Wat hebben de vliegramp bij Tripoli, de explosie bij Chemiepack in Moerdijk, de incidenten bij Odfjell in Pernis en de Diginotar kwestie met elkaar gemeen? Ze zijn stuk voor stuk onderwerp van onderzoek geweest voor de Onderzoeksraad voor Veiligheid¹.
Deze doet onafhankelijk onderzoek naar ongevallen, rampen en crises en spitst zich vooral toe op het identificeren van achterliggende oorzaken. Met als uiteindelijk doel: een bijdrage leveren aan een structurele verbetering van de veiligheid. Voorzitter Tjibbe Joustra maakt onderscheid tussen fysieke- (safety) en sociale veiligheid (security).
Het aandachtsgebied van de Onderzoeksraad is breed, breder dan dat van vergelijkbare organisaties in de meeste Europese landen, geeft Joustra aan. ‘Als je kijkt naar de wet, dan zijn er eigenlijk heel weinig inperkingen op het veld waar wij onderzoek kunnen doen. De belangrijkste inperkingen zijn buitenlandse gevechtshandelingen en terrorisme; voor vliegtuig- en treinincidenten gelden internationale verdragen respectievelijk Europese afspraken die bepaalde onderzoeken tot verplichting maken. Voor de rest kunnen wij eigenlijk alles onderzoeken waarvan wij denken dat het nuttig is om te onderzoeken omdat er lessen uit te trekken zijn voor anderen. Wij zijn geen organisatie die gaat over schuld en boete, maar een organisatie die lessen probeert te trekken naar de toekomst. De onderzoeken zijn casus gerelateerd.’
Een uitvloeisel van de Diginotar kwestie is een wetsvoorstel van minister Opstelten om verplicht melding te doen bij een ict-inbreuk op de veiligheid. Dat klinkt als een gevolg van de aanbevelingen uit uw onderzoek. Ook de aanstelling van een Rijks-BVA lijkt daarvan een gevolg te zijn.
‘Ik durf niet helemaal in te schatten wat een gevolg waarvan is. Maar ik ben wel altijd blij als er dingen gebeuren die wij in onze rapporten ook gesignaleerd hebben. En dat is bij DigiNotar zeker het geval. Wij hebben dat onderzocht op verzoek van de ministers van Binnenlandse Zaken en Koninkrijksrelaties en Veiligheid en Justitie. Het was de eerste keer dat we op digitaal gebied een onderzoek hebben gedaan. Dit is niet expliciet voorzien in de wet, we hebben intern discussie gevoerd of dit tot ons werkterrein behoort. Maar één van onze doelstellingen is om bij te dragen aan helderheid in zaken die burgers bezig houden, om na te gaan en uit te leggen hoe dingen zitten. Een concreet voorbeeld daarvan is een bijeenkomst de we hebben belegd voor de vliegramp bij Tripoli. We hebben dat rapport niet zelf gemaakt – we hebben daar wel onze inbreng kunnen ventileren – maar wij vonden het toch wel tot onze taak behoren om nabestaanden uit te leggen hoe zo’n rapport tot stand komt. Het kan voor hen enigszins bijdragen aan de verwerking’, aldus Joustra.
Gevoel van onveiligheid
‘Wat is eigenlijk het verschil tussen iets dat fysiek explodeert en iets dat virtueel explodeert?’, vraagt Joustra zich hardop af als hij terugblikt op het onderzoek naar de DigiNotar kwestie. ‘Ik zou denken: het werkt eenzelfde gevoel van onveiligheid in de hand. Als je niet meer veilig kunt communiceren met de overheid wekt dat een vergelijkbaar gevoel in de hand wat je misschien hebt als je naast een gevaarlijke fabriek woont. Wij veronderstellen dat we in de toekomst vaker het digitale veld zullen betreden. Ik zeg het nog voorzichtig en met enige terughoudendheid want het is natuurlijk een veld waarin vele organisaties werkzaam zijn. Wij gaan geen dubbel werk doen, we moeten altijd het gevoel hebben dat we iets kunnen bijdragen.’
