Trends in Veiligheid 2013 Een digitale samenleving kan niet zonder digitale veiligheid
2
Trends in Veiligheid 2013 Een digitale samenleving kan niet zonder digitale veiligheid
Utrecht, maart 2013
1
Trends in Veiligheid 2013
Voorwoord
Veiligheid en de algemene trend tot digitalisering van onze samenleving zijn sterk met elkaar verbonden. De meeste artikelen in deze editie van Trends in Veiligheid reflecteren het belang, de dreiging en kwetsbaarheid van digitalisering.
2
Trends in Veiligheid 2013
the way we see it
Bij een veilige digitale samenleving draait alles om de vertrouwelijkheid, betrouwbaarheid, integriteit en continuïteit van gegevens. Als het gaat om digitalisering zijn er een aantal wereldwijde trends te onderscheiden: 1. Big data: de enorme hoeveelheid data die voortdurend opgeslagen wordt en die dagelijks toeneemt. Hoe kunnen we daar op een goede manier mee omgaan? 2. Hyperconnectiviteit: het aantal digitale (internet)verbindingen neemt exponentieel toe. Zo ontstaat een ‘Internet of Things’. Nederland heeft de een na hoogste internetdichtheid ter wereld; dat geeft Nederland op dit terrein een bijzondere positie. 3. Het verdwijnen van grenzen, zowel in tijd en afstand als qua werk/privé. Deze trends vereisen een verandering in zowel de manier waarop bedrijven zakendoen als de rol van de overheid bij het waarborgen van een veilige samenleving. Een belangrijk aspect daarbij is het gebrek aan een cybersecurity-concept van onze samenleving. Nederland is een land van zeeën en dijken: als het water doorsijpelt, bouwen we er een dijk omheen. Die klassieke manier van crisisbeheersing (containment, ofwel indammen) is in cyberspace bijna onmogelijk. Bedrijven weten vaak niet waar hun data zich precies bevindt, hoe het met elkaar verbonden is en welk effect het heeft als er ergens uitval is. Naast de menselijke factor kennen platforms, applicaties en infrastructuren allemaal hun eigen problemen, en door de interactie tussen die vier niveaus wordt een securityprobleem vaak heel omvangrijk. In de fysieke wereld kennen we een safetyconcept; denk bijvoorbeeld aan de veiligheidsregels op een bouwplaats. Maar geldt er in cyberspace ook een securityconcept? En welke rollen hebben de overheid, de private sector en de burger daarin? Momenteel is dat nog onvoldoende helder. Op de snelweg gelden bepaalde veiligheidseisen en verkeersregels. Maar iedere burger kan een computer kopen en onbeveiligd de digitale snelweg op. Het met elkaar vorm-
geven van dit model is mijns inziens de grootste uitdaging van de nabije toekomst. Met de artikelen dragen de auteurs van Capgemini bij aan deze discussie. Het belang van digitalisering wordt duidelijk als we kijken naar de strafrechtketen, naar cameratoezicht of naar crisismanagement. De uitdagingen blijken uit de artikelen inzake big data, het gebrek aan professionals op het gebied van cybersecurity en de inzet van sociale media bij evenementen. Maar bovenal zorgt deze publicatie van Trends in Veiligheid voor het verhogen van het bewustzijn. De digitalisering van onze samenleving gaat zo snel dat het bewustzijn over nieuwe risico’s en kwetsbaarheden achterblijft. Een veilige digitale samenleving is een gezamenlijke verantwoordelijkheid, waarin nieuwe coalities gevormd moeten worden. Willen we deze verantwoordelijkheid waarmaken, dan begint het bij bewustzijn. Bewustzijn bij burgers, bedrijven en overheden.
Drs. ing. W.M. van Gemert Directeur Cyber Security van de Nationaal Coördinator Terrorismebestrijding en Veiligheid
3
4
Trends in Veiligheid 2013
the way we see it
Inhoudsopgave Managementsamenvatting Trends in Veiligheid 2013
06
Drs. Erik Hoorweg MCM
Versterken van de strafrechtketen? Regisseer de ruimte voor resultaat!
12
Wender van Mansvelt MSc en drs. Eelco Smid
De keten voorbij
17
Drs. Con Sadée en Eva Miltenburg MSc
Grip op data: pleidooi voor inrichting van een Digital Operating Model en uniforme dataprocessen
21
Drs. Edwin Kok MBA en Ir. Marijke de Jong-Bultsma
Big data in opsporing: nu pompen om niet te verzuipen
26
Marcel Kordes, ing. Rob Vernooij en drs. Paul Lengkeek
De menigte onder (online) controle
30
Karin van de Laar MSc, Eva Miltenburg MSc en Evelien van Zuidam MSc
Meer rendement uit cocreatie met burgers en bedrijven: een Digital Capabilities Center
35
Drs. Erik Staffeleu, Roy Oudeman MA en Herman-Jan Carmiggelt
Cameratoezicht: efficiënter in de veiligheidsketen
39
Ing. Bart Kusse MSc, Prof. dr. Henk Scholten en Peter van den Ende MPA ba
De kracht van verbinden
44
Drs. ing. Erik van den Berg en dr. Niek Wijngaards
De veilige ‘digitale samenleving’ bestaat niet
47
Drs. Roeland de Koning en Evelien van Zuidam MSc
Cyber resilience in het jaarverslag?
51
Annemarie Zielstra MES, drs. Tjarda Krabbendam-Hersman en mr. Patrick de Graaf
Borging van continuïteit in het veiligheidsdomein
56
Drs. Abderrahman Kaouass en Klaas Hagoort
Meer vissen in de vijver met de White Hat Office
62
Mr. Patrick de Graaf en drs. Erik Hoorweg MCM
Thoughtleadership
67
5
Managementsamenvatting Trends in Veiligheid 2013 Een digitale samenleving kan niet zonder digitale veiligheid
6
Trends in Veiligheid 2013
the way we see it
De Nederlandse bevolking acht zichzelf steeds beter op de hoogte van de gevaarlijke kanten van internetgebruik, waaronder cybercrime, virussen, spam en phishing. Dit blijkt uit het Capgemini-onderzoek uitgevoerd door TNS NIPO voor deze derde editie van Trends in Veiligheid. Met een stijging van 15% ten opzichte van 2011 naar 66% lijkt hiermee het bewustzijn en de kennis onder burgers behoorlijk hoog. Toch gaat er geen week voorbij zonder dat cybersecurityincidenten de krantenkoppen vormen. Klaarblijkelijk gaat de digitalisering van onze samenleving en de daarmee gepaard gaande criminaliteit sneller dan de (beschermende) maatregelen die we nemen. Als het aan de Nederlandse bevolking ligt, mag de overheid dan ook een stuk actiever optreden met betrekking tot cybercriminaliteit. Zelfs 83% van de Nederlanders staat achter de beslissing van minister Opstelten om de overheid meer bevoegdheden te geven voor het
terughacken van computers van verdachten. Deze derde editie van Trends in Veiligheid staat dan ook vooral in het teken van digitalisering. • Een aantal artikelen beschrijft de oplossingen en kansen die digitalisering kan bieden voor actuele problemen in het veiligheidsdomein. • Vervolgens wordt ingegaan op de wijze waarop organisaties de vele initiatieven en innovaties beter met elkaar kunnen verbinden. Hierdoor kan de effectiviteit en efficiëntie van de verschillende afzonderlijke innovaties worden vergroot.
• Verbinding staat ook centraal in het laatste deel van deze publicatie. Namelijk de verbinding tussen de fysieke en digitale samenleving. Betoogd wordt om deze niet als aparte werelden te zien maar zo veel mogelijk te integreren. Zowel in beleidsontwikkeling, risicomanagement als in continuïteitsmanagement. • Tot slot wordt nog een voorstel gedaan voor de realisatie van één belangrijke randvoorwaarde: het vergroten van het aantal cybersecurityprofessionals.
Figuur 1: Het is terecht dat de overheid (de politie) extra bevoegdheden krijgt voor het terughacken van computers van verdachten.1 Weet niet
Helemaal mee oneens
Mee oneens
Niet mee eens of oneens
3%
1%
3%
10%
Mee eens
50%
Helemaal mee eens 0%
33% 10%
20%
30%
40%
50%
60%
7
Onderstaand zijn deze onderdelen kort samengevat.
Oplossingen en kansen voor het veiligheidsdomein Een zeer ruime meerderheid van de Nederlanders (93%) is van mening dat de overheid ondanks de bezuinigingen toch zeker dezelfde kwaliteit van veiligheid moet garanderen. Het onderzoek van de Rekenkamer naar het functioneren van de strafrechtketen is in dit verband een tegenvaller. De Rekenkamer wijst er namelijk op dat de strafrechtketen niet goed functioneert. Met het programma ‘Versterking Prestaties Strafrechtketen’ werkt het ministerie van Veiligheid en Justitie aan verbetering. De regie op de ketenpartners is een uitdaging. Door hierbij expliciet aandacht te besteden aan het faciliteren van beleidsrealisatie ontstaat meer grip op het resultaat. Op het niveau van complexe zaken in de strafrechtketen is een ketenbenadering niet langer afdoende. Bij complexe zaken zijn meerdere partijen betrokken die situationeel, en wederzijds afhankelijk, wel of geen actie moeten ondernemen. Dit vraagt om een actueel totaalbeeld van de betreffende casus. Informatie van alle betrokken partijen dient gedeeld te worden op basis van een ‘need to know’ basis en toegesneden op de specifieke rol en verantwoordelijkheid van de betrokkene. Hiertoe is een integrale netwerkbenadering nodig waarbij digitalisering vanuit het ecosysteem van Veiligheid en Justitie wordt gerealiseerd. Vanuit een integraal informatiebeeld wordt de ontsluiting geregistreerd naar de belanghebbenden. Deze integrale benadering vereist wel betrouwbare, onbetwiste data. Een ‘Digital Operating Model’ geeft antwoord op de vraag van wie welke data is en wie de meest actuele en juiste data heeft. Het beëindigt dubbele inwinningsprocessen en vergroot zo de efficiëntie van de bedrijfsvoering en de betrouwbaarheid van data. Dat leidt tot onbetwiste data. Data is onbetwist
8
Trends in Veiligheid 2013
Figuur 2: In hoeverre bent u op de hoogte van de gevaarlijke kanten van internetgebruik, zoals cybercrime, virussen, phishing mail, spam of het bezoek aan fake websites?1 Helemaal niet op de hoogte
2%
Slecht op de hoogte
6%
Matig op de hoogte
26%
Redelijk goed op de hoogte
52%
Heel goed op de hoogte
14%
0%
10%
20%
30%
40%
50%
60%
Figuur 3: De overheid heeft op dit moment voldoende middelen beschikbaar om digitale veiligheid in Nederland te garanderen1 23%
Weet niet
Helemaal mee oneens
5%
24%
Mee oneens
Niet mee eens of oneens
39%
Mee eens
Helemaal mee eens 0%
9%
1%
5%
10%
15%
20%
25%
als de bruikbaarheid ervan voor een bepaald doel steeds eenduidig is vast te stellen. Wanneer vervolgens ook uniforme dataprocessen worden ingevoerd, wordt echt grip verkregen op data uit diverse interne en externe bronnen. De waarde die ligt besloten in data bij alle verschillende partijen, kan dan echt worden benut voor versnelling en verbetering van bestaande ketens en netwerken.
30%
35%
40%
45%
50%
55%
60%
De enorme hoeveelheid data kunnen echter ook een nieuwe uitdaging vormen. Het Nederlands Forensisch Instituut onderzoekt tegenwoordig tweeduizend keer zoveel data als in 1998. Het aantal onderzoekers is echter slechts vertienvoudigd. Aangezien de data wel beschikbaar is, moeten opsporingsinstanties een manier vinden om er betekenis aan te geven. Immers, het afbreukrisico is groot als achteraf bekend wordt dat
the way we see it
criminaliteit voorkomen had kunnen worden omdat informatie aanwezig was maar niet goed is behandeld. En 75% van de bevolking verwacht ook dat de kansen om verdachten op te sporen, toenemen als gevolg van big data. De oplossing is gelegen in het gebruik van een ontologie om big data te structureren en een geautomatiseerde opsporing om sneller te detecteren. Naast het vergroten van de pakkans, verwacht ruim driekwart van de Nederlanders dat de overheid sociale media zou moeten gebruiken om preventieve maatregelen te nemen tegen uit de hand lopende feesten zoals Project X. Online crowd control blijkt mogelijk mits de veiligheidsorganisaties naast fysieke aanwezigheid ook zelf interacteren in de online community. Mogelijke geruchten en paniek kunnen door goede monitoring en interactie met een eenduidige boodschap worden voorkomen. Dat hier nog een wereld te winnen valt, blijkt uit het voorbeeld van Project X Haren. Daarbij vindt ruim de helft van de Nederlanders (59%) dat de politie onvoldoende inzicht heeft in de positieve en negatieve effecten die sociale media teweeg kunnen brengen.
Verbinden van innovaties en initiatieven Organisaties in het veiligheidsdomein hebben de laatste jaren niet stilgezeten. Waar mogelijk zijn initiatieven ontplooid om de kansen van digitalisering te benutten en kwetsbaarheden te beperken. Wij zien echter zowel binnen als tussen organisaties inefficiënties als gevolg van beperkte samenwerking en verbinding tussen initiatieven. De politie is bijvoorbeeld sinds jaar en dag bezig met de inzet van nieuwe technologieën om burgerparticipatie vorm te geven. Het blijkt dat er tal van goede voorbeelden zijn waarbij digitale technieken zoals social media worden ingezet om cocreatie of burgerparticipatie verder vorm te geven. Echter, het valt ook op dat dergelijke initiatieven vaak lokaal van aard zijn en lang-
zaam tot wasdom komen. Onderzoek van Capgemini Consulting en MIT (Massachusetts Institute of Technology) heeft aangetoond dat succesvolle digitale transformaties beginnen met een overkoepelende visie en topdown worden aangestuurd. Een Digital Capabilities Center (DCC) bundelt diverse digitale capaciteiten vanuit verschillende onderdelen van een organisatie en vormt een centraal aanspreekpunt voor digitale expertise en kennis. Daarmee functioneert het DCC als een vliegwiel voor lopende initiatieven. Verbinding wordt ook bepleit in het artikel over cameratoezicht. Op dit moment wordt nog niet ten volle gebruikgemaakt van de mogelijkheden die cameratoezicht in combinatie met andere sensoren biedt. Door het gebruik van proeftuinen kunnen overheid, bedrijven en kennisinstellingen samenwerken om de verbinding tussen camera’s, brandalarm, inbraakbeveiliging en mogelijke andere sensoren in de praktijk te toetsen.
Verbinden van de digitale en fysieke wereld De samenleving doorgaat een digitale transformatie en deze kan alleen maar succesvol verlopen als de digitale veilig-
De samenleving doorgaat een digitale transformatie en deze kan alleen maar succesvol verlopen als de digitale veiligheid daar gelijk mee op gaat.
Figuur 4: Heeft de politie volgens u voldoende inzicht in de positieve en negatieve effecten die sociale media teweeg kunnen brengen?1
18%
Weet niet
Zeer onvoldoende
6%
53%
Onvoldoende
21%
Voldoende
Ruim voldoende 0%
2% 10%
20%
30%
40%
50%
60%
9
heid daar gelijk mee op gaat. Dit vraagt om een besef binnen zowel de overheid als het bedrijfsleven dat cybersecurityvraagstukken onlosmakelijk zijn verbonden met de taakopvatting en kernprocessen van de eigen organisatie. Tot op heden zien we binnen de overheid de tendens om nieuwe instituties op te richten zoals de Cyber Security Raad, het Nationaal Cyber Security Centrum en de Cyber Taskforce bij Defensie. Deze instituties dragen zeker bij aan een hogere digitale veiligheid maar mogen geen excuus zijn om binnen de bestaande organisaties geen maatregelen te nemen. Goed begrip van de wijze waarop de fysieke samenleving is gedigitaliseerd, moet leiden tot een integrale regelgeving en aanpak van veiligheidskwesties. Digitale veiligheid zou een integraal onderdeel moeten vormen van reguliere beleidsvorming en mag daarop geen uitzondering meer zijn. Deze integrale benadering wordt ook bepleit in het artikel over cyber resilience. Hierin wordt het topmanagement van publieke en private organisaties aangemoedigd om cyberrisico’s in te passen in het strategisch risicomanagement. Dit sluit aan bij de woorden van Neelie Kroes: “Net als in de gewone maatschappij, moeten we ook in de
Figuur 5: De overheid zou actiever moeten optreden tegen cybercriminaliteit1
Weet niet
Mee oneens
2%
1%
10%
Onvoldoende
59%
Voldoende
Ruim voldoende 0%
10
28% 10%
Trends in Veiligheid 2013
20%
30%
40%
50%
60%
digitale wereld leren begrijpen wat de risico’s zijn”. En dat deze risico’s reëel zijn, blijkt ook uit recent onderzoek waarin wordt aangetoond dat cyberdreiging rechtstreeks van invloed is op de beurswaarde van een organisatie. Transparantie richting de stakeholders hoe met digitale dreigingen wordt omgegaan, geeft vertrouwen in de continuïteit van de betreffende organisatie. De wijze waarop deze continuïteit kan worden geborgd, is nader toegelicht in het volgende artikel. Met een raamwerk voor continuïteitsmanagement kunnen organisaties in kaart brengen waar zij staan in de ontwikkeling van continuïteitsbeheersing. Daarbij wordt geconstateerd dat het juist vaak organisaties in het veiligheidsdomein zijn, die de eigen bedrijfscontinuïteit hebben genegeerd. Organisaties die gericht zijn op het beheersen van externe incidenten en rampen. Het besef dient door te dringen dat als zij zelf uitvallen door verstoringen van de eigen bedrijfsprocessen, zij ook niet hun externe taak kunnen vervullen.
Zonder technische cyberprofessionals geen digitale veiligheid In deze Trends in Veiligheid 2013 loopt als rode draad door de artikelen het adagium dat een digitalisering van de samenleving alleen duurzaam kan zijn indien de digitale veiligheid gelijke tred houdt. Vertrouwen van burgers, bedrijven en overheden in het veilig gebruik van internet staat dan ook centraal in de Nationale Cyber Security Strategie. Maar wie zorgt nu eigenlijk voor die digitale veiligheid? Uiteraard is bewustzijn bij de top van publieke en private organisaties onmisbaar voor aandacht en initiatieven om de weerbaarheid en veerkracht op het gebied van cybersecurity te vergroten. Maar zoals Erik Akerboom in 2011 al aangaf: “Er is een tekort aan mensen die ook kunnen doen en niet alleen bedenken wat er zou moeten gebeuren”. Momenteel bestaat er een groot verschil tussen de vraag en aanbod van cyberprofessionals op de arbeidsmarkt. Het aantal
the way we see it
w.o.- en hbo-afgestudeerden is te laag en opleiding sluit vaak onvoldoende aan bij de beroepspraktijk. In het slotartikel ‘White Hat Office’ wordt gepleit voor een publiek-private cyberacademy waar integere hackers worden opgeleid. Hackers die buiten het reguliere opleidingstraject vallen en die worden gerekruteerd vanuit de eigen ‘scene’. Het zijn vaak die jonge talenten die nachtenlang autodidactisch lekken aan het blootleggen zijn bij gerenommeerde bedrijven. De White Hat Office geeft hen een specifieke leeromgeving en voorziet daarmee in een groeiende behoefte in Nederland.
Over de auteur Drs. Erik Hoorweg MCM is vice president bij Capgemini Consulting en actief op het gebied van openbare orde en veiligheid.
Figuur 6: Heeft u er vertrouwen in dat de overheid veilig met uw gegevens omgaat?1
1%
Anders, namelijk
Houd ik me niet mee bezig\weet ik niet
17%
Nee, ik vrees voor mijn gegevens
26%
Ja, maar er moet echt meer gebeuren om de veiligheid te vergroten
48%
Ja, de overheid weet goed om te gaan met mijn gegevens
8%
0%
10%
20%
30%
40%
50%
Figuur 7: Cyberbeveiliging wordt ongetwijfeld de komende jaren een steeds belangrijker issue. Verhoging van het kennisniveau van de overheid en in het bijzonder de politie is dan ook absoluut noodzakelijk1
2%
Weet niet
Mee oneens
Niet mee eens of oneens
0%
3%
53%
Mee eens
Meer informatie over openbare orde en veiligheid vindt u op www.trendsinveiligheid.nl
1
60%
Helemaal mee eens 0%
41% 10%
20%
30%
40%
50%
60%
Bron: Onderzoek Capgemini, Trends in Veiligheid november 2012
11
Versterken van de strafrechtketen? Regisseer de ruimte voor resultaat!
12
Trends in Veiligheid 2013
the way we see it
Hoe regisseert het kerndepartement zijn uitvoeringsorganisaties tot betere prestaties? Highlights • 93% van de Nederlanders meent dat de overheid ondanks de bezuinigingen toch zeker dezelfde kwaliteit van veiligheid moet garanderen. • Het realiseren van een beter presterende strafrechtketen vraagt om een ministerie dat strak regie voert, maar tevens voldoende ruimte biedt aan de uitvoeringsorganisaties om zelfstandig resultaten te boeken. • Het departement zal daarbij de ruimte die het de uitvoeringsorganisaties biedt transparant moeten definiëren, zowel inhoudelijk als financieel. • De uitvoeringsorganisaties dienen zich te verantwoorden voor de verbeteringen die binnen deze ruimte worden gerealiseerd.
13
Realiseren van betere prestaties in de strafrechtketen vereist van het ministerie om de gulden middenweg te vinden tussen regie voeren en het geven van ruimte. Net als de voorgaande termijn staat ook de komende kabinetsperiode weer in het teken van bezuinigingen en een kleiner ambtenarenapparaat. Hoewel het ministerie van Veiligheid en Justitie de afgelopen periode aan bezuinigingen wist te ontkomen, is dat de komende kabinetsperiode onvermijdelijk; tot 235 miljoen euro in 2017 (exclusief DG politie). Ongeacht de bezuinigingen vragen zowel de maatschappij als de politiek dat een hoog niveau van veiligheid gewaarborgd blijft. Het Trends in Veiligheid Onderzoek 2012 van Capgemini, uitgevoerd door TNS NIPO, wijst uit dat een zeer ruime meerderheid van de Nederlanders (93%) van mening is dat de overheid ondanks de bezuinigingen toch zeker dezelfde kwaliteit van veiligheid moet garanderen. Met het oog op deze hoge verwachtingen is het rapport van de Algemene Rekenkamer van maart 2012 een tegenvaller. De Rekenkamer wijst erop dat een van de randvoorwaarden voor veiligheid, namelijk een goed functionerende strafrechtketen, slecht presteert. Het ministerie staat dus voor een belangrijke opdracht: de prestaties in de strafrechtketen versterken om op die manier de veiligheid te vergroten. Deze opdracht is echter een lastige, gezien de complexe sturingsrelatie tussen ministerie en zijn uitvoeringsorganisaties. Een sturingsrelatie die als gevolg van de bezuinigingen binnen de strafrechtketen nog verder onder druk is komen te staan. Het realiseren van een beter presterende strafrechtketen vraagt om een ministerie dat strak regie voert, maar tevens voldoende ruimte biedt aan de uitvoeringsorganisaties om zelfstandig resultaten te boeken.
