Hoe is het autorisatiebeheer ingericht? - Wie mag de beslissing nemen voor autorisatie voor toegang tot ruimten? - Wie voert de autorisaties in in het elektronische toegangscontrolesysteem? - Hoe wordt gewaarborgd dat autorisaties tijdig worden ingetrokken? - Hoe wordt gecontroleerd of autorisaties in het systeem overeenstemmen met de genomen beslissingen? 3.4 Hoe wordt omgegaan met tijdelijke autorisaties? Bijvoorbeeld: - Bijstand bij grote drukte (kantoorpersoneel meehelpen In productie) - Toegang voor BHV personeel tot ruimten waar zij op grond van hun normale functie geen toegang hebben 3.5 Hoe wordt de werking van het toegangscontrolesysteem vastgesteld - Logging van ongeautoriseerde toegangspogingen - Wordt deze logging geanalyseerd en wordt hierop gereageerd? (aanspreken van overtreders) Wijzigingbeheer van het systeem zelf 4.1 Hoe worden wijzigingen aan het toegangscontrolesysteem beheerd? - Hoe worden de eisen samengesteld die worden gesteld aan aannemer/installateur? - Hoe is de acceptatie van wijzigingen in de inrichting van het toegangscontrolesysteem georganiseerd (bij oplevering door de installateur)? Beheer van de IT in elektronische toegangscontrolesystemen 4.2 Waar staan de computers die de elektronische aansturing regelen van het openen van poorten en deuren? - Wie heeft toegang tot deze computers? - Is de toegangsbeveiliging (zowel fysiek als logisch) hetzelfde als bij de servers die voor de informatievoorziening aanwezig zijn? 4.3 Hoe wordt de blijvende werking van de IT in het toegangscontrolesysteem gewaarborgd? - Fysieke beveiliging apparatuur - Logische toegangcontrole voor instellingen - Logging van ongeautoriseerde toegangspogingen tot IT - Wordt deze logging geanalyseerd en wordt hierop gereageerd? (aanspreken van overtreders) - IT-audit naar de general controls rond IT
Scriptie "AEO certificering en toegangscontrole"
28
Aandachtspunten bij onderzoek veiligheidseisen AEO
Uitbesteding 5 Als sprake is van uitbesteding van (onderdelen van) beveiliging - Hoe worden de eisen vastgesteld die worden gesteld aan de dienstverlener? (risicoanalyse, wie zijn betrokken etc) - Hoe zijn die eisen vastgelegd richting dienstverlener? (SLA) - Hoe wordt de nakoming van die eisen gecontroleerd? De samenhang 6 Hoe wordt de effectiviteit van de toegangscontrole getest? (technisch, organisatorisch, procedureel) 4.1.1
Conclusie
De aandachtspunten zoals we die in dit hoofdstuk in de vorm van een vragenlijst hebben geformuleerd, hebben we gebruikt bij de praktijkcasussen die we in het volgende hoofdstuk beschrijven. Het doel hiervan is om te onderzoeken of de vragenlijst een zinvol hulpmiddel is bij een onderdeel van het onderzoek bij een AEO aanvrager. Het deel van het onderzoek betreft de toegangscontrole van artikel 14 duodecies TvO, lid 1 letter c. 4.2
Scenario’s
Om te toetsen of de aandachtspunten in de praktijk toepasbaar zijn herhalen we hieronder de scenario’s uit § 3.2. Het specifieke Douane risico dat voortvloeit uit de diverse scenario’s moet door een of meerdere aandachtspunten worden benoemd. Scenario 1 De server waarop de software voor het toekennen van rechten op toegangspassen is geïnstalleerd, staat niet in een afgesloten ruimte maar is ondergebracht bij de facilitaire dienst. (Aandachtspunt 4.2) Daarnaast is er geen logische toegangsbeveiliging op deze server. (Aandachtspunt 4.2 en 4.3) Scenario 2 Op het gebied van back-up en recovery procedures, en de mogelijkheden tot uitwijk bij calamiteiten wordt deze server niet op eenzelfde wijze behandeld als de servers waarop de informatiesystemen draaien. (Aandachtspunt 4.3) Scenario 3 Er is een adequaat toegangsbeveiligingssysteem met slagbomen, receptie pasjes e.d.. Echter doordat het bewustzijn van bepaalde risico’s bij het personeel niet aanwezig is kunnen hierdoor genomen maatregelen worden ontkracht. (Aandachtspunt 1.1, 2 en 3.2). Scenario 4 Een grote groep personen (beveiligers) heeft rechten om toegangsrechten aan te maken in het elektronische systeem. Ze loggen allemaal onder een en dezelfde naam in op het systeem. De werkplekken staan de hele dag onvergrendeld in een niet beveiligde ruimte. Er kan zonder userid en of password worden opgestart. (Aandachtspunt 3.1, 3.3, 3.5, 4.2, 5.1 en 5.2) Scenario 5 Kantoorpersoneel moet regelmatig helpen in het magazijn en heeft op de toegangspassen naast toegang tot de kantoorruimten ook volledige toegang tot het magazijn. Het risico op bijpak is groter doordat het kantoorpersoneel met de beschikkende functie (verkoop) weet wat de bestemming van de goederen is, ook ingezet wordt voor de uitvoerende functie om in het magazijn goederen te picken (klaarmaken voor verzending). (Aandachtspunt 1 en 2) Scenario 6 Bij het toekennen van rechten op toegangspassen zijn aparte groepen (met bijbehorende rechten) gemaakt voor kantoorpersoneel en voor magazijnmedewerkers. De ingang van de kantine is alleen vanuit het magazijn te bereiken. Om in de kantine te komen moet het kantoorpersoneel alsnog toegangsrechten voor de toegangsdeur van het magazijn krijgen (Aandachtspunt 1 en 2).
