Kennisdocument Security Intelligence. Aerdenhoutsduinweg AN Aerdenhout Tel: +31 (0) Mail:

Transcriptie

1 0 Kennisdocument Security Intelligence Aerdenhoutsduinweg AN Aerdenhout Tel: +31 (0) Mail: info@sosecure.nl

2 1 Inleiding Dit kennisdocument wordt u aangeboden door SoSecure en het Kenniscentrum Security intelligence. In dit document zullen een aantal gangbare methodieken in de Proactieve Beveiliging uiteen worden gezet. Predictive Profiling, Red Teaming en Security Intelligence zullen ieder in een eigen hoofdstuk worden besproken. Het doel van dit kennisdocument is om u, de lezer, te voorzien van een bird s- eye- view van de verschillende methodieken die een organisatie kunnen ondersteunen om de beveiliging echt proactief te maken. SoSecure is een beveiligingsbedrijf dat zich beweegt op het gebied van Proactieve Beveiliging. Binnen Nederland en over de grens is SoSecure expert op het gebied van Predictive Profiling, Red Teaming, Security Intelligence, Insider Threat, Proactieve Beveiliging, ondervragings- en gesprekstechnieken en open- source intelligence. SoSecure biedt opleidingen, workshops en consultancy op maat op al deze onderwerpen. Het Kenniscentrum Security Intelligence stelt zich als doel het voor de praktijk toegankelijk maken van wetenschap op het gebied van Security en Intelligence. Het kenniscentrum doet dit onder andere door het stimuleren van praktijk- gestuurde wetenschap en het uitgeven van documenten als deze om de wetenschap dichter bij de praktijk te brengen.

3 2 Predictive Profiling Predictive Profiling, één van de meest tot de verbeelding sprekende Proactieve beveiligingsmethodieken, werd in Israël ontwikkeld om dreigingen in een vroeg stadium te herkennen en hier actie tegen te ondernemen. Predictive Profiling is een Proactieve beveiligingsmethodiek gebaseerd op het maken van dreigingsanalyses op basis van personen, goederen of situaties die afwijken van de aanwezige norm en samenhangen met een AMO. Een AMO is een aanvallers methode van operatie; een gedraging die deel uitmaakt van een serie handelingen waarvan bekend is dat dit een succesvolle manier is om de eigen organisatie aan te vallen. Predictive Profiling houdt in dat er een evaluatie wordt gemaakt van de aanwezige dreiging ten opzichte van een persoon, goed of situatie op basis van verdachte indicatoren. Centraal staat de intentie van de tegenstander. Door middel van Security Questioning tracht de Profiler de vastgestelde dreiging te ontkrachten, aan de hand van de uitkomst hiervan zal actie ondernomen worden. De laatste jaren wordt Predictive Profiling steeds meer op een manier toegepast die passend is binnen de Nederlandse normen en waarden en het verwachtingspatroon van de burger; deze aanpassing van de techniek op de lokale context is een recept voor succes. Wat echter nog te weinig wordt toegepast in Nederland is structurele samenwerking op het gebied van bekende AMO s, of het toepassen van kwalitatieve analyses om nieuwe AMO s te onderkennen. SoSecure ontwikkelt Predictive Profiling door het een structurele plaats in de organisatie te geven, en op basis van informatiesturing te laten fungeren. Door Predictive Profiling te ondersteunen met Red Teaming en Security Intelligence zorgt SoSecure voor een kwaliteitsimpuls in de beveiliging van uw organisatie. Definitie Predictive Profiling is een proactieve beveiligingsmethodiek die in Israël is ontstaan met als doel het al in een vroege fase onderkennen van een dreiging en hier op te reageren. Feitelijk is Predictive Profiling het op de werkvloer uitvoeren van een evaluatie van de aanwezige dreiging ten opzichte van een persoon, voorwerp of situatie op basis van verdachte indicatoren die in relatie staan tot een bekende Aanvallers Methode van Operatie (AMO). Een AMO is een omschrijving van een manier waarop een tegenstander kan opereren waarvan in de praktijk is bewezen dat dit een uitvoerbare dreiging vormt voor de eigen organisatie. AMO s kunnen worden verzameld door het analyseren van oude incidenten in databases, maar ook bijvoorbeeld door trendanalyses. Met een actueel beeld van relevante AMO s, welke goed zijn verwerkt in procedures, kunnen beveiligers effectiever te werk gaan en adequater ingrijpen in ongewenste situaties. Red Teaming Analyse is een andere Proactieve Beveiligingsmethodiek die kan leiden tot nieuwe inzichten met betrekking tot relevante AMO s, het effectief inzetten van databases en (trend- )analyses is goed te structureren in een Security Intelligence traject. Deze beide onderwerpen worden in de hierop volgende hoofstukken uitvoerig voor u uiteen worden gezet.