1
Regie is het nieuwe sturen Al in 1979 constateerde de ‘Commissie Hoofdbestuur Rijksdienst’ (commissieVonhoff) als voornaamste probleem dat een groeiende behoefte bestond aan centrale sturing van maatschappelijke ontwikkelingen, terwijl het sturend vermogen van de overheid zelf juist was afgenomen. Dat was dertig jaar geleden; anno 2012 is dit vraagstuk nog steeds actueel. Voornoemd vraagstuk, ook wel de verzelfstandigingparadox genoemd, wordt door Sandra van Thiel1 geïllustreerd door de metafoor van een kind dat uit huis gaat en op zichzelf gaat wonen; niet alleen het kind moet leren omgaan met nieuwe vrijheden en verantwoordelijkheden, maar ook de ouders moeten leren om te gaan met de nieuwe zelfstandigheid van het kind. Zo’n leerproces kost tijd. Een van de constateringen van de afgelopen tijd is dat regie vanuit de overheid het nieuwe instrument is om meer horizontaal, samen met de uitvoeringsorganisaties, beleid te realiseren. Als we nu constateren dat regie het nieuwe sturen is, dan is de vervolgvraag hoe die regierol zo kan worden ingevuld dat ook in tijden van grote bezuinigingen de gestelde beleidsdoelen worden behaald. Om te voorkomen dat we ons blind staren op traditionele sturingsinstrumenten die niet meer functioneren, richten we ons vanaf nu op wat wel werkt.
Leren van wat werkt Regie voeren vraagt om een veel intensievere samenwerking tussen kerndepartement en uitvoeringsorganisaties. In de afgelopen jaren zijn er vanuit verschillende beleidsdirecties projecten en programma’s uitgevoerd die een goede
Dr. S. van Thiel is hoogleraar bestuurskunde aan de Radboud Universiteit Nijmegen. 2011
14
Trends in Veiligheid 2013
proeftuin waren voor hoe regie kan worden vormgegeven. Bij de uitvoering van de verschillende programma’s en projecten is het departement sterk afhankelijk van de inzet en betrokkenheid van de verschillende uitvoeringsorganisaties. Deze betrokkenheid kan worden vergroot door medewerkers uit de organisaties te mobiliseren en te vragen mee te denken over het nieuw te voeren beleid, het maken van onderlinge werkafspraken en bij te dragen aan de implementatie van bijbehorende taken. Uit het regeerakkoord Rutte II lijkt de ingezette lijn van het vorige kabinet, ten aanzien van het investeren in verbeterprojecten, te worden doorgezet. Dit geeft blijk van vertrouwen in de nieuwe regierelatie en getuigd van een lange termijnvisie.
Regie en ruimte voor eigen verantwoordelijkheid Met de vervanging van sturing door regie is de reikwijdte van het departement in de praktijk scherp ingeperkt tot een proces van richting geven (opstellen van beleid) en verantwoording afleggen. Een belangrijk aandachtspunt is dat met het opstellen van het beleid ook de handelingsruimte gedefinieerd wordt, waarbinnen het beleid zich dient te bewegen. Aan het einde van de cyclus heeft het departement immers de democratische taak om rekenschap te geven (beleidsverantwoordelijkheid) over het behaalde resultaat. En wie rekenschap moet afleggen, wil het liefst ook goede resultaten laten zien. Op dit moment nemen de uitvoeringsorganisaties in de strafrechtketen volgens ons onvoldoende verantwoordelijkheid om de resultaten of doelstellingen te bereiken. Ze worden hiertoe ook niet of onvoldoende aangespoord door het ministerie. Om terug te grijpen
the way we see it
op de metafoor van het kind dat uit huis gaat: de verschillende uitvoeringsorganisaties vinden alle vrijheid wel prettig, maar ze komen nog graag naar huis met een zak vuile was en het verzoek om zakgeld. Een succesbepalende voorwaarde voor regie is dus een juiste definiëring van de ruimte voor eigen verantwoordelijkheid, zowel inhoudelijk als financieel. Dat brengt ook met zich mee dat in tijden van bezuinigingen duidelijke keuzes moeten worden gemaakt over waar het beschikbare budget aan te besteden. Op dit vlak kan vanuit de regierol de ruimte nog veel duidelijker worden gedefinieerd. De uitvoeringsorganisatie kan vervolgens een verantwoorde keuze maken binnen de geboden ruimte. Beide partijen hebben hierin dus nog een slag te maken.
terwege blijft, is de realisatie van beleid door de uitvoeringsorganisaties. Om het belang van dit aspect in de beleidsrealisatiecyclus te benadrukken, is als 5e R aan het model toegevoegd.
Realisatie van beleid als 5e R
Dat het groeien naar deze nieuwe regieen samenwerkingsrelatie niet vanzelf gaat, spreekt voor zich. Volgens ons is een aantal randvoorwaarden noodzakelijk. Wij stellen een stappenplan voor langs welk pad het departement en partners in de strafrechtketen kunnen groeien naar de gewenste situatie.
Het idee van richting geven, ruimte bieden en rekenschap afleggen op basis van resultaat, beter bekend als het 4R-model, is van oorspronkelijk bedacht door Paul Schnabel2. Dit model is zeer bruikbaar om de nieuwe regierol, meer horizontaal opererend, van de overheid te beschrijven. Een belangrijk aspect dat daarin echter ach-
Regievoering volgens dit model betekent enerzijds dat de uitvoeringsorganisaties meer verantwoordelijkheid krijgen om de gemaakte beleidsdoelstellingen te realiseren. Anderzijds zal het departement de uitvoeringsorganisatie strikter moeten aanspreken op de resultaten en gemaakte afspraken. Hernieuwde invoering van een instrument als VBTB (Van Beleidsbegroting Tot Beleidsverantwoording) en de focus op de rollen, taken en beschikbare regie-instrumenten van het ministerie, is hier wellicht op zijn plek.
Versterken van de strafrechtketen? Regisseer de ruimte voor resultaat!
Richting geven
Ruimte bepalen Realiseren van beleid
Ruimte voor resultaat
Rekenschap afleggen
2
Resultaten rapporteren
1. Richting geven Als eerste stap zien wij het gezamenlijk herdefiniëren van de eigen rollen en verantwoordelijkheden door ministerie en partners in de strafrechtketen. Hierbij is volgens ons het departement primair verantwoordelijk voor beleidsvorming. Zij heeft een helikopterview voor de ontwikkelingen in de maatschappij en strafrechtketen. Zij anticipeert hierop met het initiëren en ontwikkelen van nieuw beleid. Hiermee worden de kaders aangegeven waarbinnen de uitvoeringsorganisaties het beleid verder kunnen vormgeven en uitvoeren. 2. (Handelings)ruimte bepalen Vervolgens maken ministerie en de uitvoeringsorganisaties afspraken over de ruimte voor beleidsrealisatie en leggen deze vast in een convenant. Er dient een cultuur te worden gecreëerd waar men elkaar op basis van de benutte ruimte en behaalde resultaten kan aanspreken. Dit past ook in de lijn met een vernieuwde sturings - en verantwoordingsrelatie. 3. Realiseren van beleid Na het neerzetten van de kaders en het maken van de afspraken over de beschikbare ruimte, kunnen de uitvoeringsorganisaties aan de slag met het realiseren van nieuw beleid. De regierol biedt ruimte voor eigen verantwoordelijkheid van de uitvoerders. Deze ruimte is echter geen ‘carte blanche’, maar dient door de regievoerder strak te worden afgebakend. De regievoerder bepaalt de randvoorwaarden en geeft vervolgens de ruimte (ook budgettair) aan de uitvoering om deze vrijheden verantwoord toe te passen. 4. Resultaten rapporteren Om inzicht in de prestaties in de strafrechtketen te vergroten, dient de ingeslagen weg van verbeterde informatievoorziening te worden
Prof. dr. Paul Schnabel is directeur van Sociaal Cultureel Planbureau
15
vervolgd. Naast een betrouwbare registratie bevordert dit ook de sturing en monitoring van productie en beleidsrealisatie. Zonder een deugdelijke monitoring valt immers door de uitvoeringsorganisaties niet te regisseren. Met het versterken van de eigen verantwoordelijkheid van uitvoeringsorganisaties als ketenregisseur en ketenpartners kunnen medewerkers binnen deze organisaties ook beter gestimuleerd worden om doelstellingen te realiseren. Immers de betrokkenheid wordt versterkt. Het management dient hiertoe wel geëquipeerd te worden. Nieuwe (digitale) vormen van prestatiemanagement kunnen hierbij van pas komen.
te leggen en te kijken welke elementen al wel gerealiseerd zijn en op welke onderwerpen vooruitgang kan worden geboekt. Er valt veel winst te behalen met een doorontwikkeling van de regierelatie tussen departement en uitvoeringsorganisaties. Het departement zal daarbij de ruimte die zij de uitvoeringsorganisaties biedt transparant moeten definiëren, zowel inhoudelijk als financieel. Op hun beurt dienen de uitvoeringsorganisaties zich te verantwoorden over de verbeteringen die binnen deze ruimte worden gerealiseerd. Door vervolgens open te communiceren volgens de cyclus van rapportage en verantwoording, wordt het mogelijk om zelfs in tijden van bezuinigingen belangrijke verbeteringen in de strafrechtketen te realiseren.
Over de auteurs Wender van Mansvelt MSc en drs. Eelco Smid zijn management consultant bij Capgemini Consulting. Eelco Smid houdt zich vooral bezig met vraagstukken op het terrein van beleidsrealisatie, verandermanagement en communicatie. Wender van Mansvelt is gespecialiseerd in het begeleiden van implementatietrajecten rond nieuwe wetgeving en het faciliteren van ketensamenwerking ter versterking van gezamenlijke prestaties.
5. Rekenschap afleggen Als alle hiervoor genoemde (rand)voorwaarden zijn ingevuld, kan op basis van regie en de daartoe gemaakte afspraken beleid worden uitgevoerd. Dit gebeurt door middel van periodieke overleggen, waar op basis van monitoringsinformatie wordt geregisseerd door departement en uitvoeringsorganisaties. Men spreekt elkaar aan indien de gemaakte afspraken niet worden nagekomen. In eerste instantie dient de verantwoordelijke organisatie het probleem dan zelf op te lossen. Indien dat niet gebeurt of de gepleegde interventie niet tot gewenste resultaten leidt, kunnen passende maatregelen worden getroffen.
Wat levert deze aanpak op? Ondanks alle bezuinigingen vraagt de Nederlandse burger van de overheid dat eenzelfde niveau van veiligheid wordt gegarandeerd. Het ministerie zal moeten putten uit de sturingsinstrumenten die in de huidige, meer horizontaal georganiseerde sturingsrelatie nog tot zijn beschikking staan. Het ‘5Rmodel’ biedt handvatten om de regierelatie tussen departement en zijn uitvoeringsorganisaties optimaal te benutten. Een eerste concrete actie kan zijn om dit model langs de huidige situatie
16
Trends in Veiligheid 2013
Voor meer informatie kunt u contact met de auteurs opnemen via het e-mailadres: trendsinveiligheid.nl@ capgemini.com of persoonlijk via twitteradres @wvmansvelt en @eelcosmid
the way we see it
De keten voorbij
Is er een alternatieve benadering die een integrale effectieve behandeling van complexe problemen door justitie, verbonden met de maatschappij, mogelijk maakt? 17
Een moderne, ‘van buitenaf’ benadering bij het organiseren van het domein van veiligheid en justitie kan niet zonder vergaande digitalisering. De samenleving verandert steeds sneller en wordt complexer, wat consequenties heeft voor de relatie tussen overheid en samenleving. Een complexere samenleving betekent ook complexere problemen. Van de overheid wordt geëist om effectiever en efficiënter te werk te gaan zodat ’meer met minder’ wordt gerealiseerd. De overheid probeert aan deze vraag tegemoet te komen door een en ander binnen de overheid beter te organiseren. De huidige verbeterslag classificeren we als een ‘van binnenuit’ benadering: door de verbeteringen in de processen binnen de overheid te organiseren, worden positieve effecten in de samenleving verwacht. Dit is echter niet voldoende. Om in te kunnen spelen op de actualiteit in de maatschappij moet de overheid ook haar relaties met de samenleving vernieuwen. Burgers vragen om meer transparantie, inspraak en mogelijkheden om zelfredzaam te zijn. Daarom is een benadering ’van buitenaf’ nodig, leidend tot een overheid die bestaat uit - in netwerken opererende - organisaties die zichzelf permanent verbeteren en zich soepel kunnen aanpassen aan de steeds veranderende eisen uit maatschappij en politiek. In het justitiedomein wordt hard getrokken aan de interne verbeterslag in zijn ketens, zoals de vreemdelingenketen en de strafrechtketen. Er worden dwarsverbanden gelegd tussen ketens ín en buiten het justitiedomein (vreemdelingen- en strafrechtketen, jeugdstraf-, jeugdzorg- en jeugdbeschermingsketen). De verbeterrichting wordt echter bepaald door de interne organisatie
18
Trends in Veiligheid 2013
Highlights • Organisaties binnen veiligheid en justitie maken onderdeel uit van de maatschappij en verbinden zich meer en meer met hun omgeving. • Voor de maatschappij staat de behandeling van een verdachte voorop en minder de behandeling van een zaak. • In de complexe, veranderlijke maatschappij waarin een integrale aanpak van complexe problemen nodig is, loopt de toepassing van het ketenconcept tegen zijn grenzen aan. • Enkel een ketenbenadering bij de behandeling van justitiabelen is te beperkt. • De behandeling van complexe problemen vraagt om een integrale benadering. • De transformatie naar een moderne organisatie van veiligheid en justitie kan alleen met een transformatie van de digitalisering.
van het veiligheids- en justitiedomein en in mindere mate door de samenleving of door het subject van de justitieprocessen: de verdachte of vreemdeling. Terwijl diezelfde samenleving vraagt om actief deel uit te kunnen maken van deze uitvoeringsprocessen. Het slachtoffer wil bijvoorbeeld spreekrecht om het verhaal zelf te kunnen vertellen en tevens op de hoogte gehouden worden van het strafverloop van de dader. Uit het Trends in Veiligheid onderzoek 2012 van Capgemini, uitgevoerd door TNS NIPO, blijkt dat 87% van de ondervraagden meer aandacht voor het slachtoffer belangrijk vindt. Van organisaties zoals de rechtspraak en het openbaar ministerie wordt verwacht dat zij uit hun ivoren torens komen en dichter bij de samenleving gaan staan.
Daarnaast wordt het domein van veiligheid en justitie geconfronteerd met complexe problemen waarvan de aanpak zich niet beperkt tot het justitiedomein maar waar een integrale aanpak met overheidsorganisaties buiten het domein voor nodig is. Bijvoorbeeld de jeugdige crimineel die dakloos is en slachtoffer van kindermishandeling. Om de samenleving actief te betrekken bij justitieprocessen en een integrale aanpak van complexe problemen mogelijk te maken, is een benadering van buitenaf nodig. Het doel is om de burger te betrekken bij het werk in het domein van veiligheid en justitie en de verdachte met een complexe problematiek die meerdere uitvoeringsorganisaties raakt, centraal te stellen in de behandeling.
the way we see it
De benadering van buitenaf lichten wij toe aan de hand van een aantal ontwikkelingen in het justitiedomein. In de strafrechtketen wordt hard gewerkt aan een snellere behandeling van zaken. De komst van bijvoorbeeld ZSM zet hier flinke stappen in. Het merendeel van de eenvoudige zaken wordt binnen zes uur na aanhouding beoordeeld. Voor complexe zaken ligt dit ingewikkelder. Complexe zaken zijn zaken waarbij verschillende, onderling samenhangende problemen bij een persoon spelen die om een integrale behandeling vragen. Dit maakt dat meerdere partijen betrokken zijn die situationeel en afhankelijk van elkaar actie moeten ondernemen. Het enkel denken vanuit het ketenconcept blijkt vooral voor die complexe zaken, die vragen om een actueel totaalbeeld van de verdachte, niet meer te voldoen. Aan dat actuele totaalbeeld is een gebrek. Veiligheidsregio’s zetten met de invoering van netcentrische informatievoorziening al een stap om
kunnen inbrengen. Van buiten naar binnen kijken naar de informatiepositie en -behoeften van betrokkenen binnen en buiten ketens, waar het cocreëren van gefundeerde en waardevolle informatie leidend is.
dit totaalbeeld op te kunnen bouwen. Hierin loopt informatie niet via hiërarchische lijnen, maar wordt zo snel mogelijk gedeeld met iedereen voor wie de informatie relevant kan zijn. Deze relevantie is niet beperkt tot de staande organisaties, maar men betrekt ook burgers als dat wenselijk blijkt.
Bij de benadering van buiten naar binnen staat niet de organisatie of keten centraal, maar de persoon die met de informatie handelingsperspectief verkrijgt om gefundeerde beslissingen te nemen. Dit kan zowel de functionaris zijn die een beslissing moet nemen over een persoon (een jeugdige delinquent, een volwassen delinquent, een vreemdeling met of zonder strafrechtelijke antecedenten etcetera), maar ook de burger, het slachtoffer, de burgemeester. Het is zaak ervoor te zorgen dat deze personen over de informatie beschikken die ze nodig hebben om een beslissing te nemen.
Het versterkende karakter van informatie voor alle betrokken partijen zit hem juist in het completeren van elkaars informatie. Voor slachtoffers betekent dit bijvoorbeeld dat zij informatie mogen inbrengen die voor een reclasseringsorganisatie van belang kan zijn. Op basis van deze informatie kan een meer overwogen keuze gemaakt worden over het behandelingsproces van de veroordeelde. Hiervoor het is het nodig dat alle betrokken partijen, dus zowel politie en openbaar ministerie als slachtoffers en burgemeesters, weten wat de informatie is die van waarde kan zijn voor een andere partij en welke informatie zij
De keten voorbij
Van een benadering in ketens....
.....naar een integrale actuele aanpak KMar Douane JutID NVWA, IVW en AI
OM Politie
ZSM
ZM
VHH
meerderjarige persoon
CJIB
COA IND
DJI
BuZa 3RO Medici
NIFP GGZ Gemeenten
KMar = Koninklijke Marechaussee, NVWA = Nederlandse Voedsel- en Warenautoriteit, IVW = Inspectie Verkeer en Waterstaat, AI = Arbeidsinspectie, VHH = Veiligheidshuizen, GGZ = Geestelijke gezondheidszorg, ZM = Rechterlijke macht
19
Deze benadering kan niet zonder digitalisering. De huidige digitalisering binnen het domein van veiligheid en justitie wordt gekenmerkt door ondersteunende ICT voor de individuele justitieorganisaties en de informatisering van de verschillende ketens. De digitalisering die voor deze benadering nodig is, heeft andere karakteristieken. Capgemini Consulting hanteert voor transformaties van organisaties met digitalisering de term ‘Digital Transformation’. Digitale Transformatie gaat over het radicaal verbeteren van de performance en de invloed van organisaties door de toepassing van technologie. Karakteristiek voor deze benadering is: • denken vanuit klanten in nieuwe en veranderende behoeften; • denken in ecosystemen; • denken in producten en diensten; • denken in samenwerkingsmogelijkheden met derden; • denken in de mogelijkheden van nieuwe technologieën. De rode draad door de benadering van deze digitale transformatie, vertaalt naar het justitiedomein, zit erin dat de digitalisering vanuit het ecosysteem van veiligheid en justitie wordt benaderd. De verdachte en het slachtoffer behoren tot dat ecosysteem, maar ook de justitiemedewerker. Elke partij in dat ecosysteem kent een kenmerkende informatiepositie. Het integrale informatiebeeld van de verdachte wordt opgebouwd aan de hand van de beschikbare informatie van alle stakeholders. Dit informatiebeeld wordt niet alleen gekenmerkt door ‘harde’ gegevens (persoonsgegevens, gegevens over strafrechtelijke beslissingen en de voortgang in de afhandeling en dergelijke.) maar ook ‘zachte’ informatie (bijvoorbeeld over de leefomgeving van een verdachte). Afhankelijk van wat een partij (de reclasseringsmedewerker, het slachtoffer, de burgemeester) nodig heeft en mag weten, wordt (een deel van) dit informatiebeeld ontsloten naar die partij. Het integrale informatiebeeld wordt daarmee op maat gesneden op basis
20
Trends in Veiligheid 2013
van diens ’need to know’. De kanalen waarlangs het integrale informatiebeeld kan worden ontsloten, kunnen variëren van papier tot mobiele toepassingen en sociale media. Informatie van binnen en buiten het domein van veiligheid en justitie zijn het vertrekpunt om het integrale informatiebeeld op te bouwen. Er is vervolgens een vorm van orchestratie nodig in de ontsluiting van de informatiebronnen via de geselecteerde kanalen om de informatiepositie van de stakeholders in te vullen. Met orchestratie wordt het in samenhang arrangeren en coördineren van de ontsluiting van de informatie bedoeld. De digitalisering ondersteunt eveneens een flexibilisering in samenwerkingsrelaties en tijd- en plaatsonafhankelijk werken en draagt daarmee bij aan een wendbaardere justitiële organisatie. Nieuwe samenwerkingsrelaties, zowel binnen het domein van veiligheid en justitie als met partijen daarbuiten, of wijzigingen in samenwerkingsrelaties kunnen direct ondersteund worden en de ontsluiting van het informatiebeeld is door mobiele toepassingen niet meer afhankelijk van een werkplek. Overal kan het integrale informatiebeeld opgebouwd en ontsloten worden afhankelijk van de rechten die de al of niet samenwerkende partijen in het ecosysteem daartoe hebben.
van elkaar te zien. Het gaat hier om een transformatieproces waarbij de omslag gaande weg gemaakt wordt. De governance hiervan is de grote uitdaging.
Over de auteurs Drs. Con Sadée en Eva Miltenburg MSc zijn consultant bij Capgemini Consulting. Con Sadée is gespecialiseerd in de transformatie van publieke organisaties en de mogelijkheden die digitalisering daarbij biedt. De organisatie van samenwerking in ketens, netwerken en andere samenwerkingsverbanden maakt daar deel van uit. Eva Miltenburg richt zich op samenwerkingsvraagstukken, optimalisatie van ketenprocessen en wetgevingstrajecten.