Scriptie "AEO certificering en toegangscontrole"
29
Inhoud
4.2.1
Toepassen van de aandachtspunten op de scenario’s
De aandachtspunten zijn als open vragen geformuleerd. ‘Hoe is xyz ingericht? Bij het toepassen van de aandachtspunten op de scenario’s ontdekten wij dat de vorm van de vragen niet geheel toepasbaar is in een tabel. Om de vragen toch in de tabel weer te geven hebben we ze anders geformuleerd. De vragen zijn in een meer gesloten vorm beter met Ja of Nee te beantwoorden. Bijvoorbeeld ´Is xyz ingericht´? Voor de beoordeling van het totstandkomingsproces en de inrichting van de beheersing van de veiligheidseisen voldoet de formulering van de aandachtspunten zoals in hoofdstuk 3 en § 4.1.1 tot en met 4.1.8. Per scenario wordt aangegeven bij welke vraag een mogelijk risico op het gebied van veiligheid wordt geconstateerd. Vraag Scenario 1 2 1.1 Is het veiligheidsbeleid beschreven en wordt dit uitgedragen naar betrokkenen? 1.2 Is een risicoanalyse uitgevoerd waarbij meerdere partijen bij betrokken zijn en diverse invalshoeken zijn belicht? 2 Is het beleid voor het verlenen van toegang tot terreinen / gebouwen vastgelegd? Wordt dit uitgedragen naar betrokkenen? 3.1 Is er een procedure voor sleutelbeheer? 3.2 Is het personeel en bezoek zich bewust van het belang van toegangscontrole? 3.3 Is er een procedure voor het toekennen, intrekken en opvoeren van autorisaties? 3.4 Is er een procedure voor tijdelijke autorisaties? 3.5 Vindt toetsing plaats op de werking van het toegangscontrolesysteem? (analyse logging) 4.1 Is er een procedure voor Change Management voor het toegangscontrolesysteem? 4.2 Is de logische en fysieke toegang tot het toegangsbeveilingsX systeem beveiligd? 4.3 Vindt er toetsing plaats op de werking van het IT systeem achter X X de toegangscontrole? 5.1 Zijn er eisen gesteld aan dienstverleners voor toegangsbeveiligng? 5.2 Is er controle op het nakomen van de eisen die gesteld worden aan dienstverleners voor toegangsbeveiliging? 6 Wordt de effectiviteit van de totale toegangscontrole getest? Tabel 3, Toepassen van de aandachtspunten op de scenario's
Scriptie "AEO certificering en toegangscontrole"
3 4 5 6 X X X X X X X X X X X
X
X X
30
Casusbeschrijvingen
5
Casusbeschrijvingen
In het kader van het onderzoek voor deze scriptie hebben wij een aantal bedrijven bezocht. De bedrijven zijn geselecteerd op het feit dat zij een AEO aanvraag hebben ingediend. Onze onderzoeken hebben deels gelijktijdig met de certificeringonderzoeken door de Douane plaatsgevonden en deels naast het douaneonderzoek. Naast de beschreven casussen hebben we samen met Douane collega’s nog andere AEO aanvragers bezocht. Deze bedrijven waren door aard, omvang of inrichting niet geschikt om als casus in deze scriptie te dienen. We hebben bijvoorbeeld een bedrijf bezocht dat de AEO status had aangevraagd. Bij ons bezoek bleek dat de self-assessment onvoldoende was onderbouwd, de aanvraag werd ingetrokken. De casusbeschrijvingen zijn geanonimiseerd. 5.1
Casus 1
Inleiding Het bedrijf Casus1 is als logistiek dienstverlener opgericht door de moedermaatschappij van Opdrachtgever1. Casus1 voert werkzaamheden uit voor Opdrachtgever1 en de moedermaatschappij van Opdrachtgever1. Casus1 is gevestigd naast het bedrijfsterrein van Opdrachtgever1. Er zijn ongeveer 125 mensen werkzaam bij Casus1. Veiligheidsbeleid / risicoanalyse Er is een calamiteiten- en noodplan voor de gehele onderneming. Daarnaast heeft elke afdeling een eigen beschrijving op het gebied van veiligheid. Deze is opgenomen in het huishoudelijk reglement per afdeling. Er is geen bedrijfsbreed veiligheidsbeleid. Naar aanleiding van de self-assessment AEO die is uitgevoerd zijn de onderwerpen die in de guidelines zijn opgenomen uitgezet naar de diverse afdelingsmanagers. Er is geen specifieke risicoanalyse uitgevoerd. Naar aanleiding van de guidelines is er per afdeling een analyse uitgevoerd en aangegeven welke maatregelen genomen moeten worden. Hierbij is eerder sprake van gezond verstand dan van een gestructureerde risicoanalyse. Casus1 is van mening dat ook de Douane risico’s en veiligheidsaspecten aan de orde zijn gesteld. Als voorbeeld hiervan noemt men de lekbakken die in het magazijn onder de stellingen voor chemische vloeistoffen zijn aangebracht. Naar aanleiding van de self-assessment heeft men prioriteiten gesteld aan de onderdelen waarop een 2 is gescoord. Casus1 heeft zelf geen norm gebruikt als het gaat om (fysieke) beveiliging. Indien dit is gebeurd bij het instellen van diverse beveiligingssystemen is dit ingegeven geweest door Opdrachtgever1. Beleid voor toegangsrechten Voor de toegangspasjes wordt gebruik gemaakt van het systeem dat Opdrachtgever1 hanteert. Vast personeel heeft een pas met foto. Voor het toekennen van rechten is een procedure opgesteld. Deze procedure houdt in dat bij nieuw personeel of bij wijzigingen in bestaande rechten P&O (via leidinggevende) de benodigde gegevens doorgeeft aan het beveiligingsbedrijf (Securitas) van Opdrachtgever1. De medewerker meldt zich bij Securitas waar de foto wordt gemaakt. Het aanmaken en uitgeven van de pasjes gebeurt door de medewerkers van Securitas op basis van de ontvangen gegevens van P&O. Er worden pasjes uitgegeven die via vaste groepen toegangsrechten hebben voor het terrein en de gebouwen van Casus1. Per profiel is bepaald op welke tijden en dagen toegang wordt verleend. Vast personeel heeft van maandag tot en met vrijdag van 7.00u tot 19.00u toegang tot zowel het kantoor als het magazijn. Kantoorpersoneel moet oranje hesjes dragen als ze in het magazijn komen. Voor kantoor en magazijn zijn dus geen afzonderlijk domeinen aangemaakt. De enige uitzondering hierop is de server-ruimte waarvoor alleen de IT-ers en de beveiliging rechten hebben. Naast de passen met foto zijn er passen in omloop voor “contractors”, bezoekers en chauffeurs. De contractor passen worden ook gebruikt door de beveiligers. Daarnaast worden ze uitgegeven aan tijdelijk personeel en externe die voor een langere periode toegang moeten krijgen (bijvoorbeeld extern accountant en schoonmakers). BezoekersScriptie "AEO certificering en toegangscontrole"
Inhoud
31
passen worden uitgegeven aan incidentele bezoekers. De bezoekers melden zich bij de portier en ontvangen de pas. Op aanwijzing van de portier kunnen ze over het terrein naar het kantoorgebouw of het magazijn lopen. Per pas kan ingesteld worden over welke termijn en (via domeinen) tot welke terreinen (poorten) en gebouwen (deuren) toegang wordt verleend. Volgens een werknemer van Securitas die passen uitgeeft zijn ook de domeinen op de bezoekers en contractor passen “ruim” ingesteld (alle domeinen 24-7 met uitzondering van de serverruimte). Omdat deze passen vaak van eigenaar wisselen blijven deze zo ingesteld om te voorkomen dat de domeinen en tijden bij elke nieuwe uitgifte moeten worden beoordeeld en opnieuw worden ingesteld. Het transport wordt door externe vervoerders geregeld. Dit zijn vaste relaties. Chauffeurs moeten zich melden aan de poort (portiersloge met personeel van extern beveiligingsbedrijf). Nadat de portier groen licht krijgt van de administratie (de zending is aangemeld) krijgt de chauffeur een pas waarmee hij de slagboom kan openen en waarmee toegang tot een deur van de laad/losadministratie verkregen kan worden. Aan de balie van deze administratie worden de papieren gecheckt en wordt het nummer voor het laad/losdock vrijgegeven. De chauffeur kan de vrachtwagen klaarzetten. Samen met een heftruckchauffeur van Casus1 wordt de vrachtwagen geladen. Bij het verlaten van het terrein wordt de pas bij de slagboom ingevoerd. Deze pas wordt ingenomen en de portier opent vanuit de portiersloge de slagboom zodat het terrein van Casus1 kan worden verlaten. De rechten op de pasjes worden niet getest. “Als er te weinig rechten op zouden zitten meldt de gebruiker zich wel als hij voor een gesloten poort / deur staat.” Of er teveel rechten op een pasje zitten wordt niet getest. Programmatuur, werkstations en servers Securitas gebruikt voor het instellen van de autorisaties op de passen en het aanmaken van de passen het programma Interflex. Daarnaast gebruiken ze ABC voor het registreren van bezoekers. In ABC zijn via een koppeling met Interflex ook gegevens van passen zichtbaar. In Interflex legt Securitas alle gegevens van de pashouders en de bijbehorende rechten (domeinen en tijden ) vast. Om in te loggen in Interflex en ABC gebruiken alle beveiligers van Securitas dezelfde username en hetzelfde password. De wijziging wordt gelogd met datum en tijdstip. Er zijn echter altijd meerdere beveiligers werkzaam op hetzelfde tijdstip. Het instellen van toegangsrechten en aangebrachte wijzigingen in verleende toegangsrechten op pasjes zijn dus niet toe te wijzen aan de persoon die deze rechten heeft verleend. De werkstations waarop Interflex en ABC draaien, staan de hele dag (onvergrendeld) aan, in het portiersgebouw. De server waarop Interflex en ABC (met bijbehorende data) draaien staan in de afgesloten serverruimte van Opdrachtgever1. Hiertoe hebben alleen de IT-ers van Opdrachtgever1 en de beveiligers toegangrechten. Deze rechten worden via de reguliere procedure (via P&O, door beveiligers van Securitas) verleend. De servers worden dagelijks gebackuped via de normale back-up procedure van Opdrachtgever1. Geslaagde of geweigerde toegangspogingen met passen worden niet gelogd. Wijzigingen toegangscontrolesysteem Als er wijzigingen in de programmatuur van Interflex worden doorgevoerd wordt er voor installatie niet meer getest bij Opdrachtgever1. Men gaat er bij Opdrachtgever1 van uit dat er voldoende getest is bij Interflex. Er komen na installatie van een nieuwe release van Interflex regelmatig fouten voor in de koppeling met ABC. Deze worden gemeld aan Interflex en door Interflex opgelost. Autorisatiebeheer Via Opdrachtgever1 worden periodiek overzichten gegenereerd van de rechten op passen die in omloop zijn. Incidenteel worden rechten aangepast naar aanleiding van deze lijst. In Scriptie "AEO certificering en toegangscontrole"