4 3 Predictive Profiling kent drie unieke aspecten die de methodiek onderscheiden van andere (reactieve) beveiligingsmethodieken. Ten eerste kunnen incidenten al in een vroeg stadium (bijvoorbeeld al bij de voorbereiding) worden onderkend en voorkomen, dus Predictive Profiling is een proactieve werkwijze. Ten tweede worden situaties geanalyseerd vanuit het perspectief van de tegenstander, zijn motivaties en zijn mogelijkheden. Predictive Profiling baseert zich op AMO s waarvan is bewezen wordt geacht dat ze relevant zijn voor de organisatie. Ten derde worden dreigingen niet alleen geëvalueerd op basis van aan- of afwezigheid van bepaalde (technische) middelen, maar op basis van de aan- of afwezigheid van bepaalde intenties en motivaties van de tegenstander. Wat is Predictive Profiling niet? Predictive Profiling is een veel tot de verbeelding sprekende methodiek, en wordt breeduit geromantiseerd in Hollywood- films en Amerikaanse misdaadseries. Mede met dank hieraan bestaan er veel misvattingen over Predictive Profiling die hieronder worden behandeld. Predictive Profiling heeft niets te maken met Criminal Profiling. Criminal Profiling is een techniek waarbij een forensisch psycholoog een profiel schetst van een misdadiger aan de hand van verzamelde informatie van bijvoorbeeld een plaats delict. Deze methodiek is per definitie bedoeld om opsporingsambtenaren te ondersteunen, niet om beveiliging te verbeteren. Predictive Profiling heeft ook niets te maken met Racial Profiling, en is in oorsprong zelfs een reactie tegen deze minder effectieve, moreel verwerpelijke, beveiligingsmethodiek. Bij Racial Profiling laat men evaluaties van aanwezige dreigingen uitvoeren op basis van uiterlijke kenmerken van mogelijke daders. Deze manier van beveiligen is niet alleen discriminerend en verwerpelijk, maar ook nog eens voorspelbaar en daarom minder effectief. Criminelen en terroristische organisaties kunnen inspelen op deze techniek door juist mensen in te zetten die niet in het uiterlijke profiel passen van de dreiging. Bekend zijn voorbeelden van drugssmokkel, maar ook terroristische aanslagen, waarbij zogenaamde mules worden ingezet, die andere uiterlijke kenmerken bezitten dan zou worden opgepikt door een Racial Profiler. Vaak zijn de mules niet eens op de hoogte van de misdaad die ze begaan. Voordat Predictive Profiling werd ontwikkeld in Israël, was Racial Profiling aldaar een gangbare beveiligingsmethodiek. Een terreuraanslag (Zie kader volgende pagina) die inspeelde op het gebruik van Racial Profiling was de aanleiding voor het ontwikkelen van Predictive Profiling als beveiligingsmethodiek.

5 4 Wat doet de techniek wél? Predictive Profiling is een proactieve beveiligingsmethodiek die wordt ingezet om dreigingen in een zo vroeg mogelijk stadium te herkennen, en hier actie tegen te ondernemen. Dreigingen worden herkend niet aan de hand van gemeenschappelijke uiterlijkheden van kwaadwillenden (zoals in Racial Profiling) maar aan de hand van gemeenschappelijke gedragingen en intenties van kwaadwillenden. Uitgangspunt hierbij is dat criminelen en terroristen hun werk altijd voorbereiden, en zij doorlopen hiervoor altijd bepaalde stappen; de zogenaamde Criminele- en Terroristische Planningscyclus. Belangrijk om aan te halen is het onderzoek van de naar aanslagplegers in Amerika. Het zogeheten Exceptional Case Study Project concludeerde dat verschillende daders net zoveel van elkaar verschillen als ieder willekeurig ander persoon. Er waren geen persoonlijke kenmerken die daders met elkaar gemeen hebben waaraan ze voortijdig herkend kunnen worden. Wél bleek dat alle daders, zelfs die met psychische problematieken, bewuste en logische beslissingen namen in de voorbereiding van de aanslag. De overeenkomsten tussen de daders bleek in de voorbereidende handelingen te zitten. De Secret Service onderkende een aantal voorbereidingsstappen, die aangevuld kunnen worden tot de Planningscyclus zoals hieronder weergegeven. Dit zijn de stappen die daders vrijwel altijd doorlopen in de voorbereiding van een criminele of terroristische daad. Casus: Aanslag op Luchthaven LOD 30 mei 1972 Op 30 mei 1972 werd er op de internationale luchthaven LOD (tegenwoordig Ben- Goerion) in Tel Aviv Israël voor het eerst een brutale en dodelijke terreuraanslag gepleegd. Drie onopvallend ogende Japanners afkomstig uit Rome liepen rustig naar de bagageband. Nadat zij hun vioolkisten van de band hadden gehaald openden de mannen met de hierin verhulde machinegeweren en handgranaten het vuur op de in de aankomsthal aanwezige mensen. Eén van de drie mannen rende naar buiten en beschoot ook passagiers die van de trappen van een vliegtuig van El Al afdaalden, waarna hij zichzelf door het hoofd schoot. De brutale en simpele aanslag kon plaatsvinden om dat de beveiliging van het vliegveld Racial Profiling toepaste. De grootste dreiging voor Israël en het vliegveld op dat moment was de Hezbollah, een Palestijnse terreur organisatie bestaande uit Arabisch ogende mensen. Zodoende concentreerde de beveiliging zich op mensen met een Arabisch uiterlijk, de Hezbollah was hier echter van op de hoogte en sloot een samenwerkingsverband met het Japanse Rode Leger. Hierdoor stond de gehele beveiliging van de luchthaven LOD in één klap buitenspel. De tunnelvisie die Racial Profiling de beveiligers gaf zorgde ervoor dat de personen die daadwerkelijk een dreiging vormden niet werden gezien. Israël besloot dat dit nooit meer mocht gebeuren en ontwikkelde een betere beveiligingsmethodiek; Predictive Profiling. Sinds Predictive Profiling wordt toegepast zijn er geen succesvolle terroristische aanslagen op Israëlische luchthavens gepleegd.