Controleert u of uw aanbevelingen worden opgevolgd?
‘Publieke organisaties moeten binnen een half jaar reageren op een aanbeveling, private organisaties binnen een jaar. Ik moet constateren dat bij Diginotar een hele hoop dingen gebeurd zijn, ik denk dat we daar tevreden over mogen zijn. Wij kunnen volgens de wet ook onderzoek doen naar de opvolging van onze aanbevelingen. Dat kun je doen als je het idee hebt: ‘Er is wel van alles beloofd maar zal er iets van gerealiseerd zijn?’ Dat gevoel heb ik inzake Diginotar zeker niet. In ons rapport zeggen we ook: zorg dat het onderwerp digitale veiligheid op de bestuurstafel komt. Dat is geen aanbeveling die je kunt afvinken, dat is eerder een proces waarvoor wij een deel bijdragen aan de bewustwording. Daar zal nog veel aan moeten worden bijgedragen, aan bewustwording.’ Joustra stelt dat de afhankelijkheid van de samenleving van digitale systemen ons kwetsbaar maakt en vraagt om meer prominente aandacht van het openbaar bestuur.
Digitale veiligheid
Joustra zegt dit najaar op bezoek te gaan bij Dick Schoof, Nationaal Coördinator Terrorismebestrijding en Veiligheid. Joustra was zelf van 27 april 2004 tot 1 januari 2009 ’s lands eerste Nationaal Coördinator Terrorismebestrijding (NCTb). ‘Dit overleg is bedoeld om meer inzicht te krijgen in de zaken die spelen. Als daar een aanleiding voor is, kunnen wij met meer of minder prioriteit iets beginnen. De bewustwording rond digitale veiligheid is vrij hardhandig gebeurd, destijds in 2000 met de millennium bug. Computers zouden ermee uitscheiden, vliegtuigen zouden uit de lucht vallen en wat al niet meer. Dat was toen voor velen – en ik reken mijzelf daar ook toe – een stevige wake up call. Nu hebben we te maken met DDoS aanvallen.’
Project X in Haren, was dat geen onderzoek voor u geweest?
‘We hebben er over gedacht om dat te doen. Wat ons daar met name interesseerde was de werking en de invloed van de sociale media. Dat sloot ook aan bij wat we in Moerdijk bij Chemiepack hadden gedaan. Anderzijds was er ook de behoefte om te kijken wie nou precies waarvoor aan de lat stond, en wij zijn er niet om dat te onderzoeken, om schuldigen op te sporen, dat doen anderen maar.’
Joustra constateert dat een integrale veiligheidsaanpak de aandacht blijft vragen en geeft aan dat de Onderzoeksraad in gesprek is met partijen als TNO, het Nederlands Forensisch Instituut en het RIVM voor het uitwisselen van kennis en capaciteit. Ook zegt hij dat de Onderzoeksraad van plan is om elke twee jaar een doorkijkje te geven in de resultaten van de verschillende onderzoeken en hoe veiligheid zich ontwikkelt.
Dit artikel is ook te lezen in GOV magazine nummer 5.
Goed artikel, jammer van de titel. Iedereen met een beetje gevoel voor taal begrijp toch wel dat “trekken naar de toekomst” technisch en taalkundig niet mogelijk is. Vorm en inhoud zijn 2 gescheiden zaken, maar in Sales lijkt die scheiding te vervagen.
Digitale veiligheid in Nederland stelt weinig meer voor als de AIVD ongevraagd alles mag aftappen, opslaan, filteren en delen met andere veiligheidsdiensten die het doorverkopen aan de hoogste bieders.
Onderzoek is goed en kan helpen om problemen in de toekomst te voorkomen. Maar als het gebruikt wordt om fouten gemaakt in het verleden weg te moffelen of te bedekken met de mantel der liefde is het juist contra productief. En ik ben bang dat het laatste het meest vaak voorkomt want er zijn behoorlijk wat misstanden in overheidsland waar de burgers geen weet van hebben maar dit eigenlijk wel zouden moeten weten.
