Dinsdag 5 januari, 06:25 uur. BNR Nieuwsradio, op weg naar Schiphol. Naast de melding dat Schiphol zestig bodyscanners heeft besteld, de melding dat Israel blijft vertrouwen op profiling. Wie heeft er gelijk, wat is belangrijker? Weten wie je aan boord hebt of wat je aan boord hebt?
Met elke aanslag en poging tot aanslag worden de veiligheidsmaatregels aangescherpt en uitgebreid. Naar aanleiding van de laatste poging door een Nigeriaan worden er versneld bodyscanners aangeschaft door Schiphol. Een begrijpelijke reactie, maar met elke nieuw detectiesignaal wordt meer informatie gecreëerd die door een kleine groep veiligheidsdeskundigen moet worden geïntrepeteerd. Een overflow aan informatie is een reële dreiging, omdat dit leidt tot een mogelijke 'freeze' van betrokkenen. Wat zijn dan mogelijke alternatieven om betrokkenen scherp en alert te houden voor de reële dreiging?
Komende vanuit de event processing-hoek is mij duidelijk geworden dat er weliswaar veel initiatieven zijn op het gebeid van het detecteren van dreigingen, maar dat deze stranden op het feit dat al deze initiatieven op zichzelf staan. Elke nieuwe oplossing is een stand alone-oplossing die de problemen op geheel eigen wijze probeert op te lossen. Maar oplossingen zijn er genoeg, zoals de veiligheidsanalyse van de recente terroristische aanslag heeft aangegeven. Er waren aanwijzingen. Zo kwam de naam van deze persoon al voor in de law enforcement-database en had zijn vader al aangegeven bezorgd te zijn over de gedragingen van zijn zoon. Het probleem zat er in dat het verband niet werd gezien tussen de verschillende meldingen, dat de communicatie faalde en dat daardoor niet de juiste acties werden ondernomen (in ieder geval niet tijdig).
In mijn optiek zijn dus niet zo zeer nieuwe systemen nodig, maar wordt het tijd dat de bestaande systemen gaan ‘praten'. Hoe komt het dat de huidige systemen dit niet doen?
Uit de praktijk weet ik dat veel van de technische oplossingen die worden bedacht om een dreiging waar te nemen zeer hardwaregedreven zijn. Hardware in de vorm van diverse sensoren zoals bewegings- en herkenningscamera's, worden geleverd met gesloten softwaresystemen. Hierdoor wordt de koppeling van dergelijke systemen en centrale commandocentrales die de regie hebben en die de overkoepelende bewaking moeten doen, zwaar gehinderd. Immers, veel dreigingen worden niet herkend op basis van één waarneming, het is juist vaak een bepaald patroon dat bestaat uit meerdere waarnemingen welke gezamenlijk wijzen op een verhoogde dreiging.
En hier laat de techniek het dus afweten. Zoals reeds aangegeven is veel van de apparatuur die ingezet wordt vernuftige high tech-apparatuur welke wordt gemaakt door specialistische bedrijven, vaak in samenwerking met partijen als TNO. De aandacht ligt daarbij op de herkenningsalgoritmes die worden ingebouwd in de software. Deze embedded software-projecten zijn duur. Standaardisatie aangaande integratie vindt niet of nauwelijks plaats. Daarnaast is het zo dat leveranciers niet staan te springen om standaardisatie, want standaardisatie vergemakkelijkt uitwisselbaarheid. Om te voorkomen dat leveranciers uitwisselbaar worden, beveiligen sommige partijen hun hardware met speciale codes.
Zomaar een voorbeeldje uit de afvalbranche: afvalbakken hebben een rfid-chip. Hierdoor is het mogelijk om een huishouden aan de bak te koppelen en bij het legen te checken of de bak geleegd mag worden (is er betaald, staat het huishouden op een blacklist, etc.). Zo ver zo goed. Op de bakken staat echter een grote prijsdruk en deze worden door de leveranciers tegen lage prijzen geleverd. De leverancier probeert zijn geld daarom op een andere manier te verdienen, namelijk op basis van de (dure) readers. Om te voorkomen dat een andere partij goedkoop de readers kan leveren om de bakken uit te lezen, verzegelen sommige leveranciers van de bakken de rfid-chips met een pincode. Zonder deze code die alleen in de reader van de leverancier zit, kan er niet uitgelezen worden. In de praktijk wordt het legen van bakken in een wijk dus heel lastig, want in de loop van de tijd zijn er bakken van diverse leveranciers in een wijk gekomen waardoor de vrachtwagens moeten worden uitgerust met een batterij aan readers, wat de integratie met het werkelijke legingsproces zwaar bemoeilijkt aangezien er fysiek natuurlijk maar beperkte ruimte is om dergelijke readers te installeren.