6 5 Tijdens het doorlopen van deze stappen is de kwaadwillende op bepaalde momenten zichtbaar voor de beveiliging, en daarom kwetsbaar. Deze mogelijke contactmomenten zijn hiernaast in het rood aangegeven. Tijdens de surveillance bijvoorbeeld is een kwaadwillende zelf aanwezig bij het doel om de beveiligingsmaatregelen in kaart te brengen en de routines te observeren. Door deze acties uit te voeren zal een kwaadwillende afwijkend gedrag vertonen ten opzichte van de norm in een bepaalde situatie. Voor Predictive Profilers zijn de in het rood gemarkeerde momenten de tijdstippen waarop acties van de tegenstander kunnen worden herkend, en hierop gereageerd kan worden. Reageren kan bijvoorbeeld door het toepassen van Security Questioning, een zeer klantvriendelijke manier om de waargenomen dreiging te trachten te ontkrachten. Door het vriendelijk stellen van open vragen, vanuit een niet autoritaire positie, kan de intentie achter de verdachte indicator achterhaald worden. Hier ligt het grote voordeel van Predictive Profilers ten opzichte van technische beveiligingsmiddelen zoals camera s en detectiepoortjes; een Predictive Profiler kan de intentie achterhalen en richt zich niet alleen op de middelen van de tegenstander. Verschillende organisaties en bedrijven hebben te maken met verschillende dreigingen en risicoposities. Een museum wil bijvoorbeeld vooral een kunstroof en vernieling tegen gaan. Predictive Profilers zullen in die situatie zich ook specifiek richten op AMO s met specifieke betrekking tot deze dreigingen. Overdreven aandacht voor beveiligingsmaatregelen, de achterkant van een kunstwerk proberen te bekijken en andere afwijkende gedragingen die zich verhouden tot deze AMO s zullen dan ook de aandacht van de Predictive Profilers op eisen. Op zo n moment gaat de Predictive Profiler Criminele- en Terroristische Planningscyclus: 1. Markeren van het doel 2. Informatie verzamelen 3. Surveillance 4. Plannen 5. Materiaal/benodigdheden verzamelen 6. Dry- Run / oefenen 7. Uitvoering 8. Ontsnapping over op een Security Questioning, en benadert de persoon die de verdachte indicatoren vertoont op een klantvriendelijke manier. De klantvriendelijkheid is onder andere van belang omdat iemand die zich afwijkend gedraagt géén verdachte is, in juridische zin. Wanneer iemand echter zeer defensief reageert wanneer ze onverwachts worden benaderd, of met een vreemd verhaal de aanwezigheid verklaren, is de dreiging voor een Predictive Profiler niet ontkracht en kan er besloten worden om aanvullende maatregelen in te zetten. Wanneer echter bij de Security Questioning blijkt dat er een geheel aannemelijke en verifieerbare verklaring is voor het vertonen van een verdachte indicator wordt de dreiging als ontkracht geacht. Daarbij is de Security Questioning klantvriendelijk verlopen, en gaat de persoon in kwestie met een prettig gevoel naar huis. Niet alleen is Predictive Profiling proactief en klantvriendelijk; beveiligingsmedewerkers die deze methodiek uitoefenen hebben vergrootte verantwoordelijkheden en beslissingsbevoegdheid. Zij moeten immers zelf actief op zoek naar potentiële dreigingen, en beslissen zelf welke situaties daaraan voldoen. Vervolgens mogen zij zelf de regie nemen in de eerste stappen van het

7 6 ontkrachten van de dreiging. Dit heeft als effect dat Predictive Profilers zeer gemotiveerd op de werkvloer staan. Wanneer een potentiele dreiging ondervonden of ontkracht is krijgt de Predictive Profiler het gevoel dat er iets gepresteerd is, en dat is ook zo. Bij het herkennen van afwijkend gedrag is informatie nodig over wat normaal gedrag is, anders is het onbegonnen werk Wat kan de techniek voor u doen en op welk niveau? Predictive Profiling is een beveiligingsmethodiek die op operationeel niveau wordt uitgevoerd door een team Profilers. Medewerkers worden getraind in het herkennen van verdachte indicatoren, die worden gekoppeld aan een relevante AMO. Door het effectief inzetten van Security Questioning kan de dreiging die een verdachte indicator met zich meebrengt worden onderkend of ontkracht, dit gebeurt op een klantvriendelijke manier. Op beleidsniveau moeten AMO s en verdachte indicatoren met betrekking tot risicoposities worden vastgesteld in een beleidsdocument aan de hand waarvan Predictive Profilers te werk gaan; de Standaard Operationele Procedure (SOP). In dit document staan de doelstellingen, risicoposities, AMO s en verdachte indicatoren omschreven, evenals een raamwerk waarbinnen Predictive Profilers beslissingen mogen nemen met betrekking tot het opschalen van het dreigingsniveau. Om Predictive Profilers alert te houden, en de AMO s in de SOP actueel, is het van belang dat Red Teaming wordt toegepast in de organisatie, een andere beveiligingsmethodiek die een actueel beeld van AMO s en dreigingen oplevert is Security Intelligence.