32
Casusbeschrijvingen
2008 heeft Securitas alle toegekende rechten gescreend. Naar aanleiding daarvan hebben er veel correcties plaatsgevonden (aanpassing en intrekken rechten). Dit was een eenmalige, tijdrovende actie. Hierop heeft verder geen vervolgactie plaatsgevonden. Uitbesteding Met Securitas is een overeenkomst afgesloten waarin de uit te voeren taken zijn beschreven. Dagelijks rapporteert Securitas de uitgevoerde taken. Als basis voor de overeenkomst is de overeenkomst die Opdrachtgever1 met Securitas heeft gebruikt. Deze overeenkomst is daar waar nodig aangepast aan de specifieke eisen van Casus1. Samenvatting / opvallende punten • Sterke afhankelijkheid van Opdrachtgever1 • Geen specifieke Douane risico’s beoordeeld • Kantoor en magazijn zijn geen aparte domeinen • Procedurele maatregel voor kantoorpersoneel in magazijn (hesjes) • Tijdelijke passen hebben 24-7 rechten voor alle zones • Alle beveiligers gebruiken dezelfde username en password om in te loggen in systeem voor verlenen toegangsrechten op passen • Incidenteel controle op te ruime rechten • Geen logging van toegangsrechten met passen • Computers toegangsbeveiliging in beheer bij de ‘normale’ automatiseringsafdeling 5.2
Casus 2
Inleiding Bedrijf Casus2 verzorgt in het kader van haar logistieke dienstverlening het Europese distributiecentrum van Opdrachtgever2. De daarbij gebruikte ICT is speciaal voor deze vestiging en deze klant opgezet. Opdrachtgever2 opereert als enige opdrachtgever voor Casus2. De door Casus2 ontvangen en opgeslagen goederen zijn en blijven eigendom van Opdrachtgever2. Opdrachtgever2 detacheert altijd een aantal werknemers bij Casus2. Veiligheidsbeleid / risicoanalyse Casus2 heeft een beveiligingsbeleid. Dit beleid is vastgelegd in een security handboek. In dit handboek worden diverse procedures beschreven om de veiligheid van werknemers te verhogen en de schade aan producten van de klant te beperken. Daarnaast is er een calamiteitenplan. Hierin is opgenomen welke personen bepaalde acties ondernemen in geval zich een calamiteit voordoet. Op elke afdeling is een BHV-er aanwezig. Bij het opzetten en inrichten van de (IT voor) fysieke beveiliging is geen gebruik gemaakt van een algemeen erkende norm of best practice. Ook hier valt weer de term “gezond verstand”. Bij het invullen van de self-assessment heeft Casus2 gebruik gemaakt van de expertise die bij het moederbedrijf aanwezig is. Bij de risicoanalyse heeft Casus2 gebruik gemaakt van de Tapa self-assessment die bij het moederbedrijf reeds was uitgevoerd. Naar aanleiding van deze risicoanalyse zijn er wijzigingen doorgevoerd om het Douane risico smokkel te mitigeren. Het toegangsbeveiligingssysteem. Beleid voor toegangsrechten Alle werknemers hebben een pas met foto en daarmee toegang tot bepaalde ruimten. Daarbij wordt gebruik gemaakt van een zevental groepen. Werknemers die in het magazijn werken hebben alleen tijdens openingstijden van de kantine toegangsrechten tot dat deel van het gebouw waar de kantine (en de administratie) zich bevindt. Werknemers die op de administratie werken hebben zowel toegangsrechten tot het magazijn als de administratie. Voor de toegang van zowel het magazijn als de administratie zijn bloktijden ingesteld. Buiten deze tijden geeft de pas geen toegang. Daarnaast hebben een beperkt aantal werknemers extra rechten. Bijvoorbeeld de Technische dienst heeft 24-7 toegang tot alle ruimten m.u.v. de serverruimte. Toegang tot de serverruimte is alleen voor de IT-ers voorbehouden. Het komt regelmatig voor dat kantoorpersoneel moet ondersteunen in het magazijn.
Scriptie "AEO certificering en toegangscontrole"
Inhoud
33
Voor het verstrekken van pasjes is een procedure opgesteld. Bij indiensttreding moet de verantwoordelijk manager een formulier invullen waarop de groep die nodig is, de tijden waarop toegang moet worden verleend en de periode waarin de pas moet werken worden aangegeven. Via P&O wordt het formulier uiteindelijk doorgegeven aan Securitas voor het uitgeven van een tijdelijke pas. De nieuwe werknemer wordt door P&O op de hoogte gesteld van de regels omtrent de pasjes. In de huisregels die aan elke werknemer worden verstrekt is de regeling voor de pasjes opgenomen. Hierin staat onder andere dat de werknemers een borg betalen voor de pasjes. Verlies van de pas moet direct gemeld worden zodat de pas geblokkeerd kan worden. Bij verlies wordt voor een beperkte periode een tijdelijke pas aangemaakt. Vindt de werknemer de originele pas in die periode niet terug, dan krijgt hij, tegen betaling van de borgsom, een nieuwe fotopas. Tijdelijk personeel krijgt een pas zonder foto. Ook hiervoor moet de verantwoordelijke manager het formulier invullen dat P&O doorgeeft aan Securitas voor het uitgeven van een tijdelijke pas. Het gedetacheerde personeel van Opdrachtgever2 krijgt een pas met standaard een gebruikstermijn van één jaar. Voordat bezoekers op het terrein kunnen moeten ze zich eerst melden bij een slagboom. Via een camera en microfoon is er contact met een werknemer op de administratie die de slagboom kan bedienen. Bezoekers krijgen geen pas maar moeten zich inschrijven en krijgen dan een batch die bij de receptie op nummer wordt uitgegeven. De batch werkt niet voor het openen van deuren en of poorten. Bezoekers moeten altijd door een personeelslid worden begeleid in het gebouw en ook weer bij het uitschrijven en verlaten van het pand. Programmatuur, werkstations en servers De software die gebruikt wordt voor het toegangscontrole systeem is genaamd NEDAP. Wijzigingen in de software worden door de leverancier doorgevoerd. Dit gebeurt in de serverruimte bij Casus2 in het bijzijn van een van de IT-ers van Casus2. Vóór installatie van deze wijzigingen wordt er bij Casus2 niet meer getest. Men gaat er bij Casus2 van uit dat er voldoende getest is door de leverancier. De database met autorisaties blijft te allen tijde bij Casus2. De data staan op een stand-alone server die niet vanaf een locatie buiten de serverruimte kan worden benaderd. Alle aanpassingen en of wijzigingen moeten dus in de serverruimte worden uitgevoerd. Alleen bij de overgang van zomer- naar wintertijd en omgekeerd controleert een van de ITers of de pasjes nog binnen de juiste bloktijden toegang verlenen tot het terrein en het pand. Voor het overige vinden er geen testen plaats. Als er te weinig rechten op zouden zitten meldt de gebruiker zich wel als hij voor een gesloten poort / deur staat. Of er teveel rechten op een pasje zitten wordt niet getest. Het toegangsbeveiligingssysteem wordt beperkt gelogd. Alleen van de geslaagde toegangspogingen worden datum, tijd, pas en de tijd dat de betreffende deur open is geweest gelogd. Deze logging wordt één jaar bewaard en alleen bij een incident bekeken. Pogingen om toegang te krijgen tot deuren of poorten waartoe men geen toegang heeft worden niet gelogd. Maandelijks wordt er voor Opdrachtgever2 een overzicht gemaakt met alle autorisaties die via het pasjessysteem zijn verleend. Met name voor de werknemers van Opdrachtgever2 die bij Casus2 zijn gedetacheerd vinden naar aanleiding van dit overzicht regelmatig aanpassingen plaats. Om in het toegangscontrolesysteem in te loggen moet eerst op het besturingssysteem van de server worden ingelogd met een eigen username en password. Bij drie mislukte pogingen wordt de betreffende user geblokkeerd. Daarnaast moet op de onderliggende applicatie worden ingelogd. Voor het pasjessysteem wordt door de beide IT-ers ingelogd met dezelfde username en met hetzelfde password. Er worden geen eisen gesteld aan het password. Er wordt niet gelogd wie er bepaalde wijzigingen doorvoert. De logische en fysieke beveiliging van deze server is voor het overige gelijk aan de eisen voor de servers die gebruikt worden voor het informatiesysteem.