Conclusie Een moderne, ‘van buitenaf’ benadering bij het organiseren van het domein van veiligheid en justitie kan niet zonder vergaande digitalisering. Ketens blijven nodig maar voldoen niet meer alleen. Moderne digitalisering geeft justitie de kans om in verbinding te staan met de samenleving, flexibel in te spelen op veranderingen in die samenleving en complexe problemen effectief op te lossen. Een digitalisering met de inzet van moderne ICT-middelen naast de oude ICT biedt hiervoor een oplossing. De transformatie naar die moderne organisatie van het domein van veiligheid en justitie gaat gelijk op met de transformatie van de digitalisering. Zij zijn niet los
Voor meer informatie kunt u contact met de auteurs opnemen via het e-mailadres: trendsinveiligheid.nl@ capgemini.com of persoonlijk via twitteradres @evamburg,
[email protected] en e-mail con.sadee@ capgemini.com
the way we see it
Grip op data: pleidooi voor inrichting van een Digital Operating Model en uniforme dataprocessen
Wat is nodig om betrouwbare data te kunnen leveren en gebruiken?
21
Pleidooi voor de inrichting van een Digital Operating Model en uniforme dataprocessen
In een wereld die steeds digitaler wordt, wordt data steeds belangrijker en omvangrijker. Het mes snijdt voor de overheid aan twee kanten: aan de ene kant biedt alle nieuwe data nieuwe mogelijkheden. Denk bijvoorbeeld aan opsporing. Uit het Trends in Veiligheid 2012 onderzoek van Capgemini, uitgevoerd door TNS NIPO, blijkt dat driekwart van de Nederlandse bevolking denkt dat de steeds toenemende hoeveelheid informatie die via internet, social media en het koppelen van bestanden beschikbaar komt, van invloed is op de opsporingskansen van criminaliteit. Aan de andere kant is de overheid een van de dataleveranciers. Overheden wisselen onderling gegevens uit, zoals binnen de strafrechtketen en vreemdelingenketen, maar delen ook informatie via websites. Met de open datarichtlijnen zal de rol van overheid als leverancier alleen maar verder toenemen. Voor de overheid, zowel als consument of leverancier van data, geldt de vraag: hoe zorg je als overheid ervoor dat de data die je gebruikt en levert betrouwbaar is? Binnen het domein van veiligheid en justitie is er ruime ervaring met het delen van gegevens binnen de ketens. En ook met de moeilijkheid om dit op een efficiënte manier te doen, zoals blijkt uit het programma Versterking Prestaties in de Strafrechtketen, waaronder in 2013 tal van maatregelen en nieuwe werkwijzen worden doorgevoerd die moeten leiden tot kortere doorlooptijden, minder uitval en een kwalitatief betere afdoening van zaken. Verbetering van de ketens betekent dat er steeds meer geïntegreerd wordt gewerkt: van het denken in losse taken naar denken in het functioneren van processen. Dit heeft invloed op de omgang met data, omdat veel intensie-
22
Trends in Veiligheid 2013
ver gegevens worden uitgewisseld tussen taken, processen en organisaties. Dit stelt eisen aan de data. Een van de belangrijkste eisen aan data is dat deze betrouwbaar is. Hergebruik van gegevens in een keten vraagt dat de data juist is, dat deze bruikbaar is voor alle partijen en dat met een gegeven door alle partijen hetzelfde wordt bedoeld (= ontologie, zie tevens artikel Big data in de opsporing: nu pompen om niet te verzuipen).
Wanneer is data betrouwbaar? Betrouwbaarheid is een subjectief begrip. Het hangt af van het doel waarvoor een gegeven wordt gebruikt hoe de betrouwbaarheid wordt ervaren. Door te spreken over onbetwiste data, kan grip worden verkregen op de betrouwbaarheid van data. Data is onbetwist als de bruikbaarheid ervan voor een bepaald doel steeds eenduidig is vast te stellen, en wel zo, dat alle betrokkenen het over de bruikbaarheid eens zijn. Onbetwistheid doet dus geen uitspraak of de kwaliteit van data passend is. Maar wel of de kwaliteit bekend is: de betrouwbaar is dan te bepalen doordat bekend is aan welke kwaliteitseisen de data voldoet en vervolgens te bepalen of dit past bij het doel waarvoor de data zal worden gebruikt. Om ervoor te zorgen dat data onbetwist wordt, moet aan een aantal voorwaarden worden voldaan: • Alle geregistreerde gegevens zijn volledig beschreven, de betekenis ervan en de toegevoegde waarde voor de gebruiker zijn eenduidig en bekend. Hiermee wordt discussie over de betekenis van een registratie voorkomen en is het mogelijk gegevens binnen een keten uit te wisselen. • Een gegeven is een keer geregi streerd: dubbele registraties leiden
Highlights • Samenwerking in ketens vereist betrouwbare data, hiertoe dient data ‘onbetwist’ te zijn. • Een Digital Operating Model schept de randvoorwaarden om onbetwiste data te kunnen realiseren, onder andere door de inrichting van data governance. • Uniforme dataprocessen resulteren in grip op het gebruik van data, van zowel interne als externe bronnen.
tot consistentieproblemen en een exploderende onderhoudsinspanning. • De samenhang tussen geregistreerde gegevens is eenduidig en bekend. Dit maakt eenvoudige verificatie en validatie van gegevens mogelijk en wordt transparantie bereikt. • De juistheid van elk geregistreerd gegeven is bekend. • De actualiteit en geldigheid van elk gegeven is bekend. • De herkomst van elk gegeven is bekend. • Het gegeven is eenduidig beheerd en eenduidig in eigendom. Dit is nodig voor escalatie en kwaliteitsborging.
the way we see it
Impact van onbetwiste data
nisatieonderdelen, processen en data noodzakelijk. Het middel hiervoor is een Digital Operating Model.
In de praktijk blijkt in organisaties data dubbel te worden ingewonnen en vastgelegd. Eigenaarschap is vaak niet duidelijk en het is niet eenduidig bekend waar welke data is vastgelegd en volgens welke definitie. Dit maakt hergebruik binnen een organisatie moeilijk, maar is bovenal een belemmering voor goede samenwerking in een keten.
Digital Operating Model Een Digital Operating Model brengt alle componenten samen die nodig zijn om grip te krijgen op data. Het omvat de middelen, mensen en processen om de digitale strategie te realiseren.
Onbetwiste data heeft impact op alle onderdelen van een organisatie. Het is niet iets wat door een ICT-afdeling ingeregeld kan worden. Juistheid en actualiteit van data vragen dat iedereen bewust is van het belang van juiste en nauwkeurige verwerking van data. Aan de ICT-kant vraagt onbetwiste data wel om een architectuur die enkelvoudige registratie ondersteunt en het delen van data mogelijk maakt.
De digitale strategie kan zijn de uitwisseling van gegevens binnen de bestaande ketens, maar bijvoorbeeld ook hoe deze gegevens breder te delen en informatie van verschillende partijen samen te brengen. De dimensies die nodig zijn om de strategie te realiseren, worden in een overzicht weergeven in een operating model; het maakt het omgaan met data transparant. Het Digital Operating Model is opgebouwd uit zes architectuurdimensies en drie integratiemechanismen.
Gezien de organisatiebrede impact die realisatie van onbetwiste data heeft, is inzage in de samenhang van orga-
Architectuurdimensies: • Kanalen worden gebruikt voor datauitwisselingen binnen de organisatie en met externe partijen. De kanalen dienen te passen bij de behoefte van de afnemer. • Businessprocessen omvatten de dataprocessen en processen die waarborgen dat data efficiënt wordt gebruikt ten dienste van de strategie. • Organisatiestructuur geeft weer welke organisatieonderdelen betrokken zijn bij de dataprocessen en verdeelt mandaat en resources voor uitvoering van de dataprocessen. • Fysieke infrastructuur biedt de middelen en faciliteiten die nodig zijn bij het verkrijgen, verwerken en distribueren van data. • ICT-architectuur coördineert ICTapplicaties en infrastructuur om de dataprocessen te ondersteunen. • Data & informatie omvat het data- en informatiemodel van de eigen organisatie en externe bronnen.
Figuur 1: Het Digital Operating Model
trategy and Business M ital S ode Dig l
OPERATING MO DE ITAL L DIG
C
er Exprien tom ce us
ess s sin Bu esse c Pro
Culture & Leadership
D Info ata & rm atio n
Channels
Physical Infrastructure
Enterprise Performance Management
Org a Str nisati uct on ure
IT ture c hite c r A
CUSTOMER Governance
Het Digital Operating Model is opgebouwd uit zes architectuurdimensies en drie integratiemechanismen. 23
Figuur 2: Stappen binnen het Digital Operating Model
trategy and Business M ital S ode Dig l
OPERATING MO ITAL DE L DIG
C
CUSTOMER
IT ture itec
Consolideren h Arc
Enterprise Performance Management
Prioriteren Governance
ies rat Ite
Ite rat ies
De beoogde doelstelling wordt vastgesteld door het ontwerpen van een high level Digital Operating Model. Tijdens elke volgende stap worden de details van het operating model verder uitgewerkt. De vervolgfasen worden bepaald volgens de mantra: prioriteren, uniformeren, consolideren. Prioriteitstelling vindt plaats op basis van de verwachte positieve bijdrage aan de bedrijfsvoering. Uniformeren verwijst naar het toepassen van standaarden in normalisatie, tooling en werkwijzen. Consolideren brengt vervolgens identieke activiteiten samen.
er Exprien tom ce us
Org a Str nisati uctu on re
De beschrijving van het Digital Operating Model kan de suggestie wekken dat een uitgebreid programma noodzakelijk is, voordat er resultaten kunnen worden geboekt. In een tijd waar ontwikkelingen elkaar steeds sneller opvolgen en de hoeveelheid data die ter beschikking komt snel toeneemt, is het noodzakelijk pragmatisch te werk te gaan. Geen uitgebreide methodes, maar kortcyclische, iteratieve stappen, waarbij de resultaten en voortgang continu getoetst worden aan de beoogde doelstelling.
D Info ata & rm atio n
Channels
Culture & Leadership
Prioriteren, uniformeren, consolideren
s tie ra Ite
Ite rat ies
Digital Operating Model
ess s sin Bu esse c Pro
• Cultuur & leiderschap bevat een duidelijk beeld van gewenste mentaliteit en gedrag voor de omgang met data. • Enterprise performance management controleert de performance met betrekking tot data, zoals de mate waarin onbetwiste data wordt geleverd. • Governance zorgt voor duidelijkheid en eenduidigheid aangaande de besluitvorming rondom data.
Physical Infrastructure
Integratiemechanismen:
Uniformeren
tie op dezelfde manier wordt gewerkt; uniforme dataprocessen voorkomen dat er eigen informatiebronnen ontstaan en het zicht op waar welke data is vastgelegd, vertroebeld. Uniforme dataprocessen maken centrale regievoering over de verwerking en distributie van gegevens mogelijk. Het dataproces bestaat uit drie hoofdstappen: inwinnen, bewerken en distribueren.
Inwinnen zorgt ervoor dat gegevens beschikbaar komen. Dit kan variëren van simpele registratie van een feit tot uitlezen van sensordata of ontvangen van externe gegevens, zoals van ketenpartners. Het resultaat van inwinnen zijn registraties van ruwe data. Inwinnen zorgt voor recordmanagement: garanderen dat de herkomst van alle geregistreerde gegevens traceerbaar is. De stap bewerken maakt van ruwe data informatie. Hiertoe worden de gegevens
Figuur 3: Dataproces: de keten voorbij
Dataproces Essentieel onderdeel van het operating model zijn de dataprocessen. Hierin komen mensen, middelen en verantwoordelijkheden samen. Goed ingerichte dataprocessen zorgen ervoor dat data van een kwaliteitsstempel kunnen worden voorzien en waarborgen dat data onbetwist is. Het is dan wel randvoorwaardelijk dat binnen een organisa-
24
Trends in Veiligheid 2013
Inwinnen
Bewerken
Distribueren
the way we see it
gecontroleerd op bruikbaarheid en plausibiliteit. Vervolgens kunnen informatieproducten worden gemaakt door het uitvoeren van bewerkingen op basis van de onbetwiste gegevens. Een informatieproduct kan bijvoorbeeld zijn de doorlooptijd van een strafzaak. Hiertoe worden de gegevens startdatum van een strafzaak en datum afdoening van de zaak gebruikt. Deze gegevens kunnen in verschillende bronnen zijn vastgelegd. Het datamodel zorgt ervoor dat de gegevens eenduidig zijn vastgelegd en vindbaar zijn. De data en informatiemodellen zijn leidend om ervoor te zorgen dat informatie op de goede manier wordt opgeslagen, zodat deze vindbaar en bruikbaar wordt en dubbelingen worden voorkomen. Distribueren zorgt ervoor dat het informatieproduct op de juiste wijze, op het juiste moment met de juiste kwaliteit via het juiste kanaal aan de juiste afnemer wordt afgeleverd. De afnemer kan een externe partij of bron zijn zoals een website of ketenpartners, maar ook eigen medewerkers of systemen die de data gebruiken.
en betere informatieuitwisseling in de bestaande ketens, maar ook met andere partijen. Wanneer vervolgens ook uniforme dataprocessen worden ingevoerd, wordt echt grip verkregen op data uit diverse interne en externe bronnen. De processen borgen dat data gecontroleerd wordt en vervolgens op een manier wordt opgeslagen, zodat het vindbaar en herbruikbaar is. De waarde die ligt besloten in data die bij alle partijen ligt opgeslagen, kan dan echt worden benut voor versnelling en verbetering van bestaande en nieuwe ketens.
Over de auteurs Drs. Edwin Kok MBA is client director voor het ministerie van Veiligheid en Justitie bij Capgemini. Ir. Marijke de Jong-Bultsma is management consultant bij Capgemini Consulting. Marijke de Jong-Bultsma is gespecialiseerd in de samenwerking tussen business en ICT en richt zich daarbij specifiek op vraagstukken rondom data en informatievoorziening.
Elke stap van het dataproces draagt bij aan naleving van de kwaliteitsregels. Daarnaast zijn er een aantal ondersteunende processen die ingericht dienen te worden om leveren en behouden van onbetwiste data te kunnen blijven garanderen. Een belangrijke is inrichten van een terugmeldproces; wanneer iemand in de keten kwaliteits-issues constateert, kan dit teruggemeld worden aan de eigenaar van de data. Het issue kan hierdoor direct opgepakt en verholpen worden.
Grip op data Het Digital Operating Model geeft antwoord op de discussie van wie welke data is, wie de meest actuele en juiste data heeft. Het beëindigt dubbele inwinningsprocessen en vergroot zo de efficiëntie van de bedrijfsvoering en de betrouwbaarheid van data. Dat leidt tot onbetwiste data. En onbetwiste data leidt tot voordelen, zoals snellere
Voor meer informatie kunt u contact met de auteurs opnemen via het e-mailadres: trendsinveiligheid.nl@ capgemini.com of persoonlijk via
[email protected] en marijke.dejong-bultsma @capgemini.com
25
Big data in opsporing: nu pompen om niet te verzuipen
Wat te doen aan de verstikking door de exponentieel groeiende data binnen de opsporing? Highlights • Datastromen in opsporing groeien exponentieel. • Opsporingsinstanties moeten nu starten met pompen om niet te verzuipen in big data. • Ontologie is de randvoorwaarde om big data te structureren. • Geautomatiseerde opsporing kan in terabytes aan data de gewenste informatie detecteren. • De analist krijgt meer ruimte voor analyse-informatie, door minder handmatig structureren van data.
26
Trends in Veiligheid 2013
the way we see it
Uit recente ervaringen blijkt dat opsporingsinstanties alleen met ontologie en geautomatiseerde opsporing kunnen voorkomen dat ze verzuipen in big data. Big data is het buzzword voor dataverzamelingen die groot en complex zijn, maar ook snel groeien. We genereren steeds meer data door het gebruik van internet, social media, smartphones en camera’s. Ook zien we steeds meer in, dat deze vorm van data in de opsporing belangrijke feiten kan opleveren, als je maar in staat bent om de speld in de hooiberg te vinden1. Erwin van Eijk van het Nederlands Forensisch Instituut (NFI) wijst er in De Telegraaf2 (april 2012) op dat er bij het NFI tegenwoordig 2.000 keer zoveel data wordt onderzocht als in 1998. “Het aantal digitale onderzoekers is sindsdien slechts vertienvoudigd. We moeten dus slimme methoden bedenken om die datagroei bij te benen.”
Het aantal digitale onderzoekers is sindsdien slechts vertienvoudigd. We moeten dus slimme methoden bedenken om die datagroei bij te benen.’’ Traditionele verwerking en analyse van deze data is niet langer toereikend. Opsporingsinstanties hebben bij uitstek behoefte om zo veel mogelijk data te verzamelen om criminaliteit te ontdekken, te analyseren en te vervolgen.
Het wordt verzuipen… Bij onderzoek naar criminele activiteiten krijgen opsporingsinstanties te maken met exponentieel groeiende hoeveelheden data in diverse vormen en maten. Niet alleen (in beslag genomen) computers en telefoons waarop veel bestanden staan, maar ook externe databronnen zoals e-mailverkeer, sms’jes, internetfora en andere multimedia. Juist deze grote hoeveelheden, ongestructureerde data levert opsporingsorganisaties veel ongemak op3.
In de spraakmakende kinderpornozaak tegen Robert M. meldde RTL Nieuws in maart 2012 dat het digitale onderzoek in de Amsterdamse zedenzaak een enorme klus was. De politie trof in de woning van Robert M. en Richard van O. een groot aantal datadragers aan die zeer goed beveiligd waren. In de woning van de verdachten vond de politie onder meer 4 computers, 3 externe harde schijven, 2 USBsticks, 2 geheugenkaarten, 2 videocamera’s, een fotocamera, 4 mobiele telefoons, 246 cd-roms en 74 diskettes. De ‘datadragers’ van M. bleken vol te staan met acht terabyte aan kinderporno. Het in 2012 uitgevoerde Trends in Veiligheid onderzoek van Capgemini, uitgevoerd door TNS NIPO, wijst uit dat het publiek verwacht dat opsporingsinstanties al deze verschillende media gebruiken om criminelen te pakken4. Sterker nog: het afbreukrisico is groot als achteraf bekend wordt dat criminaliteit voorkomen had kunnen worden, omdat informatie al aanwezig was, maar nog niet goed op het netvlies van de opsporingsinstantie stond.
Capgemini: Big Data: Next Generation Analytics http://www.telegraaf.nl/binnenland/article20044368.ece Capgemini: The deciding factor, big data & decision making 4 Onderzoek Capgemini, Trends in Veiligheid december 2012 1 2 3
27
Op de huidige voet voortgaan is geen optie meer. Steekproeven nemen is niet toereikend door het risico op gemiste kansen. Keuzes maken en zaken op de plank laten liggen vanwege gebrek aan tijd, geld en capaciteit, is ook niet acceptabel. Er is een andere aanpak nodig om te voorkomen dat opsporingsinstanties verstikken in de grote en diverse hoeveelheid data.
Ontologie: van pluriforme naar uniforme data Er moet eerst een schifting worden gemaakt in alle data die tijdens een onderzoek beschikbaar komt. Welke data bevat bruikbare informatie voor de opsporing en geeft richting aan het onderzoek en welke data is slechts ruis? Want niets verkoopt zo slecht dan te moeten concluderen dat de verkeerde sporen zijn onderzocht en er geen tijd meer is om de juiste sporen te analyseren. Maar hoe kan dan het kaf van het koren op een verantwoorde manier gescheiden worden? Om de data te kunnen scheiden in ruis en bruikbare informatie moet deze uniform zijn. Data is zonder bewerking in eerste instantie altijd pluriform van aard en kan dus niet zonder meer met elkaar vergeleken worden of van elkaar worden gescheiden. Aan alle data die beschikbaar is, moet een betekenis gegeven worden, wil deze waarde hebben. Hiervoor zullen organisaties intern afspraken moeten maken: er moet één definitie zijn, ofwel één ontologie waartegen alle data kan worden afgezet. Een ontologie is een conceptueel schema waarmee alle relevante entiteiten en relaties binnen een domein worden vastgelegd. Ongeacht welke data aanwezig is en hoe het er uit ziet, het wordt interpretabel gemaakt en kan gebruikt worden voor analyse of automatische verwerking. Het gebruik van een ontologie heeft grote voordelen. Als bijvoorbeeld verschillende providers telefoonlijsten aanleveren in verschillende formaten en andere standaarden, dan kan deze informatie via een ontologie
28
Trends in Veiligheid 2013
gestandaardiseerd worden. Hierdoor worden telefoonnummers altijd op eenzelfde manier vastgelegd evenals tijd, locatie en duur van een gesprek. Door data via een ontologie betekenis te geven, kan bepaald worden of deze van toegevoegde waarde is of niet. Door een gemeenschappelijk kader kan een opsporingsteam de data interpreteren, stapelen of simpelweg negeren. Nog steeds ligt dan echter het gevaar, op de loer om te verstikken in de grote hoeveelheid data. Om snel richting te kunnen geven, moet de waardevolle data automatisch gedetecteerd worden.
Intelligence: geautomatiseerde opsporing De razendsnelle ICT-ontwikkelingen in het afgelopen decennium hebben ervoor gezorgd dat er diverse oplossingen op de markt zijn die relevante data automatisch kunnen detecteren. Hiermee zijn we in staat om in korte tijd (en veelal realtime) grote hoeveelheid data te verwerken. Hoe kunnen we met deze oplossingen het automatische proces zo inrichten dat de voor de opsporing relevante informatie boven komt drijven? Nadat de data met ontologie gestructureerd is, kan relevante data automatisch gedetecteerd worden, bijvoorbeeld door data te aggregeren. Zo kan er uit een grote hoeveelheid telefoonverkeer worden gedetecteerd met wie
de meeste contacten zijn geweest. Daarnaast is het ook mogelijk om kennisregels in te zetten: als binnen een uur een kenteken van een auto gesignaleerd wordt in Groningen en Maastricht kan dat automatisch gedetecteerd worden als een verdachte combinatie van kenteken en locatie. Toch blijkt dit makkelijker gezegd dan gedaan. De meeste oplossingen beschikken over de mogelijkheid om op alle mogelijke variabelen in het systeem sturing te geven aan het geautomatiseerde proces en daarmee de uitkomst, bij voortschrijdend inzicht of nieuwe maatschappelijke ontwikkelingen, nader te optimaliseren. Doel bij het instellen van deze variabelen is tweeledig: • Het aantal ‘false negatives’ tot nul reduceren: het opsporingsfeit wordt als niet relevante data beschouwd en via het afvoerputje afgevoerd. • Het aantal ‘false positives’ beperken: niet relevante data wordt als opsporingsfeit getoond, met onnodige opsporingsactiviteiten als gevolg. Met andere woorden: het optimum proberen te vinden. Dit optimum wordt bereikt met het koppelen van de juiste bronsystemen, het toepassen van ontologie en het gebruik van geautomatiseerde analyseprocessen (intelligence).