8 7 Red Teaming Red Teaming, de methodiek die ontwikkeld is door het Amerikaanse ministerie van Defensie tijdens de Koude Oorlog, is een uitstekende methode om naar bestaande structuren, methodes en systemen te kijken, en deze te toetsen vanuit een ander perspectief: Het perspectief van de tegenstander. Er bestaat tegenwoordig echter veel verwarring wanneer men het over Red Teaming heeft. Bedoelt men de sterk tot de verbeelding sprekende operationele methodiek waarin men een organisatie probeert te ondermijnen, of bedoelt men de strategisch/tactische analysetechniek die gedachtepatronen doorbreekt? De waarheid ligt vaak in het midden. Beide vormen van Red Teaming zijn nuttige methoden die, samen of apart, de organisatie voorzien in een meer zelfkritische, proactieve en dreigingsbewuste manier van werken. Operationele Red Teaming oefeningen (zoals bekend uit bijvoorbeeld Predictive Profiling trajecten of penetratie testen) zijn, mede dankzij SoSecure, geen unicum meer in Nederland. De proactieve beveiligingsmethodiek is een steeds meer geaccepteerde manier van werken. Om te blijven innoveren ontwikkelt SoSecure nu, naast Security Intelligence, ook kwalitatieve strategisch/tactische Red Teaming Analyses, om managers te bewegen in een meer proactieve en kritische richting. In dit hoofdstukken zetten SoSecure en het Kenniscentrum Security Intelligence de twee vormen van Red Teaming voor u uiteen. Definitie De term Red Team of Red Teaming heeft verschillende definities. Eén van de meest geaccepteerde definities is die van het Red Team Journal, dat Red Teaming de praktijk is van het bekijken van een probleem vanuit het perspectief van een tegenstander of een concurrent. Een bredere definitie komt van het Amerikaanse Ministerie van Defensie, dat stelt dat Red Teaming een strategie is om de plannen, programma s en assumpties op ieder niveau strategisch, operationeel en tactisch van een organisatie uit te dagen. Dit houdt niet alleen het spelen van de tegenstander of concurrent in, maar dient ook als Devil s Advocacy (het bieden van alternatieve interpretaties). Red Teaming is een analysetechniek die geschikt is voor zowel het management van commerciële organisaties als de overheid. Het doel van een Red Teaming is om risico s te reduceren en de mogelijkheden te vergroten voor een organisatie om de juiste maatregelen te nemen op het strategische, operationele en tactische niveau. Red Teaming is in haar verschillende vormen inzetbaar op meerdere niveaus met uiteenlopende doeleinden. Een Red Teaming analyse wordt vaak gestart om de conventionele wijsheid, structuur en uitvoering uit te dagen zodat alle redelijke alternatieven zorgvuldig zijn overwogen. In deze zin is het een moderne versie van Devil s Advocacy. Een Red Teaming Oefening is een toetsing van de functionaliteit en paraatheid van de beveiligingsorganisatie en - procedures.

9 8 Geschiedenis Red Teaming is een van oorsprong militaire praktijk uit de Koude Oorlog waarin Amerikaanse officieren vanuit het rode Sovjet perspectief naar situaties keken, en wargames uitvoerden. Moskou deed overigens hetzelfde, en noemde de tegenstander het blauwe team. Officieren van het Amerikaanse leger opereerden vanuit een rode visie om Amerikaanse plannen of systemen te verslaan, en gaten te vinden in de beveiliging. Zo zette de Amerikaanse Marine Red Teaming in om de eigen onderzeeërs in een training op te sporen met behulp van bekende sovjettechnologieën. Meer recentelijk gebruikte de CIA een Red Teaming om zowel de intelligence als de plannen voor de aanval op Osama bin Laden in Pakistan te toetsen. Tegenwoordig worden Red Teams ook ingezet binnen het kader van de proactieve beveiligingscyclus om belangrijke assumpties dubbel te controleren en om door middel van Red Teaming Oefeningen de training en paraatheid van de eigen beveiliging te controleren en verscherpen.

10 9 De Proactieve Beveiligingscyclus Een aanvallers methode van operatie (AMO) is een in de praktijk getoetste manier waarop de eigen organisatie realistisch schade toegedaan kan worden door een kwaadwillende. Verdachte Indicatoren worden vastgesteld waaraan het mogelijk is voor de organisatie om proactief inzicht te krijgen in wanneer het mogelijk is dat een AMO tot realisatie kan komen. Vervolgens worden er procedures ontwikkeld voor de reactie op deze situaties, deze worden ook geïmplementeerd en getraind. Ten slotte is het mogelijk om de medewerkers te toetsen in hun training, en alert te houden door nogmaals te Red Teamen, wat weer nieuwe AMO s als product zal hebben. 1. Red Teaming 6. Training Medewerkers 2. Bepalen AMO 5. Implementatie SOP 3. Vaststellen verdachte indicator 4. Ontwikkelen SOP Proactieve beveiliging en Red Teaming zijn dus onderdeel van een cyclisch proces. De standaard operationele procedure is een dynamisch document dat met voortschrijdend inzicht vanuit Red Teaming aangepast kan worden naar gelang dat nodig blijkt. Beveiligers en managers worden actief betrokken bij het definiëren van dreiging. Door steeds weer de eigen beveiliging te toetsen is een manager constant op jacht naar de restdreiging. Red Teaming biedt ook inzicht in de dreiging waarvan niet bekend was dat die bestond. Het proactieve beveiligingsproces in de uitvoering: De Proactieve Beveiligingscyclus 1. Er wordt besloten een Red Teaming uit te voeren 2. Aan de hand van de Red Teaming worden effectieve Aanvallers Methoden van Operatie bepaald 3. Aan de hand van vastgestelde AMO s worden Verdachte Indicatoren vastgesteld 4. De VI s worden in een Standaard Operationele Procedure verwerkt 5. De Standaard Operationele Procedure wordt geïmplementeerd 6. De medewerkers worden getraind a.d.h.v. de SOP 1. Er wordt besloten een Red Teaming uit te voeren