Scriptie "AEO certificering en toegangscontrole"
34
Casusbeschrijvingen
Elke avond wordt er door de afdeling IT een full back-up opgestart. Alle drie de servers voor de fysieke beveiliging draaien hierbij mee. De back-ups worden extern opgeslagen. Voor het recoveren en testen van de back-up zijn geen richtlijnen opgesteld. Men heeft m.b.t. de uitwijkmogelijkheden contractueel afspraken gemaakt voor vervangende hardware. Overige Binnen het magazijn wordt bij de uitgaande goederenstroom functiescheiding toegepast. Nadat de order door een medewerker van de administratie is toegewezen wordt door een magazijn medewerker de order ”gepickt”. Via de scanner ziet de magazijnmedewerker de aantallen die van een bepaald goed moeten worden verzameld. Hij brengt de goederen voor een zending bij elkaar. Na het volledig picken vindt er een kwaliteitscontrole plaats door een ander medewerker in het magazijn. Iedere verpakte order krijgt een unieke barcode voor de verdere identificatie. Hierna worden in een apart deel van het magazijn de zendingen door een derde medewerker verpakt en gesloten. Na het inpakken wordt op basis van een streepjescode de zending nogmaals geïdentificeerd en gecontroleerd op gewicht. Daarna wordt de order doorgezet naar dat deel van het magazijn waar de goederen gereed worden gemaakt voor verzending. Hier wordt de order afgescand en de zending wordt voorzien van een adreslabel. De zending krijgt nu de status “shipped” en wordt binnen het magazijn verplaatst naar de laaddeur in het crossdock outbound. Voor het systeem van fysieke toegangsbeveiliging vinden geen specifieke tests plaats. Samenvatting / opvallende punten • Kantoor personeel heeft ook rechten voor magazijn • Kantoorpersoneel helpt regelmatig in magazijn • IT ers gebruiken hetzelfde userid en password voor server toegangsbeveiliging • Administratie / kantine is één zone • Magazijnpersoneel heeft (beperkte) rechten voor zone administratie/kantine 5.3
Op tijd leveren
Casus 3
Inleiding Het bedrijf Casus3 is een internationale vervoerder van pakketten. Het meeste vervoer is B2B (business to business). Het bedrijf concentreert zich op het vervoer ‘LTL’ (Less than a Truck Load). Functie in het logistieke proces is die van ‘integrator’, vracht van verschillende aanbieders wordt verzameld en gezamenlijk vervoerd. Het bedrijf heeft groot (commercieel) belang bij het op tijd (volgens afspraak) afleveren van de aangeboden vracht. Om deze reden stelt men vrij strenge eisen aan aanbieders en aan de vracht die vervoerd moet worden. Men kan het zich niet veroorloven dat een hele vrachtwagen vol pakketten vertraging oploopt omdat een problemen is ontstaan bij één van de pakketjes in de vrachtwagen. Casus3 bestaat uit diverse landgeoriënteerde business units. Het vervoer over de weg in Europa (ook buiten de EU) en Noord-Afrika wordt geregeld door een apart bedrijf binnen het concern, Casus3 Road Transport. Het luchtvracht wordt vervoerd door door de eigen luchtvaartmaatschappij Casus3 Air. Het bedrijf Casus3 heeft in Nederland twee afzonderlijke AEO aanvragen ingediend voor Casus3 Nederland B.V. en voor Casus3 Road Transport B.V. De taakverdeling tussen de beide bedrijven is als volgt: • Casus3 Nederland B.V. (hierna C3NL) heeft de commerciële taak om in Nederland klanten te werven. Er zijn een aantal regionale depots die de vervoersopdrachten binnen krijgen. Pakketjes worden meestal bij de klant opgehaald (PUD vervoer, Pick Up & Delivery), naar het depot vervoerd en daar gesorteerd. Binnenlandse vracht gaat naar een ander Nederlands depot. Buitenlandse vracht gaat via de internationale hub naar een hub in het buitenland. Inkomende goederen volgen de omgekeerde weg. • Casus3 Road Transport B.V. (hierna C3RT) is het internationale wegvervoerbedrijf van Casus3. Het verzorgt het vervoer van depots naar de internationale hub. Na sortering in de Hub gaan de goederen met vrachtwagens naar één van de internationale hubs in Scriptie "AEO certificering en toegangscontrole"
Inhoud
35
Europa (ook buiten de EU) en Noord-Afrika. Luchtvracht gaat per vrachtwagen van de hub naar de luchthaven. C3RT werkt uitsluitend voor de Casus3 bedrijven. C3RT heeft geen externe klanten. C3RT besteedt een deel van het feitelijke vervoer uit aan externe vervoersbedrijven.
Beveiligingsbeleid
Organisatie van de beveiliging Op divisieniveau heeft de bedrijfsleiding het beveiligingsbeleid internationaal vastgelegd in: • Security Strategy • Security Policy • Security Policy Statement • Minimum Security Standards Per land is er een security afdeling die dit beleid moet vertalen in lokale veiligheidseisen, rekening houdend met de specifieke wetgeving van het land. Voor Nederland gebeurt dat in de Benelux organisatie. De Security afdeling Benelux is verantwoordelijk voor het maken van lokaal beleid (beleid, procedures en instructies) en voor de controle (audit) op de naleving daarvan. Uitvoeren/implementatie van het beleid is de verantwoordelijkheid van de vestigingsmanagers (depots, hub). In het organisatieschema van de Security afdeling is het Plan, Do, Check, (re-)Act principe verwerkt.
Security audit
De Security afdeling voert een audit-programma uit, dat is ingedeeld in onderwerpen (personeel, gebouw, toegangscontrole, vrachtwagens etc.) waarbij elk onderwerp elk jaar tenminste één keer geraakt wordt bij elke vestiging. Security rapporteert aan de managing director van de business unit. Andere certificeringen • De depots van Express Nederland en de hub van C3RT zijn TAPA-A gecertificeerd (score van de laatste certificering van de hub 97% waar certificering bij 60% plaatsvindt). • De depots en de hub zijn ‘Erkend Luchtvrachtagent’. • De automatiseringsafdeling is ISO 27001 gecertificeerd. Het toegangscontrolesysteem Voor de toegangscontrole wordt per vestiging onderscheid gemaakt tussen verschillende ruimten: • kantoor • magazijn • wachtruimte chauffeurs • verschillende bijzondere ruimten (restricted access, high-risk area) Passen voor de verschillende afdelingen hebben verschillende kleur, zodat toegangsrechten ook visueel herkenbaar zijn. Toegangscontrole wordt afgedwongen met een elektronisch toegangscontrolesysteem, merk Lenel. Lenel levert zowel de hardware als de software. Toekennen van toegangsrechten en verstrekken van passen Toegangspasjes worden op aanvraag van de leidinggevende aangemaakt. Op het interne netwerk (IntraNet) zijn hiervoor aanvraagformulieren en instructies beschikbaar. De aanvraag wordt getekend door de lijnmanager. Deze controleert of aan de eisen voor betreffende toegangsrechten is voldaan: uittreksel strafregister / verklaring onbesproken gedrag, eigen verklaring, security awareness training gevolgd. De aanvraag wordt naar de Surveillance afdeling in Brussel gestuurd waar de toegangspas wordt aangemaakt, met pasfoto bedrukt. Pas wordt opgestuurd naar de vestigingsmanager. Deze laat de toegangsrechten op deuren in het Lenel systeem zetten (2 personen per vestiging zijn hiervoor geautoriseerd). Pas wordt uitgereikt aan personeelslid (tekent voor ontvangst). Doordat toegangsrechten op deuren lokaal in het Lenel systeem worden ingevoerd, kan de vestigingsmanager zijn verantwoordelijkheid nemen. Scriptie "AEO certificering en toegangscontrole"
36
Casusbeschrijvingen
Meervoudige toegang (=meerdere vestigingen) alleen onder strikte voorwaarden. Alleen als werknemer tenminste 2 dagen per week op de vestiging is. Vestigingsmanager moet toestemming geven.