Figuur 1: Big data in opsporing: nu pompen om niet te verzuipen SMS’t naar
Eigenaar Persoon
Gebruikt Telefoon
Telefoon
Belt naar
Persoon
the way we see it
Geautomatiseerde intelligence in de praktijk Op enkele luchthavens wordt gebruikgemaakt van moderne technologie bij de controle van passagiersgegevens. We kunnen ervoor kiezen om iedere passagier te controleren maar we kunnen hier ook slimmer mee om gaan. Door bijvoorbeeld alle passagiersgegevens automatisch te vergelijken met lijsten van mensen die bij de overheid bekend zijn. Het systeem controleert automatisch alle passagiers en informeert de organisatie indien een mogelijk verdachte passagier aangetroffen wordt, de organisatie kan op basis van deze informatie acteren. Recent is het risicodetectiesysteem RADAR bij het ministerie van Veiligheid en Justitie in gebruik genomen als middel om rechtspersonen niet alleen bij de oprichting, maar ook tijdens latere levensloopmomenten te controleren. RADAR is in staat om uit een aantal, nog niet eerder op deze schaal bij elkaar gebrachte, omvangrijke databases gegevens te verzamelen en middels dynamische confrontatie van de gegevens te analyseren op aspecten die mogelijk met zaken als fraude en witwassen te maken hebben. De signalen van misbruik van rechtspersonen die uit RADAR komen, worden in de vorm van een risicomelding gedeeld met relevante organisaties zoals de belastingdienst, politie en bijzondere opsporingsdiensten. Met deze unieke oplossing loopt het ministerie van Veiligheid en Justitie voorop in Europa, waar criminaliteit met rechtspersonen een groeiend aandachtspunt vormt. Door geautomatiseerde intelligence is het mogelijk om uit datastromen de waardevolle of potentieel interessante informatie volledig geautomatiseerd te herkennen en ter nadere analyse aan te bieden aan het opsporingsteam. Hierdoor geeft het automatische proces richting aan het onderzoek: het opsporingsteam kan zich direct richten op potentieel interessante of waardevolle informatie in plaats van te beginnen met
Figuur 2: Big data in opsporing: nu pompen om niet te verzuipen Vervolging
Opsporingsfeiten
Analyseren
Geautomatiseerde opsporing
Detecteren
Ontologie
Structureren
Big data
@
zoeken naar wat potentieel belangrijke informatie zou kunnen zijn. De informatieanalist die sturing geeft aan het geautomatiseerde proces krijgt hiermee een prominentere rol in het onderzoek.
Nu pompen! De datastromen in de opsporing groeien exponentieel. Als de opsporingsinstanties niets doen, verstikken zij op den duur in de toenemende hoeveelheid data. Wie niet wil verzuipen, moet zich nu gaan voorbereiden op het pompen. Met geautomatiseerde opsporing kunnen we in terabytes aan data de gewenste informatie detecteren. De technologie is er. Het is alleen een kwestie van bepalen welke oplossing voor een specifiek probleem het meest geschikt is. Ontologie is hierbij een randvoorwaarde om big data te structureren. De informatieanalist krijgt hierbij meer ruimte voor sturing aan het geautomatiseerde proces, omdat minder tijd wordt besteed aan het handmatig structureren van data.
Etc.
Over de auteurs Marcel Kordes is als business consultant gespecialiseerd in risico- en informatiegestuurd werken binnen de publieke sector. Ing. Rob Vernooij is als business consultant betrokken bij de inrichting en optimalisatie van (geautomatiseerde) processen in opsporingsomgevingen. Drs. Paul Lengkeek is projectleider in de public security sector en is gespecialiseerd in projecten op het snijvlak van organisatieverandering en ICT.
Voor meer informatie kunt u contact met de auteurs opnemen via het e-mailadres: trendsinveiligheid.nl@ capgemini.com of persoonlijk via marcel.kordes@ capgemini.com, rob.j.vernooij@ capgemini.com en paul.
[email protected]
29
De menigte onder (online) controle!
30
Trends in Veiligheid 2013
the way we see it
Hoe kunnen we social media inzetten als sturingsmiddel van de online menigte? Highlights • Menigten organiseren zich steeds vaker online, om daarna fysiek bij elkaar te komen. • Publieke en private organisaties die betrokken zijn bij (ongeplande) evenementen kunnen de impact van social media niet meer negeren. • In de bestuurlijke en organisatorische sturing dient hierop te worden geanticipeerd en een combinatie te worden gemaakt van fysieke en online crowd control. • Dit betekent nieuwe rollen, verantwoordelijkheden en werkwijzen voor bestuur en organisatie. • Uitdaging zit in de samenhang tussen online en fysiek besturen van menigten die zich online en fysiek organiseren.
31
Social media biedt mogelijkheden om voor en tijdens het (ongeplande) evenement de online crowd te monitoren en sturen.
gedeeld, maar ook verzameld te worden door organisatie en bestuur. Een groot deel van de ondervraagden ziet een rol voor social media weggelegd in het nemen van preventieve maatregelen tegen bijvoorbeeld spontane feesten.
Impact van social media De afgelopen jaren is Nederland opgeschrikt door verschillende uit de hand gelopen evenementen die het vertrouwen in overheidsoptreden hebben geschaad. De snelheid waarmee een ogenschijnlijk onschuldig verjaardagsfeestje in Haren kan escaleren, leert ons dat veiligheidsorganisaties het niet meer redden met alleen traditionele middelen: we kunnen niet meer om de online wereld heen. Zoals Vasterman (2001: 299) stelt: “De constructie van afzonderlijke incidenten tot een sociaal probleem vindt plaats in een complex definiëringproces waarin allerlei maatschappelijke actoren actief zijn1.” In het artikel: Geen crisisbeheersing zonder social media in de voorgaande editie van Trends in Veiligheid (2012) is benoemd dat crisis- en beheersorganisaties social media concreet moeten opnemen in hun aanpak. De bewustwording daarover groeit en organisaties zetten daadwerkelijke stappen. Recente ontwikkelingen zoals Project X laten zien dat we nog niet volledig in staat zijn om tijdig informatie uit social media te analyseren en hierop te acteren. Men is onvoldoende bekend met het sturingseffect dat social media bij grote groepen teweeg kan brengen. Uit het Trends in Veiligheid onderzoek 2012 van Capgemini, uitgevoerd door TNS NIPO, blijkt dat 45% van de ondervraagden vindt dat coördinatie en besturing bij veiligheidsincidenten niet goed geregeld is. Een deel van deze coördinatie en besturing dient online te worden uitgevoerd. Op social media dient informatie
1
De constructie van afzonderlijke incidenten tot een sociaal probleem vindt plaats in een complex definiëringproces waarin allerlei maatschappelijke actoren actief zijn.”1 Online crowd control Project X Haren laat ons een nieuwe ontwikkeling zien in het veiligheidsdomein. Social media maakt het mogelijk om in een zeer korte tijd grote groepen mensen online en fysiek bij elkaar te brengen. Hoewel niet in elke oproep gevaar, dreiging of een daadwerkelijke crisissituatie schuilt, laat Project X zien dat een per ongeluk publiekelijk op Facebook geplaatste uitnodiging duizen den mensen op de been kan brengen. Gebruik van social media door groepen geeft de term crowd control een bredere dimensie. Crowd control is samen te vatten als ‘het in goede banen leiden van grote menigten bij (publieks-) evenementen ter voorkoming van escalerende situaties’. Crowd control is daarmee een afgeleide van crowd management, de voorbereiding van het in goede banen leiden van het evenement. Gezien de nieuwe ontwikkelingen zou men echter kunnen spreken van een noodzaak om online crowd control vorm te geven. Hoe beheers je online en fysiek grote groepen mensen die online actief zijn én fysiek bij elkaar (gaan) komen?
Complexiteit van social media bij online crowd control Social media heeft miljoenen gebruikers en blijft in aanbod en gebruikers groeien. In de online crowd vormen zich virtuele netwerken tussen gebruikers. In deze netwerken wordt informatie gedeeld waar men (fysiek) naar toe gaat, tot aan hun exacte locatie toe (GPS), waar ze mee bezig zijn of wat hun mening is. Deze informatie is vooraf en tijdens een evenement/incident zeer waardevol voor het goed begeleiden van een crowd met zowel een fysieke als online aanwezigheid. Social media is voor verantwoordelijke bestuurders meer dan een communicatiekanaal. Zo biedt succesvolle social media inzet de mogelijkheid een menigte online te informeren over een situatie (‘capaciteit evenement is bereikt’), ze aan te sturen door te adviseren (‘gebruik route B voor een snelle doorstroming richting het evenement’) of actief informatie te vragen en de dialoog aan te gaan (‘heeft iemand een beschrijving of foto van locatie C’). De bestuurder kan deze informatie gebruiken als input voor een beslissing. Zo had bijvoorbeeld in het geval van Project X Haren besloten kunnen worden dat een feest onder verantwoording van de gemeente werd georganiseerd om de menigte zo in gestructureerde banen te leiden. Hier ligt een uitdaging. Hoe beoordeelt men in korte tijd berichtgeving op juistheid en impact? Speculatie, onwaarheden of geruchten zorgen voor ruis en voor verkeerde informatie. Dit maakt het lastig om informatie een gedegen plaats in het besluitvormingsproces te geven. Ook rollen en verantwoordelijkheden in de online en fysieke wereld kunnen verschillend zijn. Hoe profileren bestuurders van veiligheidsorganisaties zich als sturend in deze ‘overactieve informatieomgeving’? Online herkenbaar zijn als bestuurder voor de menigte en als betrouwbare informatiebron worden
Vasterman, P. (2001), ‘Zinloos geweld als mediahype. De aanjagende rol van de media bij de sociale constructie van zinloos geweld’, Bestuurskunde, 10 (7), pp. 299-309.
32
Trends in Veiligheid 2013
the way we see it
gezien, ligt in de huidige bestuurlijke cultuur minder voor de hand dan fysieke herkenbaarheid. Voor het managen van de online crowd kan een transparante online bestuurlijke rol gewenst zijn. Dit kan grote impact hebben op de beeldvorming over het optreden van verantwoordelijke veiligheidsorganisaties. Immers, social media maakt het situationele beeld en daarop volgende bestuurlijke maatregelen en communicatie inzichtelijk voor iedereen.
De positie van social media in de veiligheidsketen
Proactie
Preventie
Nazorg
Sociale media
De kracht van online schakelen De veiligheidsketen biedt een stelsel van opeenvolgende en van elkaar onafhankelijke schakels. De vijf schakels van de keten zijn proactie, preventie, preparatie, repressie en nazorg, waar de eerste drie voorafgaand aan het incident liggen. Repressie speelt tijdens het incident, nazorg tijdens het herstel van de normale situatie. Elk van deze schakels betekent voor een bestuur een specifieke online interactie met de organisatie en menigte, naast de fysieke maatregelen die worden genomen. In dit artikel behandelen wij de online sturingsmaatregelen. We gebruiken als voorbeelden Pukkelpop en Lowlands. Pukkelpop is een jaarlijks terugkerend popfestival in de zomer nabij het Belgische Hasselt. In 2011 werd het festival, met 60.000 bezoekers, getroffen door een zware zomerstorm. Hierbij kwamen vijf mensen om het leven, tien bezoekers raakten zwaargewond en honderd bezoekers lichtgewond. Lowlands is een vergelijkbaar festival in Biddinghuizen, dat in augustus 2012 werd getroffen door een extreme hittegolf. Proactie Proactie betreft de inspanningen die gericht zijn op het vermijden risicovolle situaties. In deze fase kan gedacht worden aan online voorlichting over risicovolle situaties en monitoren van social media over ongewenste groepsvorming. Proportionaliteit is hier belangrijk: maak een helder onderscheid tussen hoog
Repressie
Preparatie
Online sturingsmaatregelen in de veiligheidsketen
Proactie
Preventie
• Zichtbaar als bestuurder; aanwezig op social media.
• Voorlichten over risicovolle situaties.
• Reageren op vragen, maar ook op het (ongewenste) gedrag van één persoon of een groep personen.
• Monitoren van social media over mogelijke ongewenste groepsvorming.
• Communiceren over de consequenties van het online gesignaleerde (ongewenste) gedrag.
• Inzet op de-escalatie.
• Faciliteren van zelfstandige risicoanalyse door publiek.
• Tijdig en locatiespecifiek personen informeren. • Monitoren van effect communicatie en voorlichting, met bijsturing waar nodig.
Preparatie
• Ontwerpen van scenario’s voor mogelijke situaties van het evenement en daarbij horende bestuurlijke (online) maatregelen.
• Maatwerk in de online en fysieke wereld.
33
en laag risico en herijk waar nodig de reactie op een wijziging van het risico dan wel in reactie op een dreiging: extreme weersomstandigheden, zoals in het geval van Lowlands en Pukkelpop, impliceren een grote mate van dreiging en daarmee noodzaak tot voorlichting. Neem online de bezoekers mee in de overweging om het feest ondanks de dreiging toch door te laten gaan, zodat zij tevens zelf de risicoafweging kunnen maken. Preventie Preventie omvat alle maatregelen die risicovolle activiteiten zo veilig mogelijk moeten maken. De fase betreft de (online) informerende sfeer: maak duidelijk hoe de veiligheid gewaarborgd wordt en geef ook duidelijk aan wat wel en niet geoorloofd is. Vooraf communiceren over consequenties van het online gesignaleerde gedrag kan remmend werken. Belangrijk is ook het effect hiervan: wat zijn de interacties die plaatsvinden na het stellen van regels? Kerndoel in de preventiefase is de-escalatie. Uit een analyse2 naar tweets die zijn verstuurd tijdens Pukkelpop, blijkt dat een piekmoment van tweets bestaat 90 minuten voor de storm. Door de afwezigheid van de autoriteiten en evenementenorganisatie op social media werden alarmerende berichten van de menigte op snelle veranderende weerssituatie niet tijdig opgemerkt. Op Lowlands is wel actief gebruikgemaakt van social media, bijvoorbeeld door een applicatie voor smartphones. De organisatie kon zo beter, tijdiger en specifieker bezoekers informeren over de extreme weerssituatie. Preparatie Preparatie betreft de voorbereiding op rampen, als het vrij zeker is dat de crisis ook daadwerkelijk gaat plaatsvinden. Het monitoren van social media maakt het signaleren van potentiële ordeverstoorders, opruiers en risicovol gedrag
2
mogelijk. Hierdoor kan men specifieke maatregelen nemen. Maatregelen die voorkomen dat omstanders deelnemen aan ongeregeldheden, of die positief een ontstane grimmige sfeer kunnen weerleggen, kunnen bij uitstek online worden toegepast. Organisatie Lowlands 2012: “Zeker op Twitter kunnen heel snel de wildste geruchten ontstaan. Als je een eenduidige boodschap heel snel op verschillende kanalen kunt verspreiden, dan voorkom je dat.” (NOS, 15 augustus 2012). Door informatie verkregen via social media leidend te laten zijn, heeft de organisatie slim geanticipeerd en mogelijke escalatie voorkomen.
Zeker op Twitter kunnen heel snel de wildste geruchten ontstaan. Als je een eenduidige boodschap heel snel op verschillende kanalen kunt verspreiden, dan voorkom je dat.”
Voor het sturen van grote menigten is zowel fysieke als digitale crowd control belangrijk, met goede analyses voorafgaand, tijdens en na de crisis. Maak gebruik van de mogelijkheden die online hierin biedt en zorg voor een consistente boodschap. Pukkelpop heeft in 2012 laten zien geleerd te hebben van 2011, zo beschikte men over een applicatie voor smartphones, een site, lichtkranten en een radiozender waarop informatie en waarschuwingen op kunnen verschijnen (NOS, 15 augustus 2012).
Over de auteurs Karin van de Laar MSc, Eva Miltenburg MSc en Evelien van Zuidam MSc zijn consultant bij Capgemini Consulting. Karin van de Laar is gespecialiseerd in crisismanagement en netwerksamenwerking, Eva Miltenburg richt zich op samenwerkingsvraagstukken, optimalisatie van ketenprocessen en wetgevingstrajecten, Evelien van Zuidam houdt zich bezig met zowel crisisvraagstukken zoals de effecten van social media op het veiligheidsdomein.
De online wereld en fysieke wereld ontmoeten elkaar onvermijdelijk In elk van de benoemde fases in de veiligheidsketen kan een beoordeling van informatie en het profileren als sturende organisatie in de online wereld van invloed zijn op de menigte die zich (tevens) in de fysieke wereld heeft verzameld. Het toverwoord daarbij is interactie. Waar in de fysieke wereld aanwezigheid van bijvoorbeeld veiligheidsorganisaties zichtbaar is, wordt een organisatie in de online omgeving pas zichtbaar als het reageert op anderen. De online en fysieke aspecten van een evenement kennen een versterkend karakter en kunnen niet meer los van elkaar worden gezien.
Voor meer informatie kunt u contact met de auteurs opnemen via trendsinveiligheid.nl@ capgemini.com of persoonlijk via ons twitteradres @karinvandelaar, @evamburg of @evelienvz
In opdracht van Stichting Flood Control is een analyse verricht naar de tweets die voorafgaand, tijdens en na de stom zijn verstuurd op Pukkelpop (Twitter in crisiscontrol, 2011)
34
Trends in Veiligheid 2013
the way we see it
Meer rendement uit cocreatie met burgers en bedrijven: een Digital Capabilities Center
Hoe een Digital Capabilities Center de politie helpt het maximale te halen uit de kansen die de digitale revolutie biedt.
35
De politie is sinds jaar en dag bezig met de inzet van nieuwe inzichten en technologieën om burgerparticipatie vorm te geven. Men beoogt hiermee de effectiviteit van de politie te vergroten en de legitimiteit van de politie binnen de samenleving te verstevigen. De snelle ontwikkeling van digitale technieken zoals social media maakt het mogelijk om beide strategische doelstellingen van de nationale politie een extra impuls te geven. Zo krijgt burgerparticipatie een extra verdieping door de realisatie van cocreatie met burgers en wordt de digitale publiekscommunicatie gestroomlijnd. Het kan echter beter. Momenteel worden veel initiatieven in de eenheden geïnitieerd, maar komen deze initiatieven onvoldoende tot wasdom en wordt de volledige potentie slechts beperkt gerealiseerd. In dit artikel beogen de schrijvers meer inzicht te geven in de ontwikkelingen in burgerparticipatie en de wijze waarop een Digital Capabilities Center deze ontwikkelingen succesvoller kan maken.
Highlights • Binnen
burgerparticipatie is een ontwikkeling naar meer cocreatie-initiatieven te zien.
• De
digitale revolutie maakt het mogelijk de burgerparticipatie en cocreatie-initiatieven een impuls te geven.
• Inspelen
op de digitale revolutie vergt een digitale transformatiestrategie en centrale ondersteuning en regie.
• Een
Digital Capabilities Center helpt de politie burgerparticipatie en cocreatie-initiatieven effectief en rendabel te maken.
midden jaren negentig van de vorige eeuw op de agenda. Zelfredzaamheid, actief burgerschap en responsabilisering zijn kernbegrippen binnen de gedachte dat veiligheid in eerste instantie een zaak van burgers zelf is. Dit blijft niet beperkt tot preventieve maatregelen, zoals het beveiligen van eigen bezit maar ook interventies bij crimineel gedrag. Criminaliteit kan door burgers en bedrijven worden bestreden en aangepakt. Dit betekent dat de burger een serieuze partner is van de politie en ook als zodanig wordt benaderd.
Ontwikkeling in burgerparticipatie; meer cocreatie “Wij zijn een politie die intensief samenwerkt met burgers en partners, vanuit betrokkenheid en wederkerigheid, en die informatie deelt.”1 Al geruime tijd is een ontwikkeling te zien in de verschuiving van verantwoordelijkheden in de veiligheidszorg. Veiligheidskwesties zijn niet alleen door overheidsinstanties en hulpdiensten op te lossen. De burger deelt meer in de verantwoordelijkheid en een actieve bijdrage aan een veiligere samenleving wordt verwacht. De burger als coproducent van veiligheid. De eigen verantwoordelijkheid en het burgergericht werken staan ook bij de politie sinds 1
Uit het Ontwerpplan Nationale Politie
36
Trends in Veiligheid 2013
Wij zijn een politie die intensief samenwerkt met burgers en partners, vanuit betrokkenheid en wederkerigheid, en die informatie deelt.”1 Cocreatie is een doorontwikkeling binnen burgerparticipatie en staat sinds enkele jaren prominent op de agenda bij de politie. Het begrip cocreatie laat zich het best omschrijven als een intensieve vorm van burgerparticipatie en publiek-private samenwerking. Deze
samenwerking ontstaat wanneer burgers, groepen of bedrijven, die betrokken zijn bij een gedeeld probleem, oplossingen creëren samen met de politie op basis van een gezamenlijk belang. Cocreatie gaat een stap verder dan informeren, raadplegen of advies vragen, het draait om coproduceren en meebeslissen. In het geval van cocreatie is het veelal beter te spreken van politieparticipatie in plaats van burgerparticipatie.
Burgerparticipatie en cocreaties krijgen een impuls door de digitale revolutie Het zal geen verrassing zijn dat veel recent, door burgers of politie, geïnitieerde initiatieven over een digitale component beschikken. Uit het publieksonderzoek van Capgemini, uitgevoerd door TNS NIPO, blijkt dat 78% van de respondenten zelf vindt dat de politie sociale media meer zou moeten inzetten binnen opsporing. Nieuwe digitale technieken en mediakanalen maken het voor de politie mogelijk om intensievere contacten aan te gaan met de burgers en bedrijven en hen intensiever te betrekken bij klassieke taken van de politie, zoals binnen de opsporing. Zo wordt onder andere geëxperimenteerd met het principe wisdom of the
the way we see it
crowd, dat is gestoeld op het idee dat een grote groep mensen ongeacht hun achtergrond bij veel beslissingen een betere keuze maakt dan ‘experts’. Het nieuwe gedeelte Dossiers op het recent vernieuwde www.politie.nl is een dergelijk initiatief. Via het gedeelte Dossiers en (social) media worden burgers eerder en intensiever betrokken bij grootschalige opsporingsonderzoeken. Opsporingsteams zetten, indien een onderzoek zich daarvoor leent, in een vroegtijdig stadium het onderzoeksdossier online en vragen burgers om mee te denken. Hierbij wordt niet enkel gevraagd om tips maar wordt het publiek ook echt uitgedaagd mee te denken met de hypothese- en scenariovorming. De aangeleverde scenario’s worden vervolgens, mits niet-kwetsend, teruggeplaatst op de site en door het onderzoeksteam gebruikt in het onderzoek. Burgers zijn aan het meepuzzelen met de experts van de politie of serieuzer geformuleerd: werken mee aan het opsporingsonderzoek. Het onderzoek Zuiderdiep in Groningen heeft al aangetoond dat er goede resultaten te behalen zijn met deze aanpak en een onderzoek van de Politieacademie dat momenteel wordt uitgevoerd gaat nog meer licht schijnen op de effectiviteit van een dergelijke aanpak. Een ander innovatief experiment op het snijvlak tussen digitale mogelijkheden en cocreatie is de ontwikkeling van ComProNet, Community Protection Network. Burgers worden middels een app actief betrokken bij het melden, vaststellen en afhandelen van incidenten en verstoringen van de openbare orde. ComProNet maakt gebruik van slim ontwikkelde software om meldingen van incidenten en aanvullende informatie te ontvangen uit diverse bronnen, te verwerken en acties uit te zetten. Op deze manier wil de politie samen met burgers en ondernemers werken aan een veilige omgeving en het vergroten van de heterdaadkracht bij misdrijven. 2
Inspelen op de digitale revolutie vergt een digitale transformatiestrategie en centrale ondersteuning en regie
organisaties daarin succesvol zijn. Het onderzoek laat ook zien wat voor keuzes de organisaties die wel succesvol zijn in hun omgang met de digitale transformatie hebben gemaakt. Het zijn deze lessen die de politie ter harte zou moeten nemen. Hier volgt een korte uiteenzetting van de belangrijkste lessen voor de politie.2
Het blijkt dat er talrijke goede voorbeelden zijn waarbij de snelle ontwikkelingen van digitale technieken zoals social media worden ingezet om cocreatie of burgerparticipatie verder vorm te geven. Echter, het valt ook op dat dergelijke initiatieven vaak lokaal van aard zijn en langzaam tot wasdom komen. Onderzoek van MIT (Massachusetts Institute of Technology) en Capgemini Consulting heeft aangetoond dat veel bedrijven en organisaties voor dezelfde uitdaging staan: hoe om te gaan met de kansen en bedreigingen van de digitale revolutie.