11 10 SoSecure onderscheidt twee vormen van Red Teaming; - Operationele Red Teaming Oefeningen - Strategisch/Tactische Red Teaming Analyse Deze twee vormen zullen hieronder uitvoerig uiteen worden gezet. Red Teaming Oefeningen De operationele vorm van Red Teaming; de Red Teaming Oefening, is bij de meeste mensen het beste bekend als bijvoorbeeld een zogenaamde mystery guest visit. Een onafhankelijke partij van buiten de organisatie onderneemt onaangekondigd bepaalde acties binnen uw organisatie en beoordeelt de organisatie en haar medewerkers vervolgens op een aantal van tevoren afgesproken punten. Zo n simpele aanpak kan voordelen hebben, maar is helaas niet toereikend als het gaat om het vanuit een methodiek verbeteren en aanscherpen van de operationele beveiliging. Bijvoorbeeld in combinatie met Predictive Profiling creëren Red Teaming Oefeningen een continu meetbaar ontwikkelingsproces, waarbij de beveiligingsmedewerkers op operationeel niveau niet alleen hun security vaardigheden aanscherpen maar ook hun servicegerichtheid en klantenbenadering verbeteren. Een Red Teaming Oefening houdt in dat een externe expert, met het oog op de primaire beveiligingsdoelstellingen van een organisatie, de organisatie op één of andere manier probeert te ondermijnen. Het effect hiervan is dat direct de veiligheidsmaatregelen op de proef worden genomen, wat teruggekoppeld wordt in een rapportage. De oefening wordt altijd uitgevoerd in een voor de specifieke organisatie relevant scenario, met als doel het bijbrengen van ervaring voor de organisatie. Een Red Team wil de organisatie altijd wat leren, het doel is niet winnen van de organisatie. De terugkoppeling in de debriefing en rapportage is daarom van groot belang, dat is een leermoment voor de hele organisatie. Mits goed georganiseerd zijn de positieve effecten van Red Teaming Oefeningen direct merkbaar. Medewerkers ervaren Red Teaming als een serieus spel waarbij zij hun vaardigheden kunnen testen op tegenstanders die zij in de praktijk zelden tegenkomen. Dergelijke ervaring is van cruciaal belang om in echte situaties snel en adequaat te kunnen handelen. Het zelf deel uitmaken van een Red Team, in tegenstelling tot het Blue Team, is overigens voor velen ook een positieve ervaring die als gevolg weer invloed heeft op de interne motivatie en inzicht geeft in waar men precies tegen beveiligt. Een Red Teaming oefening is absoluut niet een manier om op sluikse wijze de eigen medewerkers te beoordelen en af te rekenen op hun gedrag. Binnen het cyclische Red Teaming proces zorgt het op den duur voor een verbeterde functionaliteit en paraatheid van de eigen organisatie en medewerkers.

12 11 Red Teaming Analyse Op strategisch niveau is de Red Teaming methodiek inzetbaar in de vorm van de Red Teaming Analyse (RTA). Een RTA kan voor een organisatie zwakke punten in de eigen aannames in kaart brengen, door vanuit het perspectief van de tegenstander (of in het geval van een proces zonder tegenstander; de ondermijner) te werk te gaan verrijkt men het planningsproces. Het product van een Red Teaming analyse is een selectie van realistische scenario s. Een Red Teaming Analyse is in wezen een experiment naar het onbekende. Een kritische analyse die het besluitvormingsproces verbetert door zo veel mogelijk van de dreigingen en risico s voor het besluit in kaart te brengen. Door Red Teaming Analyse in te zetten, in combinatie met een Security Intelligence traject, wordt de organisatie ondersteund met actuele dreigingsanalyses, zodat budgetten zo efficiënt mogelijk verdeeld kunnen worden en, belangrijker nog, dreigingen zo vroeg mogelijk onderkend en gemitigeerd kunnen worden. Door de restdreiging te onderzoeken kan effectief aan capaciteiten opbouw worden gedaan. Niet zelden worden er beleidsbeslissingen genomen waarvan achteraf blijkt dat men op voorhand had kunnen weten dat het de verkeerde beslissing was. Achteraf blijkt vaak dat dergelijke beslissingen ongemerkt met oogkleppen op genomen worden, men geeft de schuld aan psychologische valkuilen als groepsdenken en attributiefouten. Door een kleine groep van externe, kritische experts een Red Teaming Analyse te laten uitvoeren kunnen dergelijke nadelige fenomenen doorbroken worden, en krijgt een organisatie een veel evenwichtiger beeld van de situatie zoals deze werkelijk is. Een Red Teaming Analyse is toepasbaar op vrijwel alle processen binnen een organisatie. In combinatie met bijvoorbeeld Predictive Profiling, kan een Red Teaming Analyse voorheen niet bekende AMO s blootleggen. Een RTA op bekende dreigingen voor een organisatie legt onbekende dreigingen bloot, of ontkracht bekende dreigingen. Een RTA op een logistieke keten legt hierin de zwakke plekken bloot. Met de kennis die wordt opgedaan in zo n analyse kan de juiste beslissing worden genomen om het proces te verbeteren.