Restricted access
Toegang tot restricted access ruimten en high-risk area’s. Naast de lijnmanager moet ook de functioneel verantwoordelijke voor de betreffende ruimte de aanvraag tekenen. Tevens moet hoofd security de aanvraag goedkeuren. Voorbeelden van restricted acces/high risk area’s: computerruimte, portiersloge, veiligheidskooi in het magazijn voor goederen met hoge waarde. De lijnmanager is verantwoordelijk voor het innemen van toegangspas bij uitdiensttreding. Security doet audits op de autorisatieverzoeken (tenminste 1x per jaar bij elke vestiging). Tijdelijk personeel Met uitzendbureaus is een SLA afgesloten waarin is vastgelegd aan welke eisen personeel moet voldoen, en dat daar op wordt gecontroleerd (onderdeel auditplan Security). Aanvraag toegangspas voor uitzendkrachten volgt het zelfde systeem als vast personeel. Leidinggevende tekent de aanvraag en verklaart dat zowel uitzendbureau als uitzendkracht aan de eisen voldoet. Blijvende juistheid van de toegangsrechten De computer van het Lenel-toegangscontrolesysteem staat in de lokale computerruimte. Fysieke toegang tot de ruimte is beperkt. De computers zijn in beheer bij de automatiseringsafdeling ICS die ook de andere computersystemen in beheer heeft. Wijziging van logische toegangsrechten op het Lenel systeem voor het wijzigen van gegevens volgt de procedure die ook voor andere systemen geldt (RBAC Role Based Access). Maandelijks maakt P&O een actuele personeelslijst. Stuurt deze naar Surveillance voor vergelijking met de uitgegeven passen. Per kwartaal maakt Surveillance een lijst met de toegangsrechten per vestiging. Stuurt deze naar de vestigingsmanager voor afstemming. Detectie van misbruik Toegangspogingen worden gelogd. Indien een medewerker vaker probeert een deur te openen waarvoor hij geen rechten heeft, wordt de leidinggevende geïnformeerd. Security awareness personeel Personeel dat met de goederen (pakketjes) in aanraking komt krijgt bij indiensttreding een security awareness training. Bij de aanvraag van een toegangspas tekent de lijnmanager er voor dat het betreffende personeelslid de training heeft gehad. Jaarlijks wordt een verplichte herhalingstraining gegeven. Aanwezigheid wordt geregistreerd. Controle op naleving is onderdeel van het jaarlijkse auditplan. Geldt ook voor uitzendkrachten. Voor chauffeurs is er een training (en jaarlijkse herhaling) hoe om te gaan met berovingen en met ‘autoriteiten’ die de chauffeur tot stoppen dwingen. Chauffeurs hebben een kaart met ‘Golden Rules Transportbeveiliging’ in de auto. Bevat tevens telefoonnummers die gebeld kunnen worden bij incidenten (24u per dag). Geldt ook voor chauffeurs van subcontracters. Voor verschillende groepen medewerkers (b.v. chauffeurs) wordt regelmatig een ‘Security alert’ uitgegeven waarin actuele incidenten worden gemeld. Het incident wordt gebruikt om medewerkers op de geldende regels te wijzen.
Scriptie "AEO certificering en toegangscontrole"
37
Inhoud
Samenvatting / opvallende punten • Beveiliging is ‘gelaagd’ opgebouwd: Hoogste leiding -> Security -> vestiging • Bij security interne scheiding tussen beleid maken, (laten) uitvoeren, audits en weer aanpassen van beleid • Computers toegangsbeveiliging in beheer bij de ‘normale’ automatiseringsafdeling, volgens de daar ‘normale’ werkwijze. Automatiseringsafdeling is ISO 27001 gecertificeerd • De vestigingsmanager is verantwoordelijk voor de veiligheid van de vestiging. Er wordt gecontroleerd op uitvoering van het door Security vastgestelde beleid, procedures, instructies. Vestigingsmanager mag lokaal ‘strengere’ regels hanteren 5.4
Aandachtspunten op risico’s praktijkonderzoeken
In onderstaande tabel geven we aan welke aandachtspunten betrekking hebben op risicogebieden die we op veiligheidsgebied tijdens de drie praktijkcasussen zijn tegengekomen. Bij het toepassen van de aandachtspunten op de casussen hebben wij gebruik gemaakt van de herschreven vragenlijst, zoals bij § 4.2.1. De vragenlijst is daar herschreven van open vragen naar gesloten vragen. Vraag Praktijkcasus 1.1 Is het veiligheidsbeleid beschreven en wordt dit uitgedragen naar betrokkenen? 1.2 Is een risicoanalyse uitgevoerd waarbij meerdere partijen bij betrokken zijn en diverse invalshoeken zijn belicht? 2 Is het beleid voor het verlenen van toegang tot terreinen / gebouwen vastgelegd? Wordt dit uitgedragen naar betrokkenen? 3.1 Is er een procedure voor sleutelbeheer? 3.2 Is het personeel en bezoek zich bewust van het belang van toegangscontrole? 3.3 Is er een procedure voor het toekennen, intrekken en opvoeren van autorisaties? 3.4 Is er een procedure voor tijdelijke autorisaties? 3.5 Vindt toetsing plaats op de werking van het toegangscontrolesysteem? (analyse logging) 4.1 Is er een procedure voor Change Management voor het toegangscontrolesysteem? 4.2 Is de logische en fysieke toegang tot het toegangsbeveilingssysteem beveiligd? 4.3 Vindt er toetsing plaats op de werking van het IT systeem achter de toegangscontrole? 5.1 Zijn er eisen gesteld aan dienstverleners voor toegangsbeveiligng? 5.2 Is er controle op het nakomen van de eisen die gesteld worden aan dienstverleners voor toegangsbeveiliging? 6 Wordt de effectiviteit van de totale toegangscontrole getest? Tabel 4, Toepassing van aandachtspunten op praktijkonderzoeken
Scriptie "AEO certificering en toegangscontrole"
1
2
X
X
X
X
X X
X
X
X
X
X X
X X
X
3
38
Conclusie
6
Conclusie
Voordat we in dit hoofdstuk antwoord geven op de gestelde hoofdvraag en de bijbehorende deelvragen willen we de bruikbaarheid en toepasbaarheid van onze lijst met aandachtspunten bespreken. We hebben deze lijst samengesteld door van de open norm in de AEO wetgeving in te zoomen op het beheer van IT achter elektronische toegangscontrole. Bij elke stap in dit traject hebben we een of meerdere aandachtspunten beschreven. In de praktijkonderzoeken hebben we de aandachtspuntenlijst gebruikt en zijn we tot de conclusie gekomen dat hij bruikbaar is. Het geeft op een gestructureerde manier een indruk hoe de ondernemer zelf de fysieke beveiliging heeft ingericht en hoe hij is omgegaan met de Douane risico’s. Door deze structuur heeft het zeker toegevoegde waarde. De toepasbaarheid van de lijst zal in de praktijk moeten blijken. We hebben geen extern referentiepunt kunnen vinden om onze aandachtspunten aan te toetsen. Echter aan de hand van de vraagstelling van IT-auditors van de Douane (§ 1.2) denken wij dat het een oplossing biedt voor deze vraag. Wij zijn van mening dat het voldoende aanbevelingen geeft voor het beoordelen van IT-aspecten van elektronische toegangscontrolesystemen. Tijdens het toepassen bij de praktijkonderzoeken hebben we geen punten gemist. Daarmee willen we niet beweren volledig te zijn. In hoeverre de lijst volledig is zal in de praktijk moeten blijken. Daar waar wij punten hebben gemist kan de lijst later worden aangevuld. Aansluitend op het principe van Horizontaal Toezicht en de verklaring van de AEO aanvrager dat hij aan de (veiligheids-)eisen voldoet, is onze vragenlijst gericht op de vraag hoe de aanvrager de interne beheersing op veiligheidsgebied heeft ingericht. De Douane hoeft niet zelf elk detail te onderzoeken. De aanvrager heeft verklaard aan de eisen te voldoen. 6.1 Deelvraag 1