Ten eerste is een bottom-up benadering waarin ‘duizend bloemen mogen bloeien’ op lange termijn geen succesvolle digitale transformatiestrategie. Een geslaagde verandering start met een visie op de benodigde digitale transformatie vanuit de top en moet ook aangestuurd worden vanuit de top. Er dient een keuze gemaakt te worden waar de digitale transformatie fundamenteel kan bijdragen aan het verbeteren van de politieprestaties en de legitimiteit van de organisatie. Investeringen hebben meer focus nodig om ook daadwerkelijk meer rendement op te leveren. Ten tweede gaat het er niet om zoveel mogelijk digitale initiatieven te starten onder het mom van al doende leert men. Het blijkt belangrijk zeer bewust te bepalen hoe volwassen de organisatie is en hoe de benodigde
Een tweejarige studie onder meer dan 400 grote internationale organisaties toont aan dat veel organisaties al actief zijn om in te spelen op de digitale revolutie. Ze gebruiken technologieën zoals social media, mobiele toepassingen, analytics en geïntegreerde techniek om zo het klantcontact te veranderen, de interne processen te verbeteren of zelfs geheel nieuwe bedrijfsmodellen te creëren. Het onderzoek toont echter ook aan dat nog slechts weinig
Figuur 1: Meer rendement uit cocreatie met burgers en bedrijven: een Digital Capabilities Center
Burgerparticipatie en cocreatie
Digitale Capaciteiten
DCC Fundament
http://www.nl.capgemini.com/m/nl/tl/The_Digital_Advantage.pdf.
37
leiderschap- en implementatiecapaciteiten worden ontwikkeld. Ten derde gaat de digitale transformatie over meer dan enkel het verbeteren van het klantcontact en digitale publiekscommunicatie. Het onderzoek en ook voorbeelden als Dossiers en ComProNet laten zien dat er ook veel te winnen is op andere aspecten zoals effectiviteit, productiviteit en medewerkerbetrokkenheid. Een Digital Capabilities Center is een onderdeel binnen de organisatie dat digitale capaciteiten, zoals social media expertise, binnen de organisatie samenbrengt en ondersteunend is aan het opstellen en bereiken van de doelen uit de digitale transformatiestrategie. Een Digital Capabilities Center is een centraal aanspreekpunt voor digitale expertise en kennis. Het zorgt ervoor dat expertise en ervaringen uit lokale initiatieven bruikbaar worden voor de gehele organisatie. Een Digital Capabilities Center maakt de ontwikkeling van (lokale) activiteiten makkelijker. Zo brengt het verschillende disciplines samen die nodig zijn om nieuwe digitale capaciteiten te ontwikkelen en nieuwe innovaties te realiseren. Denk hierbij onder andere aan operationele kennis, ICT-kennis en communicatiekennis. Uiteraard beschikt het Digital Capabilities Center over specifieke tools, bijvoorbeeld voor de realisatie van apps. De eerste stap wordt logischerwijs genomen door het onderkennen van de noodzaak om tot een digitale transformatiestrategie te komen voor de politie, ondersteund door een functionaliteit als het Digital Capabilities Center. Vervolgens zullen enkele fundamentele besluiten moeten worden genomen die bepalen wat de scope van het Digital Capabilities Center is, hoe het Digital Capabilities Center eruit ziet en waar het binnen de politie gepositioneerd kan worden.
Conclusie Het vergroten van de politieprestaties en het verstevigen van de legitimiteit van de nationale politie kan een sterke
38
Trends in Veiligheid 2013
Figuur 2: Meer rendement uit cocreatie met burgers en bedrijven: een Digital Capabilities Center Welke processen zijn nodig om een DCC te kunnen laten opereren en welke processen kunnen we hergebruiken uit andere delen van de organisatie?
Processen Hoe wordt het DCC binnen de politie gepositioneerd Organisatieen hoe ziet de dagelijkse model operatie van het DCC eruit?
Welke vaardigheden zijn er nodig om een DCC te kunnen draaien en zijn deze vaardigheden al beschikbaar of moeten werknemers hiervoor worden opgeleid?
Dienstencatalogus
Welke communicatiecomponenten gaat het DCC bieden aan de korpsen en met welke dienst en kan het DCC verder worden uitgebreid?
DCC ontwerp Hoe wordt het opzetten Financiering en de operatie van het DCC gefinancierd?
Mensen
Systemen
Welke systemen en applicaties heeft het DCC nodig en waar kunnen we gebruik maken van de systemen en applicaties die er zijn?
impuls krijgen, indien er ten volle gebruik wordt gemaakt van de digitale revolutie. Burgerparticipatie en cocreatie zijn hierbij belangrijke thema’s waarop ook binnen de nationale politie wordt ingezet. Op verschillende domeinen zoals veelvoorkomende criminaliteit, high impact criminaliteit en ook ondermijning zijn al succesvolle initiatieven te vinden. Echter, indien de politie en daarmee de samenleving echt rendement wil halen uit de initiatieven is het zaak om de kennis en kunde rond dergelijke digitale initiatieven samen te brengen, weer te delen binnen de eenheden en nieuwe initiatieven vanuit een expertisecentrum te ondersteunen. Deze functie kan vervuld worden door een Digital Capabilities Center. Onderzoek heeft uitgewezen dat enkel de organisaties die vanuit een centrale visie en regie de digitale transformatie vormgegeven ook echt succesvol zijn. Het in werking brengen van de nationale politie is het uitgelezen moment om een nationale digitale transformatie strategie op te stellen en een Digital Capabilities Center in te richten om de doelstellingen te realiseren.
Over de auteurs Drs. Erik Staffeleu, Roy Oudeman MA en Herman-Jan Carmiggelt zijn management consultant bij Capgemini Consulting. Erik Staffeleu is gespecialiseerd in veranderkunde, intensivering van ketensamenwerking in het veiligheidsdomein en het verbeteren van politieprestaties. Roy Oudeman heeft zich gespecialiseerd in organisatie- en bedrijfsvoeringvraagstukken binnen het veiligheidsdomein. Herman-Jan Carmiggelt adviseert klanten bij strategische vraagstukken die vragen om vergaande digitalisering met als doel om klantinteractie te verbeteren.
Voor meer informatie kunt u contact met de auteurs opnemen via het e-mailadres: trendsinveiligheid.nl@ capgemini.com of persoonlijk via
[email protected],
[email protected] en herman-jan.carmiggelt@ capgemini.com
the way we see it
Cameratoezicht: efficiënter in de veiligheidsketen Welke ontwikkelingen dragen bij aan het verbeteren van het gebruik van camerabeelden?
39
Er wordt in de veiligheidsketen niet ten volle gebruikgemaakt van de mogelijkheden die cameratoezicht in combinatie met andere sensoren en social media biedt. In onze binnensteden maken camera’s steeds vaker deel uit van het straatmeubilair. Meestal wordt men hierop geattendeerd, maar in veel gevallen zijn ze er gewoon en vallen ze vaak niet meer op. Waarom zijn deze camera’s opgehangen? Hebben deze camera’s alleen een beveiligingsfunctie of zijn ze om andere redenen geplaatst? Hangen ze daar in aanvulling op de werkzaamheden van de politie of worden ze ook anderszins gebruikt? Bij discussies over het gebruik van camera’s zijn veel partijen betrokken, zowel uit het publieke als private veiligheidsdomein. In Nederland behoort naar schatting meer dan 75% van de camera’s tot het private domein1 (bijvoorbeeld winkelbeveiliging). Tegelijkertijd is er een behoefte vanuit het publieke domein om meer ondersteuning middels camera’s teneinde hun dagelijkse taakvervulling efficiënter en effectiever uit te kunnen voeren. Hiervoor kunnen de camera’s in het private domein worden gebruikt. Goede afstemming en procedures zijn hierbij noodzakelijk maar bovenal ook regie op wie wat mag bekijken en wie daarop mag reageren. Er kunnen toch geen honderden camera’s opgehangen worden die worden uitgekeken door verschillende publieke en private partijen, zonder dat daar eenduidige afstemming over is?
1 2
Highlights • Cameratoezicht
door standaardisatie beter bruikbaar in de veiligheidsketen.
• Camera’s
in combinatie met andere sensoren leveren beter bruikbare informatie op.
• Het
maakt sneller handelen en beter onderbouwde besluitvorming mogelijk.
• Directe
betrokkenheid van de burger via sociale media.
Ontwikkelingen in cameratoezicht Het cameratoezicht is in de laatste jaren flink toegenomen2. Circa een derde van alle gemeenten maakt al gebruik van camera’s in de publieke ruimte. Het meeste in uitgaanscentra, winkelcentra en op bedrijventerreinen. Ook tijdelijke opstellingen worden door gemeenten en politie frequent gebruikt, zoals is toegestaan op basis van artikel 2 Politiewet voor beveiliging tijdens evenementen. Het doel is beelden tijdens evenementen realtime uit te kijken ten behoeve van crowd control en bij het waarnemen van ongewenste situaties, teneinde tijdig op te kunnen treden. Daarnaast wordt langs snelwegen en uitvalslocaties door Rijkswaterstaat gebruikgemaakt van camera’s waarmee, naast toezicht op de doorstroming, tevens proeven worden uitgevoerd voor het bewaken van parkeerplaatsen tegen ladingdiefstal (secure lane concept). Van enige afstemming tussen de verschillende cameragebruikers is weinig sprake geweest, afgezien van diegenen die zijn aangesloten op meer regionale initiatieven zoals de Regionale Toezicht Ruimte. Daarbij komt dat het niet altijd mogelijk was om beelden van verschil-
lende cameratypen met elkaar te delen. Inmiddels is, technologisch gezien, de hiervoor benodigde standaardisatie gerealiseerd. De volgende stap is het combineren van deze informatie met informatie uit andere sensornetwerken, zoals geluid en geur en natuurlijk ook met informatie uit sociale media, waaruit extra aanwijzingen kunnen worden gefilterd. De Regionale Toezicht Ruimte is een initiatief van bedrijfsleven en overheid, geïnitieerd door de stichting CrimiNee! en diverse beveiligingsbedrijven. Bij een Regionale Toezicht Ruimte worden live videobeelden uitgekeken die afkomstig zijn van de aangesloten binnensteden, bedrijventerreinen, uitgaanscentra, parkeerplaatsen naast het hoofdwegennetwerk (secure lane) en truckstops naast het onderliggende wegennetwerk. Observanten beoordelen de beelden onder regie van politie en sturen de relevante beelden door naar de gemeenschappelijke meldkamer van politie, brandweer en ambulance of naar een beveiligingsbedrijf. De Regionale Toezicht Ruimte fungeert als filter (detectie en analyse) zodat meldkamers alleen geverifieerde meldingen krijgen aangeboden (in streaming video) en dus niet vergeefs hoeven uit te rukken. De gemeenschappelijke
Van den Ende, P.J.H.G., O. Vroegop en prof. dr. H.J. Scholten (2012). “Meer nodig dan camera’s”, in: Verbinding, maart 2012, pp: 27-29. Schreijenburg, Mr. dr. A. en drs. G.H.J. Homburg (2010). “Evaluatie cameratoezicht op openbare plaatsen – Viermeting eindrapport”.
40
Trends in Veiligheid 2013
the way we see it
meldkamer kan zich dan richten op het maken van keuzen en het coördineren van ingezette acties. Het inrichten van een Regionale Toezicht Ruimte (RTR) brengt efficiëntie in de keten en wordt inmiddels op meerdere plaatsen opgepakt.
Kaart met twitterberichten over ‘schaatsen’
Een beeld voor allen: de Common Operational Picture Op verschillende proeflocaties zijn in de afgelopen maanden proeven uitgevoerd om de effectiviteit van geïntegreerd toezicht in de veiligheidsketen te toetsen. Hieruit is naar voren gekomen dat, zeker in de eerste minuten na het ontstaan van een incident, de snelheid van optreden significant was toegenomen3. Om te beginnen was een beter algemeen gedeeld beeld van de situatie (Common Operational Picture: COP), waardoor betrokkenen adequater konden reageren tijdens de actie zelf. Daarnaast leverden de beelden mede door de toegenomen kwaliteit4 een prima evaluatiemogelijkheid, zodat de procesgang geanalyseerd kon worden om vervolgens verbeteringen aan te brengen. Bij misdrijven als diefstal of inbraak dragen de beelden bij aan verbetering van de heterdaadkracht, door enerzijds het snel kunnen schakelen met de betrokkenen in de veiligheidsketen en anderzijds de extra bewijslast die de beelden vormen in de latere juridische afhandeling. Daarmee ondersteunt deze werkwijze de processen, intake, noodhulp en opsporing van de politie. Natuurlijk is er ook een ‘keerzijde’. Uit een onderzoek van Regioplan Beleidsonderzoek5 blijkt dat geroutineerde daders goed op de hoogte zijn van de aanwezigheid van camera’s, waardoor zij buiten het zicht blijven. Daarentegen zijn de incidentele overtreders vaak onder invloed en verliezen de camera’s hun preventieve werking. Niettemin bewijst de koppeling naar 3 4 5
andere sensornetwerken hier zijn nut, doordat meerdere informatiebronnen aanvullende informatie leveren, die gecombineerd doelgericht optreden mogelijk maken. Dit soort koppelingen verkeren vaak nog in een innovatief stadium. Daarom is, in navolging van de stichting CrimiNee!, het Dutch Institute for Technology, Safety & Security (DITSS) opgericht. Deze instelling richt zich op technologische innovaties en social innovation op het gebied van Security & Safety: veiligheid in de maatschappelijke context. De primaire drijfveer voor het DITSS is het stimuleren van econo-
mische bedrijvigheid met als toepassingsgebied de sector veiligheid. Door het instituut worden Operational Field Labs (ofwel: proeftuinen) ondersteund. Hierin werken overheid, bedrijven en kennisinstellingen samen aan optimale kennisontwikkeling. Zo ontstaan beproefde nieuwe toepassingen én businesskansen voor bedrijven die in deze projecten deelnemen.
Operational Field Lab Zandvoort Een van de proeftuinen van DITSS bevindt zich in Zandvoort, waar de koppeling is gelegd naar een eerder initiatief van het ministerie van Binnenlandse Zaken voor het onderzoeken van de
Schreijenburg, Mr. dr. A. en drs. G.H.J. Homburg (2010). “Steeds meer beeld”. DSP-groep (dec. 2010). “Roadmap Beeldtechnologie Veiligheidsdomein”. www.hetccv.nl (november 2012).
41
Natuurlijk: privacy Kaart met twittersentiment naar aanleiding van de orkaan Sandy
Rood = Negatief
Blauw = Positief
bijdrage van het koppelen van sensornetwerken voor veiligheid. De praktijkproef in Zandvoort is gebaseerd op het feit dat het gebied is afgebakend door een aan- en afvoerweg, de zee en de duinen: een natuurlijk ecosysteem. Verder heeft Zandvoort aspecten die zich lenen voor cameratoezicht: een uitgaansgebied, racecircuit, strand en het eindstation van de trein uit Amsterdam. Met een beperkt aantal camera’s (vijf) is een beginopstelling neergezet, die naar believen kan worden uitgebreid met andere sensoren, zoals bijvoorbeeld brandalarm, inbraakbeveiliging of een camera die nummerplaten vergelijkt met een ‘hitlist’. Dit zijn onderdelen die gedurende de praktijkproef worden getoetst.
De samenleving stelt aanvullende eisen Het combineren van camerabeelden met informatie uit sociale media netwerken (Facebook, Twitter) stelt aanvullende eisen aan de veiligheidsketen. Hoewel duidelijk is dat in deze netwerken ongestructureerde, maar wel relevante informatie wordt uitgewisseld, blijft de vraag hoe deze gekoppeld kan
42
Trends in Veiligheid 2013
worden. Met behulp van intelligente automatisering kan de informatie beter worden gefilterd, maar zeker het feit dat al deze informatie ruimtelijk (met XY coördinaat) kan worden vastgelegd, biedt hierbij een uitkomst. Een incident vindt plaats op een bepaalde locatie en alle informatie die hiermee te maken heeft, komt initieel uit de buurt van die locatie. Door deze gegevens te integreren in het COP is een duidelijk ruimtelijk beeld op een digitale kaartondergrond van de omgeving van het incident af te beelden. Voor alle betrokkenen is dit duidelijk en niet voor meerdere uitleg vatbaar. Ook de camerabeelden en andere sensoren (geluid, geur) zijn zichtbaar te maken in de COP-omgeving die centraal staat opgesteld (in een RTR of meldkamer), alsmede de locaties van voertuigen of personen van ondersteunende teams. Vanuit de COP-omgeving kan direct worden gecommuniceerd met de betrokkenen en kan op adhocbasis worden gekoppeld met andere informatiebronnen.
Het is niet mogelijk om ‘zomaar’ camera’s op te hangen. De Wet Cameratoezicht biedt hiervoor de kaders, waarbij de noodzaak duidelijk moet worden aangegeven teneinde de privacy voldoende te kunnen borgen. Dat de burger hier steeds ruimer over denkt is inmiddels ook wel duidelijk. Waar deze zich eerder druk maakte over privacy, is veiligheid (of ‘het gevoel van’) steeds vaker het motief om hiermee in te stemmen. Een meerderheid van burgers en ondernemers vindt cameratoezicht inmiddels een aanvaardbare aantasting van de privacy en staat er zeer positief tegenover. Ook in de RTR is privacy een belangrijk onderdeel van de werkprocedures. De observanten observeren beelden van bedrijventerreinen, winkelgebieden, parkeerplaatsen, truckstops, winkels en uitgaanscentra. Er wordt geavanceerde analysetechnologie gebruikt bij het interpreteren van de informatie, waardoor de reactietijd veel korter is en de heterdaadkracht wordt vergroot. Aan alle eisen voor cameratoezicht en privacybescherming wordt voldaan en de politie heeft een operationele regierol. Door deze bundeling van krachten wordt ook het bundelen van informatie makkelijker gemaakt. Beelden en informatie kunnen direct worden doorgezet naar de lokale meldkamer(s) en doordat een eerste schifting al heeft plaatsgevonden, kan effectiever worden opgetreden.
Conclusie Op dit moment wordt nog niet ten volle gebruikgemaakt van de mogelijkheden die cameratoezicht in combinatie met andere sensoren biedt. Deels vanwege de onbekendheid met de mogelijkheden en deels vanwege de onduidelijkheid van de wettelijke mogelijkheden met als effect dat de wet soms te strikt wordt geïnterpreteerd. Dit leidt tot nodeloze vertraging of het selectief vastleggen van informatie, wat het eindresultaat niet ten goede komt.
the way we see it
Ecosysteem Operational Field Lab Zandvoort
Daarnaast kan worden geconstateerd dat regionale samenwerking op het gebied van cameratoezicht steeds verder toeneemt. Dit vraagt wel om een heldere regie op de verschillende initiatieven en investeringen die worden gedaan op grond van ontwikkelde best practices van cameratoezichtprojecten en de evaluatieresultaten. Een groot deel van de activiteiten blijft mensenwerk. Veel aspecten kunnen inmiddels worden ondersteund door automatisering, maar de rol van de medewerker in RTR of meldkamer en de communicatie naar de ‘medewerker op straat’, blijft cruciaal. Op grond van steeds meer informatie moet in een kort tijdsbestek een interpretatie worden gemaakt van de situatie en aanvullende activiteiten worden ingezet. Ondersteuning vanuit een overall regie en heldere procedures is hierbij noodzakelijk. Door gezamenlijk op te trekken, kan de veiligheidsketen zichzelf versterken.
Door naar de burger toe helder te communiceren, zal het vertrouwen verder toenemen.
Over de auteurs Ing A.A.M. (Bart) Kusse MSc. is manager Geo-ICT en projectleider Crisismanagement bij Capgemini en daarnaast docent aan de internationale Unigis opleiding aan de Vrije Universiteit. Prof. Dr. H.J. (Henk) Scholten is hoogleraar Ruimtelijke Informatica aan de Vrije Universiteit en CEO van Geodan, een bedrijf gespecialiseerd in het ontwikkelen en toepassen van GIS-technologie. J.H.G. (Peter) van den Ende MPA ba is directeur van de stichting CrimiNee! / Regionaal Platform Criminaliteits-beheersing (RPC) Oost Brabant, commissaris van politie en programmaleider operational field labs (OFL) van het Dutch Institute for Technology, Safety & Security (DITSS).
Voor meer informatie kunt u contact met de auteurs opnemen via het e-mailadres: trendsinveiligheid.nl@ capgemini.com of persoonlijk
[email protected],
[email protected] en
[email protected]
43
De kracht van verbinden Welke kansen biedt slimme technologie en hoe benutten we deze voor meer veiligheid?
Highlights • Succesvol
innoveren start met verbeelding.
• Technologie • DOE!
44
die (samen)werkt!
Initiatief loont.
• De
kennis is beschikbaar.
• De
slimste verbindingen zijn die tussen mensen.