Beste heer Beelen,
Signalerend stukje maar eigenlijk niet zoveel meer dan dat. U gooit hier feitelijk twee werelden over elkaar heen. En dat is bijzonder jammer.
Ik haal speciaal voor u deze twee werelden even uit elkaar.
Causale verbanden Non IT incidenten
De referentiekaders voor Non IT incidenten zijn vele malen breder dan die van IT. De reden hiervoor zijn talloze afhankelijkheden in de bedachte en geimplementeerde processen die kunnen leiden tot….
Ook de directe oorzaken en uitwerking van deze wereld kan grimmig en breed zijn en de onmiddelijke materiele zaken, sociale impact, groot en aanzienlijk. In deze wereld houd men zich vooral bezig met oorzaak en gevolg, zonder daadwerkelijk lessen te leren voor de toekomst. Zou men dit daadwerkelijk doen dan hanteerd men een andere manier van acteren.
Causale verbanden incidenten IT
In IT is elk incident vooraf inzichtelijk te maken en ook meteen aanwijsbaar welk stappen, of het ontbreken van te nemen stappen, hebben geleid tot een incident.
Diginotar
Als eenvoudig voorbeeld het door u aangehaalde geval Diginotar. U heeft daar te maken gehad met een commercieel exploiterende partij die de processen en de controlfuncties van de IT processen allerminst op orde had. Aansluitend een overheidsapparaat waar klaarblijkelijk geen enkele afdeling, ambtenaar of, toenmalige minister Donner, ook maar in staat is gebleken de meest basale stappen van IT in proces te kennen dan wel te onderhouden.
Had men dat wel gedaan dan zou een zaak als Diginotar nooit hebben plaats genomen. Saillant detail hier is dat overheid helemaal niets heeft geleerd van diginotar. Men roept en pretendeerd veel maar de meest basale materie kennis blijkt nog steeds te ontbreken.
Had ik u in deze al gemeld dat er nog steeds sprake is van commercie en de impact van die commercie en (oud)politici die op tal van plaatsen plaats nemen?
IT als materie kent niet zo heel veel afhankelijkheden op IT processen. In andere woorden, ze zijn vooraf aanwijzbaar en daarmee de gevolgen volkomen voorspelbaar.
Sex and Fear sales
Dat is een eenvoudige wetmatigheid. Wanneer je IT blootstelt aan al te grote commercie krijg je versnippering en dat is iets wat ook bij de overheid plaats neemt. Still as we speak, met alle reeds bekende consequenties van dien. Een hoop belastinggeld door het putje, niets concreets daar tegenover.
Last but not least
Wanneer artikelen als deze nopen tot het vinden van een eenduidige oplossing, kan ik u nu al vertellen dat dat het laatste is wat zal worden bereikt. De allereerste reden is dat menig keyplayer bij de overheid helemaal niets weet van de wetmatigheden en de materie IT. Klaarblijkelijk zijn die niet interessant genoeg. Daar telt u dan even bij op commerciele partijen die dat vaak ook niet altijd even goed op het netvlies hebben maar door scoringsdrift gedreven, en we zien de debacles.
Digitale veiligheid
Gezien de stand van zaken is er niet zoiets als een digitale veiligheid. Zolang er een Nederlandse overheid is die zonder ruggespraak van betrokkenen persoonlijke data ter beschikking stelt aan…. Dan is het die overheid die telkenmale onbetrouwbaarheid ten toon spreid.
In aanvulling daarvan het gegeven dat persoonlijke data steeds verder gecentraliseerd aan allerlei partijen reeds ter beschikking is gesteld, maakt het op zich al dat een overheid pur sang een volkomen onbetrouwbare partner in de digitale wereld is.
Wat hebben uw genoemde incidenten met elkaar gemeen? Dat deze op eenvoudige wijze voorkomen hadden kunnen worden als men maar simpelweg een eenduidig proces blijft volgen zonder telkens weer onderweg compromissen in de betreffende processen in te bouwen.
Just my penny….