Deelvraag 2
Beantwoording van de deelvragen
Deelvraag 1 • Welke eisen stelt de AEO wet en regelgeving (op Nederlands en Europees niveau) aan beheer van elektronische toegangscontrole? De AEO regelgeving stelt geen specifieke eisen maar bevat open normen. De aanvrager kan deze open normen zelf invullen binnen de specifieke omstandigheden bij die aanvrager. Hierbij spelen de volgende aspecten een rol: • Welke risico’s zijn bij de aanvrager relevant? • In hoeverre is het afdekken van deze risico’s afhankelijk van de goede werking van het elektronische toegangscontrolesysteem, zijn er compenserende maatregelen die het falen van elektronische toegangscontrole opvangen? De eisen aan beheer vloeien voort uit de uit de eis van ‘passende veiligheidsmaatregelen’. De veiligheidsmaatregelen zijn niet ‘passend’ meer als de goede werking van de maatregelen (in casu elektronische toegangscontrole) niet meer kan worden gegarandeerd omdat het beheer onvoldoende is en er geen compenserende maatregelen zijn. De risico’s waarvoor de maatregelen genomen zijn, zijn dan niet meer afgedekt. Deelvraag 2: • Welke normenkaders hanteren ondernemingen in de praktijk voor het beheer van IT systemen in elektronische toegangscontrole? De geïnterviewde experts op het gebied fysieke beveiliging konden geen normenkaders noemen voor het beheer van IT in elektronische toegangbeveiliging. De gevonden normenkaders hebben vooral betrekking op technische eisen aan de componenten, technische eisen aan de opgeleverde installatie en eisen aan de installateur. In Casus3 werd het beheer van de IT van toegangscontrole opgedragen aan de ‘reguliere’ IT afdeling die ISO 27001 gecertificeerd is.
Scriptie "AEO certificering en toegangscontrole"
Inhoud
Deelvraag 3
Voor de hand liggend?
Deelvraag 4
Douanerisico's in riscoanalyse
39
Deelvraag 3: • In hoeverre kan de Douane algemeen bekende normenkaders gebruiken voor de beoordeling van IT-systemen bij een AEO certificering? Wij hebben vastgesteld dat elektronische toegangscontrolesystemen van verschillende leveranciers gebruik maken van reguliere computersystemen voor het vastleggen van de regels voor toegang van personen tot ruimten. Voor het beheer van deze computers kan gebruik gemaakt worden van normenkaders die ook gebruikt worden voor de ‘reguliere’ gegevensverwerking, zoals de Code voor Informatiebeveiliging of ITIL. Dit zijn algemeen bekende normenkaders. Deze conclusie lijkt erg voor de hand liggend. Wij zijn pas tot deze conclusie gekomen nadat we eerst gezocht hebben naar specifieke normenkaders voor beheer van IT binnen het gebied van fysieke beveiliging (elektronische toegangscontrole). Die hebben wij niet gevonden. De conclusie lijkt achteraf weliswaar voor de hand liggend, maar dan is het wel opmerkelijk dat deze normenkaders in de praktijk weinig worden gebruikt voor beheer van IT-systemen in elektronische toegangscontrole. Ook de specialisten op gebied fysieke beveiliging noemden geen normenkaders voor het beheer van deze IT systemen. Bovendien was de aanleiding voor deze scriptie de praktijkervaring van Douanemedewerkers, dat het beheer van IT in fysieke beveiliging ‘slecht is geregeld’. Deelvraag 4: • Welke aanbevelingen kunnen worden geformuleerd? Bij het AEO onderzoek steunt de Douane zoveel mogelijk op de door de aanvrager verrichte zelfbeoordeling. Daarbij stelt de Douane de deugdelijkheid van de totstandkoming vast en beoordeelt gericht een aantal elementen uit de zelfbeoordeling. De Douane geeft geen oordeel over alle specifieke maatregelen. Bij de zelfbeoordeling is de risicoanalyse een essentieel onderdeel. De Douane zal ook op de uitgevoerde risicoanalyse willen steuen. Ook uit de casusonderzoeken blijkt dat de uitgevoerde risicoanalyse essentieel is in het totstandkomingsproces om te voldoen aan de veiligheidseisen. Daarom bevelen wij aan om bij de beoordeling van de risicoanalyse bij een AEO aanvraag te beoordelen of de Douane risico’s zijn meegenomen. (Aanbeveling I uit § 3.2) Er zijn normen voor leveranciers en installateurs op beveiligingsgebied zoals BORG en SSSQ. Indien bij wijziging of aanleg van een elektronisch toegangsbeveiligingssysteem een deel van de werkzaamheden wordt uitbesteed kan hiervan mogelijk gebruik gemaakt worden. Als bij de beoordeling van het beveiligingsbeleid de ondersteuning van het elektronische beveiligingssysteem een rol speelt, bevelen we aan om de documentatie, die bij oplevering is ontvangen, op te vragen. (Aanbeveling II uit § 3.3.4)
Normenkaders
Vanwege de centrale rol die de centrale verwerkingseenheid in de toegangsbeveiliging speelt moet er wel worden vastgesteld of, en zo ja welk normenkader wordt gebruikt voor de centrale verwerkingseenheid van het toegangscontrolesysteem. Indien een normenkader ontbreekt kan een algemeen bekend normenkader voor het eigen onderzoek worden gebruikt. De aandachtspunten in 1.2.3.06, 1.2.3.07 en 1.2.3.08 in de Guidelines zijn ook toepasbaar op de centrale verwerkingseenheid van een toegangscontrolesysteem. (Aanbeveling III uit § 3.3.4) Maatregelen moeten in hun samenhang worden beoordeeld. Indien volledig wordt vertrouwd de technische maatregelen van toegangsbeveiliging kan het onvoldoende beheersen van deze maatregelen verstrekkende gevolgen hebben. Naast deze technische maatregelen zijn er ook organisatorische en procedurele maatregelen die het falen van een technische maatregel kunnen ondervangen. Bijvoorbeeld: Indien de verleende toegangsrechten op pasjes voor kantoorpersoneel te ruim zijn omdat ze ook toegang verlenen naar het magazijn wil het nog niet zeggen dat er een groot risico op bijpak is. Indien de cultuur binnen het bedrijf zodanig is dat kantoorpersoneel vrijwel nooit in het magazijn komt, en als dat gebeurt dat hij / zij daarop meteen wordt aangesproken door het magazijnpersoneel wordt dit risico gemitigeerd.
Samenhang in het stelsel van maatregelen op
Scriptie "AEO certificering en toegangscontrole"
40
Conclusie
6.2
Beantwoording van de hoofdvraag
Aan welke IT-beheersingsvereisten voor elektronische toegangscontrolesytemen moet een aanvrager van een AEO certificaat voldoen? Hoe toetst de Douane dit?