13 12 Wat doet Red Teaming voor u? Concluderend kan gesteld worden dat beide vormen van Red Teaming, hoewel ze uiteenlopende methoden en doelen omvatten, zich richten op dreiging en een proactieve omgang met (beveiligings- ) problematieken. In de operationele vorm toetst Red Teaming de paraatheid en dreigingsbewustheid van de medewerkers en de organisatie. In de tactisch/strategische vorm toetst Red Teaming de mate waarin een organisatie rekening houdt met alle informatie en dreigingen. In beide gevallen vereist Red Teaming op organisatie- en beleidsniveau een unieke aanpak. De teamleden kunnen van zowel binnen als buiten de organisatie komen, hoewel het inhuren van een Red Team van buiten de organisatie bepaalde grote voordelen heeft ten opzichte van een eigen Red Team: Een Red Team moet van de organisatie de vrijheid krijgen om zonder beperkingen van hoger af vraagtekens te kunnen stellen bij iedere aanname van een organisatie. Een Red Team moet zonder angst voor het management rapport kunnen doen van de bevindingen van een RTA of RTO. Omdat de conclusie van een Red Teaming meestal inhoudt dat er bepaalde zwakten of fouten in een organisatie aan het licht komen zouden eigen Red Teamers het risico lopen om zichzelf minder populair te maken op de werkvloer. Het is voor externe Red Teamers makkelijker om frisse perspectieven te bieden op vaste gedachtepatronen binnen een organisatie.

14 13 Red Teaming Groep Nederland SoSecure leidt de Red Teaming Groep Nederland, een platform waarbinnen Red Teaming Oefeningen voor en door medewerkers uit verschillende sectoren worden uitgevoerd. Een organisatie kan lid worden van de RTGNL om op peer- to- peer basis Red Teaming Oefeningen uit te voeren en te ontvangen, om op die manier de medewerkers nóg meer bewust van dreigingen te maken. Het uitvoeren van een Red Teaming Oefening, het daadwerkelijk in de schoenen van de tegenstander stappen, is voor medewerkers een zeer leerzame ervaring.

15 14 Security Intelligence Security Intelligence, de methodiek die is ontwikkeld door de Amerikaanse Secret Service voor het proactief beschermen van High Value Targets door het bijhouden van een actueel dreigingsbeeld, komt naar Nederland. Het is voor security managers die slechts gebruik maken van klassieke, reactieve beveiligingsmethodieken wegens gebrekkige informatie en kennis vrijwel onmogelijk om hun verantwoordelijkheid, het voorkomen van incidenten, na te komen. Security Intelligence is bij uitstek de methodiek die hen in staat stelt om op basis van informatiesturing proactieve besluitvaardigheid te creëren. Security Intelligence is het proces van het verzamelen, verwerken en analyseren van informatie over personen of groepen die de interesse, motivatie, intentie en mogelijkheid hebben om een persoon of organisatie aan te vallen, en proactieve beslissingen nemen met betrekking tot de onderkende (dreigings- )scenario s. Geschiedenis Security Intelligence is ontwikkeld door de Amerikaanse Secret Service, aanvankelijk als methode voor proactieve persoonsbeveiliging. De Secret Service realiseerde zich dat als er louter op reactieve methoden gerekend kon worden, dat veel aanslagen op V.I.P. s moeilijk voorkomen konden worden. De wens was er om zo vroeg mogelijk een potentiele aanvaller te identificeren. In de laatste 50 jaar voor de eeuwwisseling waren er in Amerika 83 mensen die een prominente publieke figuur The purpose of U.S. Secret Service threat assessment and protective intelligence activities is to identify, assess and manage persons who might pose a threat to those we protect, while the goal of these activities is to prevent assassination attempts. die onder de bescherming van de Secret Service viel hebben aangevallen. Als men alleen al naar aanvallen op de President van de Verenigde Staten kijkt ziet men al vier aanvallen met dodelijke afloop (Lincoln, Garfield, McKinley, Kennedy) en een heuse waslijst aan succesvolle maar ook vele veredelde aanvallen zonder dodelijke afloop voor vrijwel iedere president, van Andrew Jackson tot Barack Obama. Ook in Nederland zijn we niet onervaren als het aankomt op moordaanslagen op belangrijke publieke figuren. Na de moord op Pim Fortuyn in mei 2002 werd door de commissie Van den Haak Security Intelligence aangewezen als een weg vooruit in het voorkomen van dergelijke aanslagen. - Lewis C. Merletti, former director of U.S. Secret Service and U.S. Department of Treasury