Trends in Veiligheid 2013
the way we see it
Intelligente en mobiele software toepassingen helpen onveilige situaties op te lossen. Succes komt echter niet vanzelf en vraagt vooral om slimme verbindingen. Er is veel technologie beschikbaar om veiliger en efficiënter te gaan werken. Nieuwe technologie die niet makkelijk en snel de weg vindt naar de veiligheidsprofessional. Er is niet altijd de kennis of de mogelijkheid om te innoveren en de uitkomst van een innovatieproject is vaak onzeker. Alleen technologie introduceren is niet voldoende en draagt veelal niet bij aan meer veiligheid. Er komt visie, verbeeldingskracht, durf en wil bij kijken om innovatieve technologie toe te passen voor de dagelijkse praktijk. Daar waar kennis van nieuwe technologie, geld maar ook tijd schaars zijn, helpt een innovatieplatform. Het innovatieplatform ‘Slim Verbinden’ heeft recent onderzoek gedaan naar de effecten van slimme technologie zoals agent based software op de veiligheid. De opgedane kennis en inzichten delen wij graag met u in dit artikel. Hopelijk kunnen we u of uw organisatie daarna verleiden tot de meest essentiële stap: DOEN!
Innovatie begint bij jezelf: de kracht van verbeelding Succesvol innoveren start met uw vermogen tot verbeelding, inspiratie en creativiteit. Dit geldt ook voor het toepassen van slimme technologie voor het oplossen van veiligheidsvraagstukken op uw werk of in uw omgeving. Een voorbeeld van slimme technologie is agent-technologie. Zie het kader op de volgende pagina hoe dit toegepast is in veldexperimenten. De voordelen die optreden bij de toepassing van deze moderne technologie zijn samen te vatten tot veiliger werkomstandigheden, vollediger beeldvorming, automatische communicatie en daardoor ook minder (schadelijke) gevolgen. De bijdrage aan veiligheid is wezenlijk door iedereen in staat te stellen goed geïnformeerd te handelen, om hulp te bieden waar nodig en dit met inachtneming van de eigen veiligheid.
Technologie verbetert samenwerking: de kracht van zelforganisatie Door het gebruik van agent-based en mobiele technologie ontstaat de mogelijkheid tot onderlinge samenwerking met een zelforganiserend karakter. Er vormt zich tijdelijk een doelgericht en probleem oplossend netwerk van professionals, private organisaties en burgers. De kracht ligt bij de randen van het netwerk dat zichzelf organiseert
naar aard van de situatie en de locatie. De samenstelling van dit netwerk is divers en kan bestaan uit een persoon, een organisatie, een ICT-systeem, een smartphone, een sensor, een camera, een stuk redenerende of analyserende software, een voertuig etcetera. De agent based software is zich ‘bewust’ van het doel van zijn eigenaar (het waarom), zijn omgeving (wie, wat), de actuele locatie (waar) en hoe te communiceren met zowel de eigenaar als andere software agents binnen haar permanente, of naar situatie ad hoc gevormde, netwerk. Er ontstaat een basis voor zelfsturende teams en tevens zelforganisatie tussen de betrokkenen. De waarde komt vooral naar voren bij situaties die niet bij voorbaat te voorspellen, plannen of te organiseren zijn. Dit zijn waardevolle aanvullingen op het planmatig of op netcentrische wijze bestrijden van een incident of dreigende situatie.
Doen: de kracht van eigen initiatief Onze verbeelding is krachtig en soms ongericht. De eindbestemming in termen van wat we bereiken met meer of minder (on)bekende technologie is niet altijd een duidelijke stip op de kaart. Wat hier goed helpt is om met kleine stappen te beginnen aan deze ontdekkingsreis en daarbij de eigen grenzen en reistempo te bewaken. Hierna enkele voorbeelden, uiteraard zijn er nog legio
45
andere creatieve mogelijkheden te bedenken. • Als politieagent zien op mijn smartphone waar mijn collega’s zich bevinden. • Als burger geïnformeerd worden wie in een straal van 100 meter aangeeft hulp nodig te hebben. • Alle bezoekers vragen om een app te downloaden op hun smartphone ten behoeve van localiseren, informeren en evacueren in een noodsituatie. • Als teamleider een team samenstellen en leiden vanuit de op locatie beschikbare capaciteit in plaats van de geplande capaciteit. • Als meetploegleider metingen verrichten met de op locatie daadwerkelijk beschikbare meetnetten, sensoren en deskundigen in plaats van de geplande maar helaas nu nog niet beschikbare ondersteuning. Wees bij elke stap die u zet bewust van de waarde. Niet alleen voor uzelf maar ook de waarde in de keten en voor de reguliere bedrijfsvoering. Kan bijvoorbeeld uw navigatiesysteem naast de snelste en de economisch meest optimale route, ook de veiligste route aan u adviseren? Kan bijvoorbeeld de technologie die u nodig heeft om continu uw voorraden en chemische processen te monitoren ook tijdelijk de brandweer informeren als zij dienen op te treden in uw omgeving?
Ervaringen in het veld
Binnen veldexperimenten van ‘Slim Verbinden‘ is gedemonstreerd dat agent-technologie heel goed in staat is te assisteren voor een ieder die betrokken is bij een dreigende situatie of een feitelijk incident. De betrokkenen op locatie worden via smartphone, tablet, pager of ander device, persoonlijk en op maat geïnformeerd en geadviseerd. Bijvoorbeeld de politieagent in het veld wordt geïnformeerd over de effecten van een chemische wolk op haar specifieke situatie en locatie. De ‘softwareagents’ werken hiervoor doelgericht en autonoom: ze letten zelfstandig op hun doelen, vragen om meer informatie, en informeren gebruikers en andere softwareagents indien nodig. Ook incidentafhandeling tijdens Parkpop bleek veel efficiënter te verlopen met goede digitale assistenten die grafisch aangaven wat er waar gaande was en wat er verwacht werd van het personeel op het terrein. • White paper ‘Slim Verbinden’. • Uit de Proceedings of the 8th International Conference of Gi4DM: Best Practices, 2012, (eds) Zlatanova, Peters and Fendel, CTIT, ‘Goal-Based Explainable Security Certificate Requests’.
Kennis delen: de kracht van slim verbinden Meer veiligheid start met zelf waardevolle en slimme verbindingen te maken en dan vooral tussen mensen. We geven graag het goede voorbeeld door opgedane kennis via publicaties te delen. Ondermeer de volgende publicaties zijn te raadplegen op de downloads pagina via www.slim-verbinden.nl. • Agent-Enabled Information Provisioning while Retaining Control: A Demonstration. • Agent-Based Information Infrastructure for Disaster Management. • Network Information Management for Collaboration in Disaster Management.
46
Trends in Veiligheid 2013
Over de auteurs Drs. ing. Erik van den Berg is managing consultant bij Capgemini. Erik richt zich als informatiearchitect op strategie, innovatie en verbetering van de informatievoorziening binnen de publieke sector. Dr. Niek Wijngaards is senior researcher en programma manager bij Thales Nederland in de afdeling Thales Research & Technology. Dr. Niek Wijngaards richt zich op onderzoek en ontwikkeling van complexe ‘systems-of-systems’
waarin mensen en systemen samenwerken teneinde hun taken te volbrengen. Binnen het project Slim Verbinden (gesubsidieerd door Agentschap NL) werken Erik van den Berg en Niek Wijngaards samen met Studio Veiligheid, Technische Universiteit Delft, CityGIS en Ask Community Systems om pragmatisch aan te tonen dat ook in open internet systemen partijen veilig relevante informatie kunnen delen.
Voor meer informatie kunt u contact met hen opnemen via het e-mailadres: trendsinveiligheid.nl@ capgemini.com of persoonlijk via erik.e.vandenberg@ capgemini.com en niek.
[email protected]
the way we see it
De veilige ‘digitale samenleving’ bestaat niet Hoe moet de overheid haar rol invullen om onze digitale veiligheid te waarborgen?
47
De overheid worstelt met haar rol ten aanzien van het handhaven van digitale veiligheid en trekt nauwelijks parallellen met het fysieke domein.
Highlights • In
onze samenleving is de overheid ook verantwoordelijk voor digitale veiligheid.
• De
overheid worstelt met haar rol om digitale veiligheid te waarborgen.
• Digitale
Uitdagingen van digitale transformatie Onze maatschappij blijft zich in rap tempo transformeren. Het ontstaan van wereldwijde digitale netwerken, bijvoorbeeld met behulp van torrents en sociale media, hebben individuen, organisaties en instellingen nieuwe mogelijkheden gegeven om continu met elkaar in verbinding te staan. Er is onbeperkt toegang tot digitale informatie en communicatiemogelijkheden. De beschikbaarheid van kennis is daarbij haast eindeloos. Deze ontwikkelingen hebben een grote impact op ons dagelijks leven. Socioloog Manuel Castells1 benoemde enkele jaren geleden zijn zorg over onze huidige ‘digitale’ samenleving, vrij vertaald: “Op technologisch gebied zijn we ver ontwikkeld, maar we zijn onderontwikkeld als we kijken naar de aansluiting op organisatorisch en sociaal gebied.” In hoeverre zijn onze overheidsinstanties en hun bestuurders thuis in het ‘wilde westen’ van de ‘digitale wereld’? Welke uitdagingen zijn er voor onze veiligheidsbestuurders? En welke rol en verantwoordelijkheid pakt de overheid als het gaat om onze digitale veiligheid?
De overheid worstelt met haar rol in het digitale domein en trekt geen parallel met het fysieke domein De overheid vervult van oudsher een ordenende, sturende en arbitrerende rol ten aanzien van veiligheid. Maar hoe bevordert of ontmoedigt de over1
2
veiligheid wordt te veel als nieuw probleem
gezien. • Digitale
veiligheid moet een integraal onderdeel zijn van het streven naar een veilige samenleving.
heid bepaalde vormen van gedrag ten aanzien van de digitale veiligheid, nu de samenleving zich niet alleen in het fysieke maar ook in het digitale domein manifesteert? In het rapport iOverheid (2011)2 van de Wetenschappelijke Raad voor Regeringsbeleid (WRR) doet de raad beleidsaanbevelingen met betrekking tot de rol en verantwoordelijkheid van de overheid op ICT-gebied. Volgens de WRR denken zowel politiek als bestuur teveel in “termen van techniek en niet in termen van de informatiestromen die door het verknopen van netwerken en ontelbare ICT-initiatieven, van cruciaal belang zijn geworden. Men redeneert nog vanuit de gedachte van de eOverheid, met een sterke nadruk op techniek en dienstverlening. Maar in de dagelijkse praktijk van beleid en uitvoering is een informatie-Overheid (iOverheid) ontstaan.” De WRR vindt het cruciaal dat de overheid beseft dat ze een ‘iOverheid’ is geworden. Ze stelt dat deze iOverheid in ieder geval systeemverantwoordelijk is voor de ‘iSamenleving’, dat impliceert dat zij ook veiligheid in al haar verschijningsvormen moet garanderen: een rolopvatting die overeenkomt met haar rol in de fysieke wereld.
Op technologisch gebied zijn we ver ontwikkeld, maar we zijn onderontwikkeld als we kijken naar de aansluiting op organisatorisch en sociaal gebied.” Dit vraagt om aandacht, omdat het garanderen van veiligheid in onze gedigitaliseerde samenleving betekent: omgaan met haar specifieke eigenschappen. Bij digitale criminaliteit is het veelal onduidelijk wie de dader is en wat de intenties zijn. Een individu kan grote schade aanbrengen en een incident beperkt zich niet tot Nederlands grondgebied. De overheid is daarbij afhankelijk van private infrastructuur voor opsporing en ontbeert dikwijls de juiste instrumenten om in te grijpen. De omvang en aard van een cyberincident is daarom al snel groter dan de Nederlandse overheid alleen aankan.
The Information Age: Economy, Society and Culture. Volume I The Rise of the Network Society (1996). Volume II The Power of Identity (1997) Volume III End of Millennium. Uitgeverij Blackwell Publishers, Oxford. Wetenschappelijke Raad voor het Regeringsbeleid (WRR) (2011). iOverheid. WRR: Den Haag.
48
Trends in Veiligheid 2013
the way we see it
Hoewel veel operationele en tactische initiatieven genomen worden door de overheid om zowel cybersecurity te realiseren als cybercrime te bestrijden, ontbreekt het aan een algeheel begrip dat zowel cybersecurity, cybercrime als (internet)vrijheid en privacy in onze samenleving géén nieuwe fenomenen zijn. Weliswaar is de manifestatie van deze fenomenen veranderd als gevolg van digitale ontwikkelingen in onze samenleving, in essentie blijven het verschijnselen waarvan in het algemeen aanvaard is dat de overheid er een bepalende rol in heeft.
rechercheur zijn, blijft de aanpak van cybercrime vooral binnen het dagelijks politiewerk nog marginaal. In een aantal spraakmakende zaken zijn successen geboekt, maar het ontbreekt de digitale rechercheurs aan specifieke wetgeving om echt effectief te zijn. Toch is met behulp van bestaande instrumenten (zoals de huidige wet computer criminaliteit) veel mogelijk, waarbij pragmatisme en een sterk rechtvaardigheidsgevoel een goede basis vormen om in proefprocessen uit te testen hoe ver men kan gaan. Immers, regelgeving loopt per definitie achter op de werkelijkheid.
Cybersecurity behoeft aandacht zowel bij overheid, bedrijfsleven als particulier
Het gaat veeleer om het streven naar een zichtbare en effectieve transformatie binnen de bestaande instituties en om het besef een iOverheid te zijn, dan om instituties die dat van buitenaf zouden moeten bewerkstelligen.” Een bepalende rol in de aanpak van cybercriminaliteit Problematisch is dat de politie nog beperkt of nauwelijks zichtbaar is in het digitale domein. Uit onderzoek blijkt dat aangiftes van kleine digitale criminaliteit niet tot nauwelijks worden gedaan door burgers en door politie en justitie zelden worden opgepakt3. Rechtszaken en vervolging bestaan er daarom mondjesmaat. Het is de uitdaging voor de politie om ook zichtbaar te zijn op fora, chatboxes en de verdere digitale snelweg. Hoewel er onder het ‘intensiverings Programma Aanpak Cybercrime (PAC)’ veelbelovende initiatieven worden ontwikkeld en er steeds meer opleidingen tot digitaal
Iedereen is zelf verantwoordelijk voor zijn digitale ‘slot op de deur’. De overheid promoot cybersecurity, geeft voorlichting en helpt bij incidenten, maar heeft ook in het beschermen van haar eigen infrastructuur een belangrijke rol. Het rapport van de Onderzoeksraad naar het ‘Diginotar incident’4 stelt dat veel overheidsorganisaties digitale veiligheid overlaten aan enkele technische experts. Maar het succesvol borgen van digitale veiligheid reikt veel verder dan de ICT-afdeling. De betrokkenheid van bestuurders en managers met digitale veiligheidsincidenten bleek volgens de Onderzoeksraad ver te zoeken. Onvoldoende kennis van bestaande dreigingen, veiligheidsrisico’s of bewustzijn over de gevolgen op hun digitale veiligheid bleken hiervan de oorzaak. Incidenten als Diginotar vormen weliswaar een goede wake-upcall, maar bieden nog onvoldoende handelingsperspectief om betere digitale veiligheid te helpen garanderen. Een belangrijke bijkomstigheid is dat de overheid nog in grote mate afhankelijk is van het bedrijfsleven en particuliere gebruikers om een veilig cyberspace5 te
kunnen garanderen. Zolang zij niet zelfstandig de fundamenten van een veilige samenleving kan invullen zullen private partijen daarom nauw betrokken moeten zijn bij het realiseren van een veilige samenleving.
Wachten op nieuwe ontwikkelingen is een misvatting De overheid heeft de neiging zich teveel te richten op het opzetten van nieuwe instituties, zoals de Nationale Cyber Security Strategie (NCSS), de Cyber Taskforce bij Defensie, de Cyber Security Raad (CSR) en het National Cyber Security Centrum (NSCS). Meer effect op de samenleving kan worden geboekt wanneer de overheid streeft naar transformatie van bestaande structuren en instituties. Het inrichten van nieuwe instituties en invoeren van nieuwe maatregelen wekt ten onrechte de verwachting dat afdoende regie is gevoerd om onze digitale veiligheid zeker te stellen. En dat terwijl de aanpak van digitale veiligheid veelal een organisatorisch probleem is bij bestaande instituties. De WRR stelt daarover: “Het gaat veeleer om het streven naar een zichtbare en effectieve transformatie binnen de bestaande instituties en om het besef een iOverheid te zijn, dan om instituties die dat van buitenaf zouden moeten bewerkstelligen.” De samenleving doorgaat een digitale transformatie6 en deze kan alleen maar succesvol verlopen als digitale veiligheid daar gelijk mee op gaat. Mits voldaan aan de juiste randvoorwaarden (vertrouwen!) is een goede aanpak de uitbreiding van meldplicht voor digitale veiligheidsincidenten, die tot voor kort alleen betrekking had op datalekken binnen internet- en telecomproviders. De uitbreiding van de meldplicht naar ‘6 vitale sectoren’ betreft nu alle incidenten die de continuïteit van eigen of andermans dienstverlening
Struiksma, N, deVey Mestdagh, C.N.J, & Winter, H.B (2012). De organisatie van de opsporing van cybercrime door de Nederlandse politie. Politie en Wetenschap: Amsterdam. De onderzoeksraad voor veiligheid (2012). Het digiNotarincident. Waarom digitale veiligheid de bestuurstafel te weinig bereikt. De onderzoeksraad voor veiligheid: Den Haag. 5 Onder cyberspace verstaan we de virtuele wereld van computernetwerken waarin men met elkaar kan communiceren. 6 Digital Transformation Review N° 02, January 2012; Capgemini Consulting, MIT Center for Digital Business 3 4
49
sterk kunnen verstoren en die kunnen leiden tot maatschappelijke ontwrichting. Een ander instrument, dat voor zowel veel voor- als tegenstanders zorgde in de publieke discussie, is een uitbreiding van de bevoegdheid van de politie om bij ernstige cybermisdrijven computers te kunnen hacken, ook al staan de betreffende systemen in het buitenland. Dit betekent bijvoorbeeld het op afstand binnendringen van computers en het plaatsen van software, het doorzoeken van gegevens of het onklaar maken van computers ten behoeve van de opsporing van ernstige vormen van cybercrime. Ook in het nieuwe regeerakkoord wordt wederom cybersecurity benoemd: “Er is sprake van toenemende bedreigingen en kwetsbaarheden op het terrein van cybersecurity. Die willen we het hoofd bieden door krachten te bundelen met alle belanghebbenden, de opsporingscapaciteit te versterken en het juridisch instrumentarium aan te passen aan de gewijzigde omstandigheden.” Positief is de uitbreiding van capaciteiten en bundelen van bestaande krachten. Helaas wordt cybersecurity wederom benoemd als een fenomeen waarvoor het instrumentarium moet worden aangepast, in plaats van de organisatie binnen bestaande instituties. Dit is een misvatting. Beleidsmakers zoeken naar een adequate wijze om digitale veiligheid te realiseren. Dit wordt belemmerd doordat men nog onvoldoende bewust is van het gegeven dat er geen scheiding meer bestaat tussen onze digitale en fysieke wereld. Door de digitale transformatie zijn digitale hulpmiddelen een integraal onderdeel geworden van onze samenleving. De veiligheid van die samenleving is dus in gelijke mate afhankelijk van de veiligheid in het digitale als wel in het fysieke domein.
Geen uitzonderingspositie voor digitale veiligheid De overheid is verantwoordelijk voor het functioneren van de iSamenleving. Veiligheid in alle domeinen, fysiek en
50
Trends in Veiligheid 2013
digitaal, is een integrale uitdaging voor beleidsmakers. Daarom moet de digitale component van veiligheid onderdeel worden gemaakt van alle bestuurlijke afwegingen. Ook bestuurders moeten er rekening mee houden dat veiligheid in onze moderne samenleving alleen nog te realiseren is als de digitale component wordt geïntegreerd in aanpak en overwegingen. Dit betekent binnen organisaties dat daarbij een manier moet worden gevonden om iedereen digitaal veiligheidsbewust te maken.
Over de auteurs Drs. Roeland de Koning en Evelien van Zuidam MSc zijn werkzaam bij Capgemini Consulting. Roeland de Koning is managing consultant en gespecialiseerd in cybersecurity en ICT-crisisbeheersing. Evelien van Zuidam is consultant en richt zich op digitale veiligheid en de rol van social media in het veiligheidsdomein.
De overheid moet haar rol, die haar voor fysieke veiligheid al van oudsher was toevertrouwd, ook integraal gaan vervullen binnen de digitale veiligheid. Dit moet zij niet doen door het creëren van uitzonderlijk en ad-hocinstrumentarium, maar door het integreren van digitale overwegingen in bestaande wetgeving, lessons learned en structuurvisies. Wachten op specifiek ontwikkeld beleid, specifieke kaders of digitale regelgeving maakt noch het digitale noch het fysieke domein veiliger. Goed begrip over hoe de fysieke samenleving is gedigitaliseerd moet leiden tot een integrale wetgeving en aanpak van veiligheidskwesties. Digitale veiligheid is een integraal onderdeel van de beleidsvorming en mag daarbij geen uitzonderingspositie meer hebben.
Voor meer informatie kunt u contact met de auteurs opnemen via het e-mailadres: trendsinveiligheid.nl@ capgemini.com of persoonlijk via twitteradres @evelienvz of roeland.de.
[email protected]
the way we see it
Cyber resilience in het jaarverslag?
Geen digitale transformatie zonder digitale veiligheid
51
Welke stappen zijn nodig om de digitale veiligheid bij organisaties te waarborgen?
Highlights • Cyber
resilience is een randvoorwaarde voor digitale transformatie.
• De
continuïteit en reputatie van de organisatie staan namelijk op het spel.
• Daarom
is cyber resilience een aangelegenheid voor de Raad van Bestuur.
• Maatregelen
zijn niet alleen technologisch, maar juist multidisciplinair. • Stakeholders
verwachten meer transparantie.
Cyber resilience is een randvoorwaarde geworden voor de continuïteit en bescherming van de reputatie van organisaties. Meer transparantie is nodig om het vertrouwen te behouden. De recente cyberincidenten, of het nu gaat om (opzettelijke) cyberaanvallen of ongelukken, maken duidelijk dat cyber resilience (digitale veiligheid of veerkracht, zie tevens alinea ‘Wat is cyber resilience?’) een randvoorwaarde is voor omgevingen die in belangrijke mate afhankelijk zijn van ICT. Dat geldt zeker voor organisaties in de vitale infrastructuur, zoals banken, energiebedrijven, olie en gas, zorg, transport en (andere) multinationals. De Diginotar-affaire is een goed voorbeeld. Een geconstateerd lek in het rekencentrum van Diginotar in Beverwijk, zorgde ervoor dat ondernemers in, zeg, Harderwijk hun btw-aangifte niet konden doen bij de belastingdienst. Die laatste gebruikte daar namelijk digitale certificaten van Diginotar voor. De in het voorbeeld geschetste onderlinge digitale verbondenheid (we leven in een ’hyperconnected world!’) van organisaties versterkt ook het beeld dat cyber resilience noodzakelijk is én de eigen verantwoordelijkheid niet stopt bij de voordeur. Het is een gemeenschappelijke verantwoordelijkheid. Waarom? We profiteren immers allemaal van de voordelen van de digitale transformatie om ons heen, voordelen die meestal
1 2
Neelie Kroes, Hacken en lekken, column in het Financieele Dagblad, 20 oktober 2012. Zie ook: http://www.capgemini-consulting.com/transform/digitaltransformation/
52
Trends in Veiligheid 2013
veel groter zijn dan de kosten en de risico’s die eraan verbonden zijn. ‘Net als in de gewone maatschappij, moeten we ook in de digitale wereld leren begrijpen wat de risico’s zijn.’1
Wat is digitale transformatie?2 Met digitale transformatie bedoelen we de toepassing van digitale technologie in allerlei aspecten van de maatschappij. Door digitale transformatie (en dus het gebruik van digitale middelen) zijn nieuwe types van innovatie en creativiteit mogelijk, waardoor digitalisering meer toevoegt dan het verbeteren en efficiënter maken van bestaande werkwijzen.