Welke ITbeheersingsvereisten
Hoe toetst Douane
De IT-beheersingsvereisten zijn niet rechtstreeks als eis beschreven in de AEO regelgeving. Zij maken onderdeel uit van de maatregelen die AEO aanvrager als ‘passende veiligheidsmaatregelen’ heeft genomen. Voor blijvende effectiviteit van deze veiligheidsmaatregelen is adequaat IT-beheer noodzakelijk. Binnen het vakgebied fysieke beveiliging hebben wij geen normen voor beheer van IT gevonden. Wij concluderen dat de algemeen bekende normenkaders en best-practices als ITIL en ISO 27002 gebruikt kunnen worden voor het beheer van de IT in elektronische toegangssystemen. Bij de AEO aanvraag verklaart de aanvrager aan de eisen te voldoen. De Douane toetst deze verklaring, door na te gaan hoe de aanvrager deze ‘in control’ verklaring zelf kan onderbouwen. De Douane hoeft niet zelf elk detail te onderzoeken. Voor het toetsen van de Douane hebben we een lijst met aandachtspunten samengesteld. Deze lijst kan behulpzaam zijn bij het beoordelen van de vraag of er sprake is van een beheerste situatie op veiligheidsgebied indien IT systemen een rol spelen. Naast de aandacht voor (het beheer van) de IT systemen achter het elektronische toegangscontrolesysteem moet de samenhang van maatregelen (inclusief procedurele en organisatorische) in de beoordeling worden betrokken.
6.2.1 IP netwerk
Suggesties voor vervolgonderzoek.
Tijdens onze interviews en literatuuronderzoek hebben we gezien dat elektronische onderdelen voor toegangsbeveiliging (zoals camerasystemen, toegangscontrolesystemen) steeds meer gebruik maken van IP netwerktechniek, zodat ze gebruik kunnen maken van het normale bedrijfsnetwerk. Een mogelijk onderzoeksonderwerp is de vraag of dit gemengde gebruik van het bedrijfsnetwerk risico’s oplevert voor vertrouwelijkheid, integriteit en beschikbaarheid van de communicatie. 6.3
Reflectie
Als medewerkers van de ‘blauwe’ kant van de Belastingdienst hebben wij een onderwerp gekozen dat speelt bij de ‘groene’ kant van de Belastingdienst, de Douane. Dit heeft tot gevolg gehad dat wij ons eerst moesten verdiepen in het specifieke Douane onderwerp AEO certificering. Ook het beoordelen van fysieke beveiliging (elektronische toegangscontrole) behoort niet tot ons normale werkgebied. Deze beide aspecten hebben er toe geleid dat het schrijven van deze scriptie veel meer tijd en moeite heeft gekost dan wij bij aanvang hebben ingeschat. Zij hebben er ook toe geleid dat we op beide gebieden veel nieuws hebben geleerd. We hopen en verwachten deze nieuwe kennis in de toekomst in ons werk te kunnen toepassen.
Scriptie "AEO certificering en toegangscontrole"
Inhoud
41
Bijlage 1, Een aantal wetteksten van belang voor AEO certificering Verdrag tot oprichting van de Europese Gemeenschap
Rechtstreekse werking van verordening
HOOFDSTUK 2 BEPALINGEN WELKE VERSCHEIDENE INSTELLINGEN GEMEEN HEBBEN Artikel 249 Voor de vervulling van hun taak en onder de in dit Verdrag vervatte voorwaarden stellen het Europees Parlement en de Raad gezamenlijk, de Raad en de Commissie verordeningen en richtlijnen vast, geven zij beschikkingen en brengen zij aanbevelingen of adviezen uit. Een verordening heeft een algemene strekking. Zij is verbindend in al haar onderdelen en is rechtstreeks toepasselijk in elke lidstaat. Een richtlijn is verbindend ten aanzien van het te bereiken resultaat voor elke lidstaat waarvoor zij bestemd is, doch aan de nationale instanties wordt de bevoegdheid gelaten vorm en middelen te kiezen. Een beschikking is verbindend in al haar onderdelen voor degenen tot wie zij uitdrukkelijk is gericht. Aanbevelingen en adviezen zijn niet verbindend. CDW Artikel 4, (Begripsbepaling)
Risico
lid 25 het begrip Risico 25. risico: de waarschijnlijkheid dat zich in relatie tot binnenbrengen, uitgang, doorvoer, overbrengen en bijzondere bestemming van goederen welke vervoerd worden tussen het douanegebied van de Gemeenschap en derde landen, en met betrekking tot de aanwezigheid van goederen die niet de status van communautaire goederen hebben, een gebeurtenis voordoet die — de correcte toepassing van communautaire of nationale maatregelen in de weg staat, of — de financiële belangen van de Gemeenschap en haar lidstaten schaadt, of — een gevaar vormt voor de veiligheid in de Gemeenschap, de volksgezondheid, het milieu of de consument.
Risicobeheer
Lid 26, het begrip Risicobeheer 26. risicobeheer: het systematisch in kaart brengen van risico's en het toepassen van alle maatregelen die vereist zijn om de blootstelling aan risico’s te beperken. Dit omvat activiteiten zoals het verzamelen van gegevens en informatie, het analyseren en beoordelen van risico's, het voorschrijven en ondernemen van actie, en het regelmatig toezien op en herzien van het proces en de procesresultaten, op basis van internationale, communautaire en nationale bronnen en strategieën.
CDW Afdeling 1 bis, Geautoriseerde marktdeelnemers Introductie AEO
CDW Artikel 5 bis lid 1: 1. De douaneautoriteiten verlenen, indien nodig na overleg met andere bevoegde autoriteiten, op basis van de in lid 2 bedoelde criteria de status van „geautoriseerde marktdeelnemer” aan in het douanegebied van de Gemeenschap gevestigde ondernemers. Een „geautoriseerde marktdeelnemer” komt in aanmerking voor faciliteiten met betrekking tot veiligheidsgerelateerde douanecontroles en/of voor in de douanewetgeving vastgelegde vereenvoudigingen. De status van „geautoriseerde marktdeelnemer” wordt, op basis van de in lid 2 vermelde voorschriften en voorwaarden, door de douaneautoriteiten van alle lidstaten erkend, zonder afbreuk te doen aan douanecontroles. De douaneautoriteiten verlenen, op grond van de erkenning van de status van „geautoriseerde marktdeelnemer” en op voorwaarde dat de vereisten in verband met een bepaald type in de communautaire douanewetgeving vastgelegde vereenvoudiging zijn vervuld, toestemming aan de marktdeelnemer om van die vereenvoudiging gebruik te maken.
Criteria
Scriptie "AEO certificering en toegangscontrole"
42
Bijlage 1, Een aantal wetteksten van belang voor AEO certificering
CDW Artikel 5 bis lid 2, Criteria voor het verlenen van de AEO status: 2. De criteria voor het verlenen van de status van „geautoriseerde marktdeelnemer” omvatten: — een passende staat van dienst op het gebied van de naleving van douanevereisten; — een deugdelijke handels- en, in voorkomend geval, vervoersadministratie die passende douanecontroles mogelijk maakt; — in voorkomend geval, het bewijs van financiële solvabiliteit; en — indien van toepassing, passende veiligheidsnormen. ( … gedeeltelijk weergegeven) (In de Toepassingsverordening worden deze criteria verder uitgewerkt in artikelen 14 nonies tot en met 14 duodecies) TvO Afdeling 3, Voorwaarden en criteria voor de afgifte van een AEO certificaat
TvO Artikel 14 decies, Deugdelijke administratie Deugdelijke administratie
Om de douaneautoriteiten in staat te stellen te onderzoeken, of de aanvrager over een deugdelijke handels- en, in voorkomend geval, vervoersadministratie beschikt, als bedoeld in artikel 5 bis, lid 2, tweede streepje, van het Wetboek, moet de aanvrager aan de volgende eisen voldoen: a) een administratie voeren, die in overeenstemming is met de algemene aanvaarde boekhoudbeginselen van de lidstaat waar de administratie wordt gevoerd en welke administratieve douanecontrole vergemakkelijkt; b) de douaneautoriteit fysieke of elektronische toegang verlenen tot zijn douaneadministratie en, in voorkomend geval, vervoersadministratie; c) over een logistiek systeem beschikken, dat een onderscheid maakt tussen communautaire en niet-communautaire goederen; d) over een administratieve organisatie beschikken, die in overeenstemming is met de soort en de omvang van de bedrijfsactiviteiten en geschikt is voor het beheer van de goederenstroom, en over een systeem van interne controles beschikken waarmee onrechtmatige of frauduleuze transacties kunnen worden opgespoord; e) indien van toepassing, toereikende procedures toepassen voor het beheer van vergunningen die verband houden met handelspolitieke maatregelen of de handel in landbouwproducten; L 360/70 NL Publicatieblad van de Europese Unie 19.12.2006 f) toereikende procedures toepassen voor het bewaren van bedrijfsbescheiden en bedrijfsinformatie en ter bescherming tegen informatieverlies; g) erop toezien, dat werknemers zich bewust zijn van de noodzaak, de douaneautoriteiten in te lichten wanneer zich problemen voordoen in verband met de naleving van de douanewetgeving en personen aanwijzen die in dat geval contact met de douaneautoriteiten opnemen; h) passende maatregelen hebben genomen ter voorkoming dat onbevoegden zijn computersysteem binnendringen en ter bescherming van zijn documentatie. Een aanvrager van het in artikel 14 bis, lid 1, onder b), bedoelde AEO certificaat behoeft niet te voldoen aan het in de eerste alinea, onder c), van dit artikel bedoelde vereiste.