16 15 De Secret Service realiseerde zich al vroeg dat alleen een reactieve aanpak voor High Risk Targets een zinloze bezigheid was, en begon een informatie samenwerking met andere partijen met informatie bevoegdheden om potentiele dreigingen voor figuren die onder hun verantwoordelijkheden vallen in kaart te brengen. Zo vroeg als tijdens het presidentschap van Lincoln werden actief inlichtingen ingewonnen om de veiligheid van de president te waarborgen. Aan het eind van de vorige eeuw analyseerde de Secret Service de 83 bekende aanvallers in hun database in het zogenaamde Exceptional Case Study Project. Doel van de studie was het ondervinden van de psychologie achter de aanvaller, het vinden van de sleutel tot het zo vroeg mogelijk identificeren van de potentieel gevaarlijke persoon. De Secret Service kwam van de koude kermis thuis. Er bestaat niet zoiets als het profiel van de moordenaar, de onderzochte daders waren net zo verschillend van elkaar als iedere andere willekeurige groep normale burgers. Psychologische aandoeningen bleken ook niet aan de kern van de motivatie te liggen. De daders waren vaak verre van het schoolvoorbeeld van een psychologisch evenwichtig persoon, maar ze hadden stuk voor stuk de beslissing om de aanval uit te voeren rationeel overwogen. Casus: Aanslag op Pim Fortuyn; Nederland, persoonsbeveiliging en daadkracht Op 6 mei 2002 worden Nederland en de rest van de wereld opgeschrikt door de brute moordaanslag op politicus Pim Fortuyn in Hilversum. De jacht op de dader duurt niet lang, en Volkert van der G. wordt veroordeeld tot 18 jaar cel. In de nasleep van de moord is veel ophef over de afwezige persoonsbeveiliging bij Fortuyn, hoewel algemeen bekend was dat er daadwerkelijk een dreiging bestond. Fortuyn ontving een veelvoud aan dreigpost en was eerder dat jaar al eens aangevallen door activisten. De BVD en de politie hadden beiden informatie die op een dreiging duidde, maar werkten niet samen en sloegen ook geen alarm. Ministers de Vries en Korthals Altes raken in opspraak vanwege het niet handelen en de commissie van der Haak doet onderzoek naar de gebeurtenissen. Conclusie is dat de Nederlandse overheid op het gebied van persoonsbeveiliging niet daadkrachtig was. Dreigingen werden wel geconstateerd, maar de beslissing om vanuit de regering beveiliging te organiseren (destijds conform richtlijnen van de NCTb met het oog op het geweldsmonopolie van de overheid) bleef uit. Oprichting van een persoonsbeveiligingsonderdeel van de NCTb en het toepassen van Security Intelligence conform het Amerikaanse voorbeeld zijn aanbevelingen van het rapport, commissie van der Haak. Had de aanslag kunnen worden voorkomen door toepassing van Security Intelligence? De dreiging was destijds vastgesteld, en in een Security Intelligence traject was er zeker gestuurd op een actieve beslissing. Het is natuurlijk onzeker of de aanwezigheid van persoonsbeveiliging op de persoon van Fortuyn reden was geweest voor Van der G. om af te zien van de aanslag. Het is ook niet zeker dat bodyguards de aanslag hadden kunnen voorkomen. Het zijn echter wel reële mogelijkheden, die wijzen op de voordelen van Security Intelligence: daadkracht in beslissingen aan de hand van het vaststellen van dreigingen.

17 16 Criminele Planningscyclus Uit hetzelfde Exceptional Case Study Project bleek dat zoveel verschillen die er bestonden op het gebied van persoonskenmerken, zoveel overeenkomsten waren er in de voorbereidende handelingen van de criminelen. Alle aanvallers doorliepen min of meer dezelfde stappen voor de aanval; de Criminele- en/of Terroristische Planningscyclus. Criminele- en/of Terroristische Planningscyclus 1. Markeren van het doel 2. Informatie verzamelen 3. Surveillance 4. Plannen 5. Materiaal verzamelen 6. Dry- Run / oefenen 7. Execution 8. Get- away Het vroegtijdig herkennen van de aanvaller moet dus niet afgesteld worden op persoonskenmerken, zoals leeftijd, geslacht, ras, haarkleur of zelfs geestelijke gezondheid, maar wel op de handelingen en intenties. De handelingen die in de Criminele- en/of Terroristische Planningscyclus rood zijn gemarkeerd zijn voorbereidende handelingen waarin de crimineel of terrorist opgemerkt kan worden voordat het feit gepleegd wordt. Al deze methodieken kunnen los van elkaar of in combinatie worden ingezet om proactief om te gaan met beveiliging. Verschillende situaties eisen verschillende vormen van aanpak, beveiliging is altijd maatwerk.

18 17 Security Intelligence vandaag Tegenwoordig omvat Security Intelligence veel meer dan alleen persoonsbeveiliging. Het wordt ook toegepast in de beveiliging van organisaties, gebouwen, evenementen en logistieke ketens. Dreigingsgerichte security managers willen bruikbare inlichtingen met betrekking tot actuele dreigingen en toekomstscenario s voor het vaststellen van een zo efficiënt mogelijke beveiliging. Security Managers realiseren zich steeds vaker dat de veelal maatregelen die ze tot hun beschikking hebben altijd pas bruikbaar zijn tijdens of na het feit dat ze liever willen voorkomen; de maatregelen zijn te reactief. Er is een grote vraag naar methoden en maatregelen die, vaak in combinatie met bestaande maatregelen, de mogelijkheid creëren om in een vroeg stadium, liefst zo ver mogelijk voor het betreffende feit, een interventie in welke vorm dan ook uit te voeren waarmee een aanslag, diefstal of wat dan ook voorkomen kan worden; een proactieve management methodiek. Het gebruiken van inlichtingen is niets nieuws, toch is het in Nederland voor particulieren vrij ongebruikelijk om gebruik te maken van aanwezige bereikbare bronnen (Open Source Intelligence, ook wel OSINT) om informatie in te winnen over potentiele aanvallers van een organisatie. Privacy Een belangrijke overweging die genomen moet worden als het gaat om het inwinnen van inlichtingen met betrekking tot mogelijke tegenstanders is privacy. Het is uiterst onwenselijk om als organisatie teveel toe te treden tot de persoonlijke levenssfeer van anderen. De Nationale Richtlijn Security Intelligence biedt een raamwerk waarbinnen verantwoording en transparantie geborgd kunnen worden. Om als organisatie effectief inlichtingen met betrekking tot actuele dreigingen te winnen en periodiek dreigingsanalyses te produceren is er een sturingsmodel voor Proactieve Security Management nodig. Buiten het identificeren van potentieel gevaarlijke personen of groepen is het ook van belang om trendanalyses uit te voeren. Een trendanalyse kan bijvoorbeeld wijzen op een golf aan een bepaalde vorm van criminaliteit die relevant is voor de te beschermen zaak. Net zoals de Amerikaanse Secret Service is het van belang van samenwerking op het gebied van het inwinnen en analyseren van inlichtingen groot. Als particuliere organisatie is het echter vaak onmogelijk om een stabiele inlichtingensamenwerking met bijvoorbeeld de politie of de inlichtingendiensten te verkrijgen. Casus: Voorkomen aanslag op President Clinton; Amerika, persoonsbeveiliging en daadkracht. In 1996 werd op basis van een dreigingsanalyse aan de hand van Security Intelligence de route van het konvooi waarin President Bill Clinton reed op aanraden van Secret Service Director Lewis Merletti aangepast om een brug te omzeilen. Uit de dreigingsanalyse was gebleken dat de dreiging bestond voor een aanval op die locatie. Nader onderzoek wees uit dat er onder de betreffende brug een bom was geplaatst. Subsequent U.S. investigation revealed that [the plot] was masterminded by a Saudi terrorist living in Afghanistan named Osama bin Laden.