Wat is cyber resilience? In dit artikel gebruiken we in plaats van het begrip cybersecurity met opzet de term cyber resilience en als Nederlands synoniem gebruiken we ’digitale veiligheid’ (voor beide). We doen dat, omdat de term ‘cyber resilience’ ten eerste een minder technologische connotatie heeft. Cyber spreekt al een breder publiek aan dan ICT- of computersecurity, maar klinkt nog steeds vooral naar (technische) beperkingen in de toepassing van digitale technologie. Ten tweede brengen we met de term cyber resilience tot uitdrukking dat het gaat om de veerkracht die een organisatie zou moeten hebben om na een cyberaanval of onopzettelijk incident, de schade te beperken en zo snel mogelijk weer terug te veren naar een min of meer normale bedrijfsvoering. Een cyberincident is namelijk niet volledig te voorkomen en een gerichte cyberaanval heeft een hoge kans van slagen bij vrijwel alle organisaties. ‘Assume you have been breached’, is het motto.
the way we see it
Cyber resilience is geen zaak voor ICT alleen De risico’s die de meeste organisaties lopen door cyberincidenten hebben rechtstreeks impact op belangrijke zaken als de continuïteit van processen, privacy van onze klanten en de bescherming van het intellectueel eigendom. Door de huidige nadruk in de maatschappelijke discussie over cybersecurity als technologisch onderwerp, blijft onderbelicht dat het een business-issue is. Het verdient echter de volle aandacht van het topmanagement én een vaste plek in het strategisch risicomanagement. De publieke opinie lijkt dit te ondersteunen voor een aantal vitale sectoren, gezien het Trends in Veiligheid onderzoek 2012 van Capgemini, uitgevoerd door TNS NIPO. Zowel op de vraag: “Als een overheidsorganisatie getroffen wordt door uitval van haar ICT-systemen, wat is dan volgens u de impact op de maatschappij?” als op de vraag: “Als een nutsbedrijf (drink-waterbedrijf bijvoorbeeld) getroffen wordt door uitval van ICT-systemen, wat is dan volgens u de impact op de maatschappij?”, antwoordt meer dan 80% van de respondenten, dat dit een grote of zeer grote impact heeft. De sense of urgency is bij het grote publiek klaarblijkelijk aanwezig.
Cyber resilience in strategisch risicomanagement Bij strategisch risicomanagement gaat het om de driehoek assets (belangen), threats (bedreigingen) en controls (maatregelen). Een dreigingsanalyse, gerelateerd aan de kritische belangen van een organisatie, voedt de mate waarin maatregelen ter bescherming van die kritische belangen moeten worden genomen. Dit geldt overigens mutatis mutandis ook op nationaal en internationaal niveau. Inpassing van cyberrisico’s in het strategisch risicomanagement laat zien dat het topmanagement digitale dreigingen
Figuur 1: Cyber resilience in het jaarverslag?
Strategisch risicomanagement Nieuwe (trends) kwetsbaarheden
Digitalisering Assets (belangen) Inwinnen
Nieuwe (trends) dreigingen Nieuwe (trends) maatregelen
Controls (maatregelen)
daadwerkelijk onderkent als risico voor de kernbelangen van de organisatie. Hieronder noemen we drie voorbeelden. • Ten eerste (bescherming van) klantgegevens, zoals persoonsgegevens van bancaire klanten, patiënten, of kinderen die aan de zorg van een instelling zijn toevertrouwd. Het lekken van dergelijke gegevens of alleen al de schijn dat dit gebeurd is of had kunnen gebeuren, heeft een negatieve uitwerking op de reputatie van de organisatie. De hack van een server van Het Groene Hart Ziekenhuis in oktober 2012 en de daarop volgende (negatieve) publiciteit en kamervragen illustreren dit belang. • Ten tweede continuïteit en integriteit van processen (niet alleen administratieve processen, maar juist ook fysieke processen in bijvoorbeeld de chemie of luchtvaart waar industriële controle systemen (ICS) voor monitoring en sturing moeten zorgen). De cyberaanval op Aramco in Saoedi Arabië laat zien, dat het uitschakelen van 30.000 kantoorcomputers een zeer grote impact heeft op de bedrijfsvoering. Jeffrey Carr is duidelijk over wat de CEO moet doen in zo’n geval: ”… the correct course of action for not only Aramco’s CEO but every CEO is to focus on being able to absorb an
Technologie innovatie Threats (bedreigingen)
Marktontwikkelingen
Als een overheidsorganisatie getroffen wordt door uitval van haar ICTsystemen, wat is dan volgens u de impact op de maatschappij?” “Als een nutsbedrijf (drinkwaterbedrijf bijvoorbeeld) getroffen wordt door uitval van ICT-systemen, wat is dan volgens u de impact op de maatschappij?”
53
attack and not have it affect its critical operations.”3 • Ten derde het beschermen van het intellectueel eigendom, zoals in de farmacie of een hightech onderneming, maar ook de overheid als het bijvoorbeeld gaat om internationale onderhandelingsinformatie. Overheids- of bedrijfsspionage langs digitale weg is al jaren een zorg van de AIVD.4 Gevallen als de Night Dragon operatie laten zien hoe kwetsbaar industriële ondernemingen kunnen zijn.5 In Night Dragon werden met gerichte cyberaanvallen gegevens buit gemaakt bij multinationals uit de olieen gas sector. Met de assets in het achterhoofd kijken we vervolgens naar de dreigingen. Het algemene dreigingsbeeld voor Nederland, al dan niet aangevuld met eigen cyber threat intelligence van de organisatie, én een vertaling naar de eigen organisatie (welke belangen, kwetsbaarheden, algemene dreigingen, innovaties, marktontwikkelingen enzovoort) geven outside-in aan welk dreigingsprofiel de organisatie heeft. In zijn presentatie ‘The threats out there’ op The Grand Conference 2012, schetste Mikko Hypponen daders, motieven, uithoudingsvermogen en cybercapaciteiten als factoren die van belang zijn. Uiteindelijk constateerde hij dat hacktivisten, cybercriminelen en staten de belangrijkste actoren zijn om rekening mee te houden. Tot slot zijn er maatregelen nodig om onderkende risico’s te mitigeren. Twee trends zijn hierin zichtbaar: • Ten eerste groeit de overtuiging dat de focus op (technologische) preventie niet voldoende is. Het versterken van de digitale veerkracht betekent ook dat detectie, respons en herstel geregeld moeten zijn. • Ten tweede zien we, dat andere
3 4 5
The Grand Conference Op 16 oktober 2012 vond de eerste ‘The Grand Conference’ plaats in Amsterdam, als outreach van de EU-US Working Group on Cyber Security and Cyber Crime en georganiseerd door CPNI.NL. Meer dan 150 functionarissen uit de vitale infrastructuur en cybersecurity uit Europa, de VS en Japan bezochten deze conferentie, die de vooruitgang van learning by doing naar leading by doing in cyber resilience faciliteerde. The Grand Conference 2012 deed dit door presentaties van onder andere Neelie Kroes, Rod Beckstrom, Harry van Dorenmalen en Mikko Hypponen met meer dan genoeg voer voor gedachten, masterclasses, discussies met peers en de gelegenheid om door het ondertekenen van de World Economic Forum Principles on Cyber Resilience daadwerkelijk leiderschap te tonen. TNO, KPN en Alliander deden dat dan ook en meer zullen volgen. The Grand Conference 2013 zal nog een stap verder gaan in het slaan van bruggen tussen verschillende disciplines, om cyberresilience nog verder in te bedden in de normale bedrijfsvoering van organisaties uit de vitale infrastructuur.
disciplines dan ICT zich voorzichtig aan bewust beginnen te worden van het belang van cyber resilience en van het belang van hun eigen discipline in het versterken van cyber resilience. Een paar voorbeelden om dit te illustreren: - Communicatie: kan bijdragen in (onder andere) versterken van bewustwording, crisiscommunicatie en reputatiemanagement. - Juridische zaken: expert op het gebied van aansprakelijkheid en intellectueel eigendom. - Strategie: geen plannen voor digitale transformatie zonder oog voor digitale veiligheid. - Het primaire proces, zeker in ICSomgevingen waar operationele technologie (OT) en ICT naar elkaar toe groeien: integreren van de benadering veiligheid als safety met veiligheid als security.
http://jeffreycarr.blogspot.nl/2012/08/lessons-for-ceos-from-saudi-aramco.html#!/2012/08/lessons-for-ceos-from-saudi-aramco.html. Zie o.m. AIVD, Kwetsbaarheidsanalyse Spionage, 2010. Idem NCSC, Cybersecuritybeeld Nederland 2012, 2012. http://www.bloomberg.com/news/2011-02-24/exxon-shell-bp-said-to-have-been-hacked-through-chinese-internet-servers.html,
54
Trends in Veiligheid 2013
the way we see it
Stakeholders verwachten meer transparantie Volgens een recent redactiestuk van het NRC zijn cyberdreigingen rechtstreeks van belang voor de beurswaarde van een organisatie. Het op straat terechtkomen van vertrouwelijke informatie kan bijvoorbeeld tot verlies aan beurswaarde en maatregelen van toezichthouders leiden. Wie zich slecht beveiligt, heeft ook een slecht verhaal naar de buitenwereld, is de conclusie. Belangrijke stakeholders zullen meer transparantie willen zien over de wijze waarop bedrijven en andere vitale organisaties omgaan met vertrouwelijke gegevens en/of het waarborgen van de continuïteit van gedigitaliseerde bedrijfsprocessen. Kortom, de vragen die op de bestuurstafel en in de aandeelhoudersvergadering thuishoren zijn die naar de risico’s en het overzicht op de kritische belangen die in de lucht moeten blijven. Cyber resilience moet wat ons betreft een onderdeel zijn van de jaarverslaggeving, net zoals duurzaamheid dat is geworden. Ook dit is in de afgelopen jaren uitgegroeid van hype tot hygiënefactor. Deze transparantie is belangrijk om het vertrouwen van de buitenwereld te versterken en intern de inspanningen die nodig zijn om dat vertrouwen waar te maken te ondersteunen en te stimuleren. Twee vliegen in één klap!
Hoe maak je een organisatie meer cyber resilient? Langs digitale weg kunnen kwaadwillenden schade aan een organisatie brengen, door inbreuk te doen op zaken die de reputatie en/ of continuïteit van de organisatie raken. Bijvoorbeeld door het stelen of veranderen van (persoons- en bedrijfs-)gegevens, de operationele processen te verstoren of zaken die financiële positie van een organisatie raken. Juist daarom verdient het onderwerp een plek op de agenda van het strategisch management. Maar waar staat een organisatie op het gebied van cybersecurity/ cyber resilience en wat is de concrete verbeterstrategie waarop het management zich moet richten? Hiervoor heeft Capgemini een Cyber Security scan ontwikkeld. Deze bestaat uit een analyse die circa zes weken duurt en geeft een organisatie inzicht in de belangrijkste waarden, bedreigingen en risico’s op het gebied van cybersecurity en cyber resilience . Via een proces waarin sleutelspelers uit de organisatie een belangrijke rol hebben, levert de scan in korte tijd meer inzicht op waar de organisatie nu staat, waar maatregelen op moeten worden genomen en een concrete verbeteragenda om de weerbaarheid en wendbaarheid van organisaties te vergroten. Tevens draagt de Cyber Security scan bij aan een hogere bewustwording van de digitale veiligheid in de organisatie.
Over de auteurs Annemarie Zielstra MES is Director International Relations | Cyber Resilience bij TNO, Drs. Tjarda Krabbendam-Hersman en Mr. Patrick de Graaf zijn management consultant bij Capgemini Consulting op het gebied van openbare orde en veiligheid.
Voor meer informatie kunt u contact met de auteurs opnemen via het e-mailadres: trendsinveiligheid.nl@ capgemini.com of persoonlijk via @GraafPde, @tjhers en
[email protected]
55
Borging van continuïteit in het veiligheidsdomein Hoe continuïteitsmanagement bijdraagt aan de veiligheid in de maatschappij
Hoe kan de continuïteit van kritische processen in het veiligheidsdomein worden geborgd? Highlights • Onvoldoende
borging van continuïteit van kritische processen in het veiligheidsdomein.
• Een
noodzaak voor een contextgerichte benadering.
• Een
benadering waarin risico’s opgepakt worden vanuit het streven naar continuïteit.
• Een
raamwerk continuïteitsmanagement dat organisaties op strategisch en operationeel niveau helpt de kritische processen te borgen.
56
Trends in Veiligheid 2013
the way we see it
Het veiligheidsdomein dient de beheersing van hun eigen bedrijfsvoering op hetzelfde niveau te plaatsen als de beheersing van externe incidenten en rampen.
Organisaties zijn steeds kwetsbaarder om hun dienstverlening naar de maatschappij te kunnen garanderen. Sprekende voorbeelden hiervan zijn de Diginotar-affaire (hacken van overheidssites) en Bommelerwaard (tijdelijk uitvallen van grootschalige elektriciteit). Dit geldt ook voor organisaties in het veiligheidsdomein. De impact van het wegvallen van een organisatie in het veiligheidsdomein raakt de samenleving extra, omdat de veiligheid in het geding kan zijn. Het Trends in Veiligheid onderzoek 2012 van Capgemini, uitgevoerd door TNS NIPO, wijst uit dat een kwart van de Nederlanders een zeer grote impact verwacht op de maatschappij wanneer een overheidsorganisatie getroffen wordt door uitval van hun ICT-systemen. Door grote druk vanuit politiek, maatschappij en media ontstaat de noodzaak om snel te zoeken naar kortetermijnoplossingen. Met grote gevolgen van dien. Het om kunnen gaan met verstoringen van de dienstverlening, vraagt
in onze visie om een contextgerichte benadering: een benadering waarin risico’s opgepakt worden vanuit het streven naar continuïteit.
Continuïteitsbegrippen Continuïteit gaat over de beschikbaarheid van dienstverlening, ook in geval van verstoring van de bedrijfsvoering. Voor een aantal organisaties in het veiligheidsdomein geldt dat interne verstoring niet of maar beperkt mag leiden tot het wegvallen van hun dienstverlening. Het is dan ook belangrijk om te weten welke processen van welke organisaties kritisch zijn. Daartoe dient men zich af te vragen wat de maximaal toelaatbare tijdsduur is dat een bepaalde dienst niet geleverd kan worden. Wanneer dat bekend is, kan bepaald worden welke bedrijfsprocessen en onderliggende middelen en mensen kritisch zijn voor het leveren van die diensten en welke eisen te stellen aan de continuïteit daarvan.
57
Borging van continuïteit richt zich op het vinden van de juiste balans tussen de eisen aan continuïteit en de maatregelen om dit te bewerkstelligen. Het kan niet zo zijn dat organisaties maatregelen nemen die geen bijdrage leveren aan de continuïteit van kritische bedrijfsprocessen of zelfs geen maatregelen nemen voor die kritische processen. Daarnaast dient ook de zwaarte (kosten) van maatregelen afgestemd te zijn op de eisen aan continuïteit. Dit vereist heldere kaders waarmee organisaties op eenduidige wijze vast kunnen stellen wat hun kritische bedrijfsprocessen en gerelateerde eisen zijn en op basis daarvan passende maatregelen nemen. Vervolgens dient hierop actieve aansturing en monitoring plaats te vinden, zowel op strategische als tactisch niveau. Alleen dan kan de gewenste continuïteit gegarandeerd blijven.
Gebeurtenissen • Computerstoring
politie - In januari 2010 kampten politiekorpsen in Noord en Oost-Nederland met een ernstige storing in het computercentrum.
• Diginotar-affaire
- In 2011 slaagden hackers erin om valse beveiligingscertificaten af te geven waardoor onder meer websites van de overheid getroffen werden.
• Storing
Vodafone - In april 2012 zorgde brand in een netwerkknooppunt ervoor dat miljoenen mensen niet konden bellen, sms’en en mobiel konden internetten.
• 112
storingen KPN - In april 2012 was het alarmnummer voor de tweede keer in korte tijd niet of slecht bereikbaar.
• Landelijke
storing P2000 netwerk - In april 2012 konden verschillende alarmcentrales tijdelijk geen P2000-berichten versturen naar de gebruikers, zoals brandweer, KNRM en ambulancedienst.
Oorzaken van onvoldoende borging continuïteit
• Gebouw
Verschillende recente gebeurtenissen (zie kader) illustreren de afhankelijkheid van kritische processen voor de effectiviteit van organisaties in het veiligheidsdomein. Hiermee wordt bedoeld een bepaalde vorm van dienstverlening (bijvoorbeeld het beschermen en/of red-
• Gemeentehuis
Rijkswaterstaat ontruimd - In juni 2012 is het enorme kantoorgebouw aan de A12 in Utrecht ontruimd wegens trillingen. Waalre afgebrand - In juli 2012 is het pand volledig afgebrand na een aanslag.
Figuur 1: Borging van continuïteit in het veiligheidsdomein
Een organisatie
Bedrijfsprocessen Klantbehoeften
Mensen & werkplekken
58
Trends in Veiligheid 2013
Bedienen van klanten
Nutsvoorzieningen Gebouwen & apparatuur
Andere middelen, leveranciers ICT systemen & infrastructuren
the way we see it
den van mensen) wordt bedreigd door het wegvallen van een of meerdere kritische processen (een storing van ICT of elektriciteit). Een voorbeeld. In de nacht van woensdag 20 op donderdag 21 juni is door een storing met alarmnummer 112, iemand als gevolg van hartfalen overleden. Deze melding kwam in tweede instantie, vier minuten na de eerste poging tot bellen, alsnog binnen bij de alarmcentrale. De ambulance was vervolgens negen minuten na die melding ter plaatste. Er is hier sprake van een directe relatie tussen de hulpverlening tijdens een acute situatie en het wegvallen van een kritisch proces. Binnen het veiligheidsdomein is er vandaag de dag sprake van onvoldoende borging van de kritische processen. Dit heeft een aantal oorzaken. In de eerste plaats de fragmentatie in de aanpak van continuïteit in de organisatie. Continuïteit wordt beperkt thematisch ingevuld: de huidige aandacht beperkt zich tot uitval van ICT, van elektriciteit, personeel etcetera. In de tweede plaats is continuïteit veelal een verantwoordelijkheid die op operationeel niveau in een organisatie wordt belegd. Dit heeft raakvlakken met het eerste punt omdat de verantwoordelijkheid voor de invulling van dit deel van continuïteit valt onder bijvoorbeeld een ICT-beheerder, een hr-functionaris, een facilitair manager etcetera. In de derde plaats onvoldoende strategische betrokkenheid (lees: betrokkenheid van bestuurders en directieleden) bij het vaststellen van de normen voor continuïteit.
Waarom is dit een zorgwekkende ontwikkeling? Onvoldoende borging van continuïteit is een zorgwekkende ontwikkeling omdat daarmee de effectiviteit van organisaties in het veiligheidsdomein op het spel staat. Door het uitvallen van een of meerdere kritische processen zijn organisaties niet in staat om tijdig in te grijpen als de veiligheid in het geding is.
In voorgaande alinea’s is een aantal oorzaken benoemd voor onvoldoende borging van de continuïteit. Dit brengt ernstige risico’s met zich mee doordat organisaties onvoldoende voorbereid zijn op het wegvallen van kritische processen en functionarissen (zie kader). Dit ligt aan het feit dat er geen uniforme benadering is van continuïteit binnen een organisatie. Voor ieder deelgebied (ICT, hr, techniek, elektriciteit, CBRN) wordt hier door de verantwoordelijke operationele functionaris zelfstandig invulling aan gegeven. Dit komt door de afwezigheid van een organisatiebrede norm waar continuïteit aan moet voldoen (strategisch kader). Er wordt door bestuurders geen normen vastgelegd van wat acceptabel is voor de organisatie. Is dat een dag uitval van ICT, drie dagen uitval van het merendeel van het personeel, vijf dagen uitval van elektriciteit? Deze normen zijn belangrijk omdat de operationele functionarissen op basis hiervan weten welke ruimte (financiële middelen, omvang maatregelen) zij nodig hebben om deze kritische processen te borgen. Anders ontstaat een andere ongewenste ontwikkeling en dat is wat wij het geïnstitutionaliseerd eilanddenken
noemen. Iedere specialist binnen een organisatie bepaalt zelf de reikwijdte van continuïteit. In het volgende deel van dit artikel bieden wij een raamwerk om te komen tot een contextgerichte aanpak van continuïteit.
Een contextgerichte aanpak van continuïteit Wanneer we kijken naar de huidige modellen voor continuïteit, dan hebben ze allen gemeen met elkaar dat het ontwerpen zijn om invulling te geven aan continuïteit. Echter, de toepasbaarheid van deze blauwdrukken is niet altijd even eenvoudig. Er worden nauwelijks handvatten geboden hoe rekening te houden met de doelstellingen van organisaties en de mate waarin ze al bezig zijn met continuïteit. En de praktijk is dat veel organisaties bewust of onbewust al bezig zijn met continuïteit. Continuïteit effectief en efficiënt invullen vraagt dan ook om een contextgerichte aanpak. De invulling moet gebaseerd zijn op hetgeen organisaties willen bereiken en op waar ze staan. Dit verschilt per organisatie en betekent dan ook dat je dit niet generiek aan kunt pakken. Iedere organisatie zal gecon-
Figuur 2: Raamwerk continuïteitsmanagement Strategische uitdaging
Initieel kader
Integraal kader
Korte termijn
Lange termijn
Initiële implementatie
Integrale implementatie
Operationele uitdaging
59
fronteerd worden met haar eigen uitdagingen. Wij onderscheiden vier soorten uitdagingen: • Strategische uitdaging: het zorgen voor een kader voor continuïteit en op basis daarvan sturing op samenhang tussen continuïteitseisen en -maatregelen binnen de organisatie. • Operationele uitdaging: het zorgen dat verantwoordelijkheden belegd en genomen worden om daadwerkelijk invulling te geven aan continuïteit. Hierbij uitgaande van kaders en resulterend in implementatie van maatregelen en plannen. • Kortetermijnuitdaging: de borging van continuïteit op korte termijn, < 1 jaar. • Langetermijnuitdaging: de borging van continuïteit op de middellange en lange termijn, > 1 jaar. Op basis van bovengenoemde uitdagingen hebben we vier varianten gedefinieerd waarin organisaties zich vanuit hun eigen context kunnen positioneren. Per variant geven we kenmerken aan op basis waarin organisaties zich kunnen positioneren en handreikingen hoe invulling te geven aan continuïteit.