TvO Artikel 14 duodecies, Veiligheidsnormen Veiligheidsnormen
1. De veiligheidsnormen van de aanvrager worden passend geacht, zoals bedoeld in artikel 5 bis, lid 2, vierde streepje, van het Wetboek, indien aan de volgende voorwaarden is voldaan: a) de gebouwen die voor de door het certificaat te dekken activiteiten worden gebruikt, zijn gemaakt van materialen die verhinderen dat onbevoegden zich hiertoe onrechtmatig toegang kunnen verschaffen; b) er zijn passende toegangscontrolemaatregelen genomen om onrechtmatige toegang tot verzendingsruimten, los- en laadkades en los- en laaddekken te voorkomen;
Scriptie "AEO certificering en toegangscontrole"
Inhoud
c)
43
er zijn maatregelen genomen om het toevoegen, omwisselen of wegnemen van materialen, of andere manipulaties van de goederen bij het laden, lossen, de op- en overslag te voorkomen; d) indien van toepassing, zijn er procedures voor de behandeling van in- en/of uitvoervergunningen die verband houden met verboden en beperkingen en om goederen van elkaar te onderscheiden; e) de aanvrager heeft maatregelen genomen, om zijn handelspartners duidelijk te kunnen identificeren met het oog op de veiligheid van de internationale toeleveringsketen; f) de aanvrager onderwerpt sollicitanten voor veiligheidsgevoelige functies aan veiligheidsonderzoeken, voor zover de wetgeving dit toelaat, en verricht regelmatig achtergrondcontroles; g) de aanvrager ziet erop toe, dat de betrokken werknemers actief aan programma’s inzake veiligheidsbewustzijn meewerken. 2. enz…
Scriptie "AEO certificering en toegangscontrole"
44
Bijlage 2. Woordenlijst
Bijlage 2. Woordenlijst AEO
Authorised Economic Operator, ‘geautoriseerde marktdeelnemer’
CDW
Communautair Douane Wetboek. Douanewetboek, geldig in alle EUlidstaten. “Verordening (EEG) nr. 2913/92 van de Raad van 12 oktober 1992 tot vaststelling van het communautair douanewetboek” voor AEO wetgeving gewijzigd bij “Verordening (EG) Nr. 648/2005 van het Europees parlement en de Raad van 13 april 2005”
COMPACT
COMpliance PArtnership Customs and Trade. Kader voor risicobeoordeling van goederenstromen. (www.douane.nl AEO Compact Model) EU document TAXUD/2006/1452, .
Gids
Gids voor douane en bedrijven om te komen tot gemeenschappelijke opvattingen over en eenvormige toepassing van AEO regelgeving. (www.douane.nl AEO guidelines) EU document TAXUD/2006/1450; 29-6-2007.
Guidelines
zie onder Gids
ISPS
International Ship and Port Facility Security Code (ISPS Code) Maatregelen voor het beveiligen van schepen en haveninstallaties
TAPA
Transported Asset Protection Association
TvO
Toepassingsverordening. Bevat regels voor de toepassing van het CDW "Verordening (EEG) nr. 2454/93 van de Commissie van 2 juli 1993 houdende vaststelling van enkele bepalingen ter uitvoering van Verordening (EEG) nr. 2913/92” voor AEO wetgeving gewijzigd bij “Verordening (EG) Nr. 1875/2006 van de Commissie van 18 december 2006”
Scriptie "AEO certificering en toegangscontrole"
Inhoud
45
Bijlage 3. Geïnterviewde deskundigen M. De Jager, Deloitte (AEO digiscan) G. Kolk, Unica Installatiegroep Ing. E.J. Oud CISA CISSP, Microsoft (v.h. Deloitte ERS), docent VU fysieke beveiliging F.J.E. Vermeulen RE RA, Belastingdienst/Douane W. Visscher RE, Regiocoördinator AEO, Belastingdienst/Douane
Scriptie "AEO certificering en toegangscontrole"
46
Literatuur verwijzingen
Literatuur verwijzingen Becker, J.F.F. (2005), EVO/SCM Netwerk congres “Beveiliging van logistieke ketens”, 2 juni 2005 Belastingdienst (2008). “Belastingdienst Bedrijfsplan 2008 – 2012”, Van der Meer, Poolen, Rovers, Thunnissen & Van der Vlist BORG (2005). Centrum Criminaliteitspreventie Veiligheid (CIV), “Nationale beoordelingsrichtlijn, Procescertificaat voor het ontwerp, de installatie en het onderhoud van inbraakbeveiliging”, Versie 2.1, 15 december 2008 CDW (2005). “Verordening (EEG) nr. 2913/92 van de Raad van 12 oktober 1992 tot vaststelling van het communautair douanewetboek” voor AEO wetgeving gewijzigd bij “Verordening (EG) Nr. 648/2005 van het Europees parlement en de Raad van 13 april 2005 Compact model (2006), “Het AEO COMPACT model”, Europese Commissie, TAXUD/2006/1452, Brussel, 13 juni 2006 Coumou, Drs. C.J. (2002), “D.1.2 Fysieke beveiliging”, Handboek EDP-auditing, Kluwer Gevers Deynoot-de Booij, D. (2006). “Regelgeving voor supply chain security”, Tijdschrift Logistiek, jaargang 1, nr 19 Guidelines (2007). “Gecertificeerde bedrijven (bedrijven met een AEO certificaat) Gids”, Europese Commissie, TAXUD/2006/1450, Brussel, 29 juni 2007 Hooff, Van & Klaassen (2006). “Horizontaal Toezicht in de luchtvracht - Een analyse van certificeringen wereldwijd” Humphrey, W.S (1987). “Characterizing the Software Process, A Maturity Framework”, CMU/SEI-87-TR-11, juni 1987 Sjouwerman, T. (2008).“TREC”, afstudeerscriptie VU SSSQ (2008). Certificeringsschema Keurmerk Elektronisch Toegangsbeheer, Stichting Safety Security and Quality, 1 sept 2008 Versie 1.0; Staatssecretaris van Financien (2005). “Horizontaal Toezicht en Mediation”, Brief van de staatssecrectaris van Financien aan de Tweede Kamer, nr. DGB 2005-01109, 8 april 2005 Starreveld, van Leeuwen & van Nimwegen, (2002). “Bestuurlijke informatieverzorging Deel 1: Algemene grondslagen”, Stenfert Kroese, Groningen/Houten Starreveld, van Leeuwen & van Nimwegen, (2004). “Bestuurlijke informatieverzorging Deel 2a: Fasen van de waardenkringloop”, Stenfert Kroese, Groningen/Houten TvO (2006). “Verordening (EEG) nr. 2454/93 van de Commissie van 2 juli 1993 houdende vaststelling van enkele bepalingen ter uitvoering van Verordening (EEG) nr. 2913/92” voor AEO wetgeving gewijzigd bij “Verordening (EG) Nr. 1875/2006 van de Commissie van 18 december 2006” Visser H.M. & Goor, A.R. van (2008). “Werken met logistiek”, Wolters-Noordhoff
Scriptie "AEO certificering en toegangscontrole"