19 18 De Dreigingsanalyse Het product van Security Intelligence is de Dreigingsanalyse. Een dreigingsanalyse op basis van breed en kwantitatief gevonden, kwalitatief geanalyseerde Intelligence die klaar is om geëxploiteerd te worden in bestaande beveiligingsplannen, of dient om beveiligingsplannen te verbeteren. Het product neemt vaak de vorm aan van verschillende scenario s of toekomstbeelden die op basis van vergaarde gegevens en onderzochte aannames, welke onderling tegen elkaar worden afgewogen. Voor deze onderzochte uitkomsten kunnen plannen van aanpak of procedures gemaakt worden zodat wanneer duidelijk wordt (bijvoorbeeld door zogenaamde Indicators of Change) dat zo n scenario tot uiting komt de organisatie reeds is voorbereid. Wanneer er uit een dreigingsanalyse blijkt dat er een actuele dreiging aanwezig is zijn de stappen op beleidsniveau vrij beperkt. Simpel gezien vereist iedere vastgestelde dreiging een actief besluit, één van de 3 A s: Anticiperen, Afwenden of Accepteren. Een dreiging kan niet worden genegeerd of afgedaan, tenzij er nieuwe inlichtingen zijn die aangeven dat een dreiging is geweken of berustte op foutieve informatie, om deze reden is het ook van belang om periodiek dreigingsanalyses uit te voeren. Wat een 3 A besluit inhoudt is afhankelijk van de dreiging en het te beschermen object, in sommige gevallen moet er een aanpassing gemaakt worden in de fysieke beveiliging, of moeten beveiligers een nieuwe instructie ontvangen. In andere gevallen zou bijvoorbeeld de route van een konvooi of persoon aangepast moeten worden. Hoe realiseer je een Dreigingsanalyse? Een Security Intelligence toepassing op basis van het sturingsmodel Proactieve Security Management levert periodiek of op aanvraag actuele dreigingsanalyses. Dit gebeurt op basis van het inwinnen, veredelen, analyseren van informatie kan deze geëxploiteerd worden in de beveiliging. Het inwinnen van informatie voor deze techniek kan op een veelvoud aan manieren. Een aantal voorbeelden: OSINT Red Teaming Informatie- samenwerking Insider Threat Analyse Het gericht zoeken naar dreiging gerelateerde informatie in open bronnen Het analyseren van de eigen beveiliging vanuit het perspectief van de tegenstander Het delen van relevante inlichtingen op het gebied van trends en specifieke dreigingen die betrekking hebben op andere organisaties die Security Intelligence toepassen Het analyseren van mogelijke dreigingen van binnenuit de eigen organisatie Als de informatie eenmaal is ingewonnen, moet deze door ervaren professionals veredeld en geanalyseerd worden, alvorens deze klaar is voor exploitatie. Het product, de dreigingsanalyse, wordt vervolgens voorgelegd aan de organisatie die dan relevante beslissingen kan en moet nemen met betrekking tot de actuele dreigingen.

20 Samenvattend zijn Security Intelligence en de Dreigingsanalyses die eruit voortvloeien een proces van het verzamelen, veredelen en analyseren van informatie betreffende personen of groepen die de interesse, motivatie, intentie en capaciteit hebben om een bepaalde ongewenste handeling jegens een persoon of organisatie uit te voeren. De techniek heeft grote potentie om kwetsbaarheden van de eigen organisatie bloot te leggen, maar ook om vroegtijdig ingrijpen in bedreigende situaties mogelijk te maken. Meer weten over Proactieve Beveiligingsmethodieken, Intelligence en hoe de verschillende technieken toe te passen in de eigen organisatie? SoSecure biedt vanuit haar expertise op het gebied van kwalitatieve analyses, intelligence en haar visie op proactieve security een veelvoud aan (dreigings- )analyses en analyse trajecten die uw organisatie kunnen ondersteunen in de besluitvorming van onder andere beveiligingszaken. Als u interesse heeft naar de mogelijkheden om Security Intelligence in uw organisatie te implementeren, of meer wilt weten over OSINT, Predictive Profiling, Red Teaming, Insider Threats, informatiesamenwerking of het Kenniscentrum Security Intelligence, dan bent u van harte welkom om een afspraak te maken bij SoSecure.

21 1