Het is niet altijd met opzet, maar integratie in het belang van een overkoepelende veiligheidsstrategie staat bij deze ontwikkelaars gewoon niet op de prioriteitenlijst. Het verbeteren van de sensor en de algoritmes is vaak de uitdaging voor hen. Waarom? Omdat geen enkele veiligheidsorganisatie te veel valse meldingen wil krijgen. Ga maar na, stel dat elke sensor één verdachte boodschap geeft op duizend events en stel dat een luchthaven waar al gauw enkele duizenden sensoren aanwezig zijn (camera's, alarmmelders, rookmelders, bewegingsmelders, deur-openingsmelders) gemiddeld honderd events per seconde genereert, dan zou er dus elke tien seconden een valse melding plaatsvinden. Daar valt niet mee te werken. De veiligheidsmedewerker krijgt een overflow aan informatie, ziet door de bomen het bos niet meer en zal bij een werkelijke dreiging niet of te laat reageren.
Sensorleveranciers proberen de valse meldingen terug te dringen door de detectie zo goed mogelijk te doen. Dat is op zich een nobel streven, maar handiger zou het zijn als de meldingen van de diverse sensoren in een centrale regiekamer zouden kunnen worden geanalyseerd, waarbij de valse meldingen kunnen worden teruggedrongen door het wegen van de meldingen van diverse systemen in hun samenhang.
Om dit te kunnen doen, is openheid van de beschikbare sensoren de eerste vereiste. De meldingen die uit een dergelijk systeem komen, moeten niet alleen gelezen kunnen worden door de dedicated software, maar deze moeten hun gegenereerde meldingen alswel als de rauwe datastroom naar een centraal commandosysteem kunnen leiden. Deze gegevens moeten beveiligd worden getransporteerd (manipulatie van buitenaf moet kunnen worden voorkomen) dus een security service bus als variant op de enterprise service bus is een tweede vereiste.
Het derde vereiste is het kunnen analyseren van de binnenkomende events op hun waarde in samenhang met de reeds plaatsgevonden events. Dit klinkt eenvoudiger dan het is. De reden hiervoor is de massaliteit van de events die plaatsvinden (denk even aan ons voorbeeld, bij honderd events per seconde, heb je in een uur tijd toch 360.000 events die je moet beoordelen). Een ander aspect dat de analyse bemoeilijkt is de tijdsafhankelijkheid van de events onderling. Veel van de events zullen beoordeeld worden op de tijdigheid waarmee bepaalde events plaatsvinden alsmede de plaats waar de events plaatsvinden. Als laatste zal het waarschijnlijk nodig zijn om in bepaalde situaties additionele gegevens op te vragen uit databanken.
De technologie die bij uitstek geschikt is voor het invullen van het derde vereiste is CEP; complex event processing. CEP levert de benodigde rekenkracht alswel de flexibiliteit om events van verschillende bronnen te verrijken en te vergelijken in tijd en ruimte om daarna de benodigde acties in gang te zetten in realtime.
Hoewel ik nog geen voorbeelden heb van het gebruik van CEP op luchthavens, heb ik wel een voorbeeld van het gebruik van deze techniek in de retail. Sinds oktober 2009 houdt een retailer (de naam mag ik niet geven in verband met de sensitiviteit) een proef met het gebruik van de CEP-engine van Progress (Apama). Kassagegevens worden via een ESB (Sonic in dit geval) in realtime doorgegeven aan de CEP-engine, alle kassagegevens van alle winkels worden hier geanalyseerd. Indien verdachte patronen worden gezien, wordt een alarmering naar de betreffende filiaalmanager gegeven per sms. Wanneer er bijvoorbeeld geconstateerd wordt door de CEP-engine dat er een abnormaal hoog bedrag aan statiegeld wordt afgerekend, dan krijgt een veiligheidsmedewerker meteen de video te zien van de emballageafdeling en van de betreffende kassa. De filiaalmanager wordt opgepiept en krijgt een beschrijving van de betreffende persoon. Geloof het of niet, maar sinds de invoering van het systeem wordt er elke dag een crimineel (want dat zijn het echt, er zitten echte professionals tussen die hier hun dagtaak van maken) op heterdaad betrapt nog voor deze de kans heeft de winkel uit te lopen. Men wist dat er op deze manier gefraudeerd werd, maar dat het zo massaal gebeurde was de directie niet bekend. Door de invoering van deze techniek is de discussie intern opgestart of bepaalde artikelen met een hoge statiegeldwaarde nog wel langer verkocht moeten worden.
Bovenstaand voorbeeld geeft aan dat een integraal veiligheidsbeleid waarbij diverse automatiseringssystemen en sensoren op elkaar kunnen worden aangesloten gezamenlijk een mate van veiligheid kunnen creëren welke de systemen op zich zelf nooit zouden kunnen. Dus ook voor veiligheidssystemen geldt dat het geheel meer kan zijn dan de som der delen.
Mijn pleidooi om de veiligheid te verhogen is dan ook om niet alleen te investeren in nieuwe opsporingsmethoden, maar ook om te investeren in het laten ‘praten' van de reeds bestaande veiligheidssystemen met elkaar. De wereld wordt een betere wereld als je elkaar begrijpt, toch?