1. Initieel kader
Kenmerken
Er is niet gedocumenteerd van wie in welke situaties wat verwacht wordt. Uitdagingen
60
Trends in Veiligheid 2013
Bepaal de noodzaak van continuïteitsmaatregelen, bijvoorbeeld wet- en regelgeving. Bepaal welke bedrijfsactiviteiten in geval van uitval de hoogste prioriteit moeten krijgen voor herstel. Bepaal hoe snel herstel dient plaats te vinden. Bepaal welke ‘resources’ van vitaal belang zijn voor herstel van de kritische bedrijfsactiviteiten. Maak een continuïteitsplan waarin de uitvoering van herstel is vastgelegd.
2. Initiële implementatie
Kenmerken
Voor specifieke aandachtgebieden zijn continuïteitsmaatregelen vastgesteld, maar ze niet geïmplementeerd. Er zijn plannen waarin de activiteiten en verantwoordelijkheden voor herstel van de bedrijfsvoering zijn gedefinieerd, maar niet belegd, gecommuniceerd, geoefend etcetera.
Conclusie De kwaliteit van organisaties in het veiligheidsdomein wordt afgemeten aan hun effectiviteit voor de veiligheid in de maatschappij. De bedrijfsvoering richt zich op de klassieke PIOFAH-aspecten van de organisatie. Op zich niets mis mee, maar de uitval van kritische processen raakt in eerste instantie de organisatie en daardoor de veiligheid in de maatschappij. In die zin is continuïteit meer dan een randvoorwaarde of slechts een operationele maatregel. Het raakt de gehele bedrijfsvoering van de organisatie. Het veiligheidsdomein dient het beheersen van verstoringen van hun eigen bedrijfsvoering op hetzelfde niveau te plaatsen als de beheersing van externe incidenten en rampen. Zonder het een, kan het ander niet functioneren. Wij doen een beroep op het veiligheidsdomein om continuïteit serieus te nemen en integraal op te
Er zijn continuïteitsmaatregelen genomen, maar ad hoc en/ of gefragmenteerd (specifieke afdelingen, alleen facilitair, ICT etcetera).
Uitdagingen
Wijs rollen en verantwoordelijkheden toe. Zorg ervoor dat betrokkenen weten wat van hen verwacht wordt. Zorg ervoor dat noodzakelijke acties om de continuïteitsplannen uit te kunnen voeren genomen zijn. Oefen uitvoering van de plannen. Zorg voor beheer en verbetering van de plannen.
the way we see it
pakken, opdat zij hun bestaansgrond in de maatschappij kunnen blijven behouden.
3. Integrale implementatie
Kenmerken
Kritische bedrijfsactiviteiten en ‘resources’ (inclusief afhankelijkheid van andere partijen) zijn vastgesteld.
Over de auteurs Drs. Abderrahman Kaouass en Klaas Hagoort zijn managing consultant bij Capgemini Consulting. Abderrahman Kaouass richt zich op bestuurlijke veiligheidsvraagstukken binnen het veiligheidsdomein. Klaas Hagoort is expert op het gebied van Business Continuity Management (BCM) en is gecertificeerd ‘Member of the Business Continuity Institute’ (MBCI).
De noodzaak van continuïteitsmaatregelen is gedefinieerd.
Er is een organisatiebreed continuïteitsplan, maar dit is niet of slecht gedeeltelijk geïmplementeerd. Maatregelen
Wijs rollen en verantwoordelijkheden toe, inclusief relaties met andere partijen (binnen en buiten de eigen organisatie). Zorg ervoor dat betrokkenen weten wat van hen verwacht wordt. Neem continuïteitsafspraken op in de contracten/SLA’s met de partijen die als kritische ‘resource’ geïdentificeerd zijn. Test en oefen uitvoering van continuïteitsplannen in samenhang. Zorg voor beheer en verbetering van de plannen.
4. Integraal kader
Kenmerken
Er is een organisatiebrede aanpak voor continuïteitsbeheersing geïmplementeerd. Er is echter geen of beperkte samenhang met andere aandachtsgebieden voor risicobeheersing.
Voor meer informatie kunt u contact met de auteurs opnemen via het e-mailadres: trendsinveiligheid.nl@ capgemini.com of persoonlijk via abderrahman.kaouass@ capgemini.com en klaas.
[email protected]
Maatregelen
Definieer de samenhang tussen continuïteitsbeheersing en de overige aandachtsgebieden voor risicobeheersing (ORM, ERM, Informatiebeveiliging etcetera). Integreer besturingsmechanismen en rapportages.
61
Meer vissen in de vijver met de White Hat Office
62
Trends in Veiligheid 2013
the way we see it
Hoe zorgen we voor meer hackers om de digitale veiligheid van Nederland te garanderen? De toenemende aandacht voor cybersecurity leidt tot een groot tekort aan gekwalificeerde hackers. Wij zien een structurele, publiekprivate oplossing. De afgelopen jaren is de vraag naar technische cyberprofessionals, kortweg hackers, sterk toegenomen. Mensen die niet alleen over ‘cyber’ kunnen praten, maar ook daadwerkelijk over de technische vaardigheden en de juiste attitude beschikken, zijn echter schaars. Erik Akerboom: “Er is een tekort aan mensen die ook kunnen doen en niet alleen bedenken wat er zou moeten gebeuren.”1
Highlights • Er is een acuut en structureel tekort aan gekwalificeerde White Hat hackers. • Slimmer vissen in de vijver met cyberreservisten, digitale vrijwilligers en pooling van experts lost maar een klein deel van het probleem op. • De White Hat Office is een publiek-privaat werk- en leertraject voor White Hat hackers, waardoor zij snel in kunnen stromen. • De White Hat Office bouwt voort op bewezen concepten. • Het concept ligt er, de eerste uitwerking ook, wie doet er mee?
De noodzaak om goede professionals te werven, in te laten stromen en op te leiden, is groot. Onder andere de politie, 1
Destijds als Nationaal Coördinator Terrorisme en Veiligheid geciteerd tijdens London Cyber Conference van 1 november 2011. In gelijke zin het Nationaal Trendrapport Cybercrime en Digitale Veiligheid van GOVCERT.NL uit 2010.
63
Er is een tekort aan mensen die ook kunnen doen en niet alleen bedenken wat er zoumoeten gebeuren.” NCSC, Defensie, de inlichtingendiensten, banken, telecom en ICT-security firma’s willen of moeten groeien op dit gebied. Uit het Trends in Veiligheid 2012 onderzoek van Capgemini, uitgevoerd door TNS NIPO, blijkt ook dat de publieke opinie de mening deelt dat het kennisniveau van overheid (in het bijzonder de politie) moet worden versterkt. Een overtuigende 94% van de respondenten is het eens tot helemaal mee eens met deze stelling. Aangezien de digitale transformatie die nu plaatsvindt, niet zonder digitale veiligheid kan, verwachten we dat deze vraag alleen maar zal groeien. Gezien de huidige omstandigheden op de arbeidsmarkt, is dat een opvallende ontwikkeling, maar één die past bij de trend van toenemende aandacht voor en actie op cybersecurity. Wetenschappelijke (w.o.) en hogeschool (hbo) informatica-opleidingen brengen echter structureel minder studenten op de arbeidsmarkt dan de vraag.2 Dit geldt in het bijzonder voor beveiligingsexperts.3 Verder laat volgens de Taskforce E-skills de aansluiting tussen opleiding en beroepspraktijk te wensen over.4 De toenemende vraag naar hackers en het te lage aanbod op de arbeidsmarkt zorgen voor een structureel probleem.
Dit is overigens niet een typisch Nederlands probleem. In de meeste geïndustrialiseerde landen groeit de behoefte aan hackers. Zie bijvoorbeeld het rapport van de Cyberskills Taskforce van het Amerikaanse Department of Homeland Security: “Objective II: Help DHS employees develop and maintain advanced technical cybersecurity skills and render their working environment so supportive that qualified candidates will prefer to work at DHS”.5
De White Hat Office als structurele oplossing voor een structureel probleem Er is een gedeeld belang om het structurele tekort aan technische cyberprofessionals (hbo/w.o.) op een structurele wijze op te lossen. Tot dusverre vist iedereen echter in dezelfde vijver en wordt hooguit slimmer gevist, bijvoorbeeld via het idee van cyberreservisten bij Defensie of vrijwilligers bij de politie. Het aantal vissen blijft echter gelijk, om in de beeldspraak te blijven. Slimmer vissen in de vijver met reservisten, vrijwilligers, maar ook pooling van experts lost maar een klein deel van het probleem op. Als er een groot incident is, zijn de meeste specialisten waarschijnlijk elders bezet en niet inzetbaar.
3
64
Trends in Veiligheid 2013
Het idee van de White Hat Office is dat het publiekelijk en in de ‘scene’ kandidaten werft voor een beperkte, vertrouwde groep publieke en private werkgevers. De kandidaten stromen via een uitgebreid selectietraject in: een psychologisch onderzoek, een praktijktoets en strenge screening maken onderdeel uit van de selectie. Je wordt niet zomaar toegelaten. Alleen goede en integere kandidaten komen binnen: de White Hat hackers. Eenmaal ingestroomd werkt de professional vier dagen in de week bij een deelnemende werkgever en keert een dag in de week terug op de White Hat Office voor opleiding, individuele coaching, onderlinge kennisuitwisseling of experimenten op een eigen technische omgeving. De opleiding omvat niet alleen techniek maar ook adviesvaardigheden en taal (Russisch en/of Chinees). Dat laatste heeft voor een aantal organisaties toegevoegde waarde, maar zeker voor de professionals zelf ook (kudo’s in the community!).
Digitale vrijwilligers bij de politie De politie werkt vanuit Programma Aanpak Cybercrime (PAC) aan meerdere pilots om digitale vrijwilligers in te zetten bij politiewerk. Dit zijn mensen die op ICT-gebied over middelen of expertise beschikken. Het doel is om digitale vrijwilligers te binden aan de politieorganisatie, onder meer met een op LinkedIn lijkend platform, waar deelnemers een profiel kunnen aanmaken en invullen. Alleen de politie kan dit inzien.6
ICT marktmonitor, ICT Office, april 2011 en april 2012. Taskforce E-Skills Nederland, geciteerd in Computable, 2 mei 2011. 4 ICT Office, 2012 5 Homeland Security Advisory Council, Cyberskills Task Force Report, Departement of Homeland Security, 2012. 6 Bron: www.security.nl, Politie start proef met cybervrijwilligers, 17 september 2012 2
Inmiddels wordt dit probleem wel erkend en wordt er her en der over gesproken, maar mist de concrete actie. We hebben daarom een concreet voorstel: de White Hat Office als publiek-private cyber academy.
the way we see it
Na vier periodes van zes maanden bij verschillende werkgevers, stroomt de technische cyberprofessional door naar de werkgever van zijn of haar keuze. Participerende werkgevers hebben een belangrijke stem in het wervingsprofiel, de schaal, selectie en het curriculum van de White Hat Office. Zij kunnen ook zelf een bijdrage leveren aan het curriculum, bijvoorbeeld door eigen opleidingsvoorzieningen in te brengen. De exacte invulling van het gehele concept zal dan ook idealiter met een aantal founding fathers7 worden bepaald. De White Hat Office is van hen gezamenlijk. Het succesvolle model van de ASL-BiSL Foundation8 vinden we wat dit betreft inspirerend om de White Hat Office vorm te geven en te financieren.
Waar komen de termen White Hat en Black Hat vandaan? De White Hat hackers zijn de good guys en worden ook wel ethical hackers genoemd. Deze specialisten zijn op zoek naar zwakke plekken in de ICT-beveiliging om die te herstellen en te voorkomen dat Black Hat hackers ze misbruiken. Black Hats proberen misbruik te maken van kwetsbare plekken, bijvoorbeeld om informatie te stelen. De term White Hat en Black is afkomstig uit oude Westerns, waarin de good guys met een witte hoed getooid gingen en de bad guys herkenbaar waren aan hun zwarte hoed.
Voordelen voor werkgevers en professionals zijn groot De voordelen voor zowel professionals als werkgevers zijn aantrekkelijk genoeg om te starten met de White Hat Office. Voor professionals is het een brug van hacken als hobby naar betaald werk bij organisaties die bijdragen aan het digitaal veiliger maken van Nederland. Naast salaris ontvangen ze nuttige scholing en coaching en hebben de gelegenheid om met hun peers kennis uit te wisselen om zo nog slimmer en handiger te worden. Voor werkgevers levert deze aanpak snel toegang tot een continue stroom van ‘white hat’ cyberprofessionals. Het gedeelde traject biedt legio voordelen van economy of scale en economy of skill, terwijl de werkgever wel invloed heeft op de hele opzet. Hier tegenover staat, dat het komen tot voldoende generiek en gedragen wervingsprofiel(en) en -methode, selectieproces, opleidingscurriculum, doorstroomtraject, businessmodel en businesscase werk, tijd en aandacht zal vergen.
7 8
Figuur 1: Meer vissen in de vijver met de White Hat Office 4 dagen werken 1 dag leren en experimenteren
Stroom voor een professional: werven
selecteren
curriculum
opleiden
werken
uitstroom
scopen
werken
instroom
Stroom voor een participant: selecteren
werven
contracteren
4 rondes van 6 maanden
Professional kiest
Intake per ronde
Exit-regeling just in case
Hiermee worden de organisaties bedoeld die betrokken zijn bij de oprichting. www.aslbislfoundation.org
65
Conclusie White Hat Office heeft de potentie om een gewilde, exclusieve academie voor technische cyberprofessionals van hoog niveau te worden, die toegang geeft tot werk bij aansprekende organisaties in zowel de publieke als private sector. Vertrouwd en praktisch voor werkgevers en dé plek om je carrière te starten in cybersecurity in Nederland. Zeker als de White Hat Office zich ook gaat richten op mensen die minder makkelijk in beeld komen bij grote werkgevers, zoals vroegtijdige schoolverlaters of andere moeilijk traceerbare groepen, levert deze aanpak meer vissen op in de vijver. Het idee is er, de eerste uitwerking ook. Wie doet er mee?
Figuur 2: Meer vissen in de vijver met de White Hat Office
Participant X
Participant Y
Dienstverlenend Participant Z
Raad van Advies
White Hat Office White Hat Office
Leveranciers, incl onderwijs
Hacker community (b.v. Hackerspaces voor hbo-, mbo-, praktische wo-studenten)
Over de auteurs Mr. Patrick de Graaf en drs. Erik Hoorweg MCM zijn principal consultant, respectievelijk vice president bij Capgemini Consulting en als zodanig actief op het gebied van openbare orde en veiligheid. Specifiek richten zij zich op vraagstukken op het vlak van cybersecurity, crisisbeheersing, beleidsrealisatie en bedrijfsvoering.
Voor meer informatie kunt u contact met de auteurs opnemen via het e-mailadres: trendsinveiligheid.nl@ capgemini.com of persoonlijk via twitteradres @GraafPde en @ehoorweg
66
Trends in Veiligheid 2013
Businessmodel De ASL-BiSL Foundation kwam voort uit heel andere, maar toch vergelijkbare problematiek als de White Hat Office. Het toenmalige PinkRoccade zag begin jaren 2000 de behoefte bij klanten en concullega’s groeien om het applicatiebeheer en functioneel beheer van ICT-systemen te professionaliseren. Een beheerstandaard als ITIL, maar dan toegespitst, zou daarbij kunnen helpen. Een standaard moet echter gedragen worden een voldoende aantal partijen. Samen met de ICT-organisaties van onder andere politie en Defensie en concurrenten als Ordina richtte PinkRoccade daarom in 2002 een stichting op, die de Application Services Library (ASL) en later ook Business information Services Library als public domain tot op heden is gaan beheren. ASL is inmiddels de ‘de facto’ standaard voor applicatiebeheer in Nederland. Zogeheten ‘managing partners’ - waarvan vele ook founding father - financieren en besturen de stichting en zorgen zo voor doorontwikkeling van de beide standaarden en uitdragen ervan in binnen- en buitenland. Een uitvoerend bureau organiseert publicaties en bijeenkomsten, verzamelt best practices en stuurt de ontwikkeling van de standaarden en de financiering ervan aan.
the way we see it
Thoughtleadership
Geïnteresseerd in andere publicaties? Naast deze uitgave hebben wij andere interessante rapporten, onderzoeken en white papers die mogelijk voor u relevant kunnen zijn. In dit hoofdstuk treft u een verkort overzicht aan. Scan de QR code. Een compleet overzicht van ons gedachtegoed vindt u hier: www.capgemini.nl en www.capgeminiconsulting.nl
67
Business Cloud: The State of Play Shifts Rapidly
Business Cloud: The State of Play Shifts Rapidly
Uit onderzoek blijkt dat de verantwoordelijkheid voor cloud-initiatieven verschuift van de ICT-afdeling naar de business, waarbij organisaties voorzichtig navigeren door complexiteit en onzekerheid. Capgemini maakt deze resultaten bekend in het rapport ‘Business Cloud: The State of Play Shifts Rapidly: Fresh Insights into Cloud Adoption Trends’, een wereldwijd onderzoek naar de adoptie van cloud door bedrijven, naar de succesfactoren en de barrières. Hoewel de cloudmarkt nog niet geheel volwassen is, laat het rapport zien dat 81% van de onderzochte organisaties in meer of mindere mate gebruikgemaakt van cloudtechnologie. Hoewel een derde van de bedrijven (32%) zich kan vinden in de stelling dat de ICT-afdeling de drijvende kracht achter de adoptie van cloud is, verschuift de verantwoordelijkheid hiervoor geleidelijk van de ICT-afdeling naar de business. Download via www.capgemini.nl
World Quality rapport 2012-2013
Het World Quality Report is het enige grote wereldwijde rapport dat jaarlijks inzicht geeft in de stand van zaken rond de kwaliteit van applicaties en de testprofessie in verschillende branches. Het rapport is resultaat van ruim 1500 telefonische en persoonlijke interviews onder management op gebied van ICT, QA en/of testen. Het World Quality Report van 2012-2013 laat onder andere zien dat organisaties moeite hebben om te gaan met de uitdagingen van het mobiele tijdperk. Ze ontberen de juiste middelen en methodes hiervoor. Dit terwijl het effectief testen van de kwaliteit van softwaretoepassingen nog nooit zo belangrijk voor de reputatie en operationele processen van organisaties was als nu. Download via www.capgemini.nl/testing
68
Trends in Veiligheid 2013
the way we see it
The Deciding Factor: Big Data & Decision Making
The Deciding Factor: Big Data & Decision Making
Capgemini deed uitvoerig internationaal onderzoek naar big data. Enkele highlights uit het rapport: • CxO’s onderkennen de waarde van big data omdat het hun organisatie in staat stelt meer informatie te verkrijgen over verschillende aspecten van hun business. • Investeringen in big data leveren meer resultaat op dan investeringen in het verbeteren van backofficeprocessen. • Gemiddeld verbetert big data de business-performance bij respondenten met 26% met zicht op verdere stijging. • Er liggen vooral kansen op het gebied van online en social media, sales-optimilisatie en fraudebestrijding. • Belangrijke uitdaging van big data ligt in het verkrijgen van informatie uit gestructureerde data gecombineerd met ongestructureerde data, zoals social netwerk content achter de firewall. Download via www.capgemini.nl/bigdata
69
The Digital Advantage: How digital leaders outperform their peers in every industry
Capgemini Consulting heeft in samenwerking met het MIT Center for Digital Business een onderzoek gehouden over de manier waarop bedrijven omgaan met digitale transformatie en hier voordeel uit halen. Digitale transformatie is het gebruik van digitale technologie, zoals sociale media, mobiele oplossingen, analysemogelijkheden en geïntegreerde apparaten, gericht op het verbeteren van de prestaties of reikwijdte van de organisatie. Download via www.capgeminiconsulting.nl
Veiligheid en Rechtsketen Blog Een Capgemini Consulting Blog Veiligheid en rechtsketen blog
Wij vinden het belangrijk dat ervaring en visie gedeeld wordt. De consultants van Capgemini Consulting zijn dagelijks bezig met organisaties, processen, beleid, sturing en, inrichting in het brede veiligheidsdomein. In de ontwikkelingen die deze organisaties doormaken zien wij parallellen en overeenkomsten, maar ook verschillen. Wekelijks schrijft een van de consultants een artikel op de veiligheids- en rechtsketenblog, om u zo op de hoogte te houden van onze visie en mogelijkheden.
Ga naar de blog via www.capgeminiconsulting.nl
70
Trends in Veiligheid 2013
the way we see it
71
the way we see it
Colofon Trends in Veiligheid is mede tot stand gekomen met medewerking van: Erik Hoorweg Edwin Kok Paul Visser Petra Halenbeek Rob Vernooij Kees-Jan Butter
IN/1B-004.13
Capgemini Nederland B.V. Postbus 2575 - 3500 GN Utrecht Tel. +31 30 689 00 00 E-mail:
[email protected] www.trendsinveiligheid.nl Advies, ontwerp en productie: Marketing & Communicatie, Nicole Hartung, Joke Achterberg
72
the way we see it
73
Over Capgemini Met meer dan 125.000 mensen in 44 landen is Capgemini wereldwijd een van de meest vooraanstaande aanbieders van consulting-, technology- en outsourcingdiensten. In 2012 rapporteerde Capgemini Group een omzet van 10,3 miljard euro. Samen met zijn klanten creëert en realiseert Capgemini resultaatgerichte business- en technology-oplossingen, toegesneden op de klantbehoefte. Als een cultureel diverse organisatie heeft Capgemini zijn eigen onderscheidende manier van werken, de Collaborative Business ExperienceTM. Hierbij maakt Capgemini gebruik van het wereldwijde leveringsmodel Rightshore®. Rightshore® is een handelsmerk van Capgemini
Capgemini Consulting is het mondiale Strategy en Transformation Consulting label van de Capgemini Group, gespecialiseerd in het adviseren en begeleiden van organisaties bij verandertrajecten: van de ontwikkeling van innovatieve strategieën tot en met de uitvoering daarvan, met continue aandacht voor duurzame resultaten. Capgemini Consulting biedt ondernemingen en overheden een vernieuwende benadering, gebruikmakend van innovatieve methodes, technologie en het talent van meer dan 3.600 consultants wereldwijd. Voor meer informatie:
www.nl.capgemini.com www.capgeminiconsulting.nl Copyright © 2013 Capgemini. Alle rechten voorbehouden. Rightshore® is een handelsmerk van Capgemini
Capgemini Nederland B.V. Postbus 2575 - 3500 GN Utrecht Tel. +31 30 689 00 00 E-mail:
[email protected] www.trendsinveiligheid.nl
