Om tot het juiste niveau van beveiliging voor een locatie te komen, is het noodzakelijk om per locatie een risicoanalyse uit te voeren zodat de hoogte van het risico specifiek gemaakt wordt. Per dreiging uit het dreigingsprofiel worden daarvoor de attractiviteit voor en het belang van die locatie bepaald.
Voor iedere locatie, behorend tot de vastgoedportefeuille van de organisatie, moet worden gekeken naar de processen die er worden uitgevoerd en wat hiervoor op de locatie aanwezig is (qua informatie, bezittingen en personen). Op grond hiervan kan worden bepaald welke risico’s voor deze locatie realistisch zijn, wat de gevolgen daarvan kunnen zijn en welke maatregelen uit het Programma van Eisen wenselijk zijn om die risico’s op een aanvaardbaar niveau te houden.
In de risicoanalyse behorend bij een locatie worden ook eventuele specifieke risicoplaatsen die aanvullende aandacht verdienen expliciet benoemd. De risicoklasse van de dreigingen voor een locatie en/of specifieke zones daarbinnen wordt vastgelegd in het bij die locatie behorende beveiligingsplan.
De risicoklasse bepaalt het minimaal te kiezen beveiligingsniveau tegen een dreiging. RisicoRegisseurs heeft voor organisaties in de zakelijke dienstverlening een generiek Programma van Eisen ontwikkeld, waarin de voor de tot deze sector behorende organisaties meest relevante beveiligingsmaatregelen zijn vastgelegd. Per maatregel is hierbij gedifferentieerd naar de zwaarte van de maatregel om deze zo goed mogelijk te laten passen bij de voor de locatie geldende risicoklasse. Wilt u meer weten over het generieke Programma van Eisen voor de zakelijke dienstverlening? Informatie op aanvraag via info@risicoregisseurs.nl.
Op basis van de risicoanalyse per locatie kan voor iedere dreiging afhankelijk van het dreigingsniveau de bijpassende beveiligingsmaatregelen worden geselecteerd uit het Programma van Eisen zodat per locatie aantoonbaar gemaakt kan worden of de juiste maatregelen en het juiste niveau van die maatregelen geïmplementeerd is. Door de reeds getroffen beveiligingsmaatregelen in kaart te brengen krijgt de organisatie inzicht in de mate waarin de onderkende risico’s al in voldoende mate beheersbaar zijn. Op basis hiervan kan de organisatie besluiten nemen over eventuele risico’s die nog verbetering behoeven door de risico’s formeel te accepteren, door aanvullende maatregelen te treffen voor die risico’s die nog niet in voldoende mate zijn afgedekt of door juist minder maatregelen te treffen voor die risico’s die te zwaar zijn afgedekt. Zo ontstaat inzicht in de mogelijke verbetermaatregelen.
Deze werkwijze garandeert op locatieniveau de beste aansluiting van de beveiligingsmaatregelen bij de realistische dreigingen voor een organisatie. En daarmee wordt inzichtelijk of er nog restrisico’s zijn en of er niet te veel, te zware of niet de juiste maatregelen worden getroffen. Dit ter voorkoming van onder- of overbeveiliging.
Met een dergelijk gestructureerde aanpak kan een organisatie aantonen dat ze de realistische risico’s in voldoende mate in kaart heeft gebracht op basis waarvan ze de juiste maatregelen heeft genomen om die risico’s beheersbaar te maken en te houden.
Bijlage A: Dadertypen
De volgende dadertypen worden onderscheiden:
• Personen met verward gedrag
• Ontevreden klanten
• Vandalen
• Gelegenheidscriminelen
• Beroepscriminelen (professional en semi-professional)
• Interne actoren (medewerkers en leveranciers)
• Activisten
• Terroristen
• Georganiseerde criminaliteit
• Niet-gouvernementele organisaties
• Statelijke actoren
Buiten scope: Dit dreigingsprofiel is gericht op de fysieke dreigingen als gevolg van bewust en onbevoegd menselijk handelen. Dreigingen van natuurlijke aard, zoals overstroming, blikseminslag, aardbeving etc., vallen buiten de scope van dit dreigingsprofiel.
Fysieke dreigingen met ICT als doelwit vallen binnen scope van de bovengenoemde dadertypen (bijvoorbeeld diefstal van laptops).
Digitale dreigingen (cybercrime met ICT als middel én doelwit) vallen buiten scope van dit dreigingsprofiel (bijvoorbeeld DDoS aanvallen, virusaanvallen, hackpogingen, etc.). De volgende dadertypen vallen daarmee buiten scope van dit dreigingsprofiel:
• Hacktivisten, cybervandalen en scriptkiddies.
Personen met verward gedrag
Onder personen met verward gedrag wordt verstaan eenieder die vanwege zijn al dan niet tijdelijke verstoorde oordeelsvermogen gedrag vertoont, waarmee hij zichzelf of enig ander in gevaar brengt en/of een bedreiging vormt voor de openbare orde en veiligheid of de eigendommen die de organisatie toebehoren.
Ontevreden klanten
Individuen of groepen van personen die zichzelf of hun onderneming niet of onvoldoende vertegenwoordigd voelen door de organisatie en hun onvrede tonen door de openbare orde en veiligheid in en rondom de locaties van de organisatie te verstoren. Dit met als doel gehoord te worden en hun boodschap over te kunnen brengen. Ontevreden klanten zullen over het algemeen de openbare orde verstoren, zich agressief of gewelddadig opstellen tegen medewerkers van de organisatie, maar zullen weinig tot geen fysieke schade aanbrengen, althans dat zal niet het primaire doel zijn. Escalatie met schade tot gevolg kan echter niet worden uitgesloten.
Vandalen
Een vandaal (waaronder inbegrepen baldadige jeugd, hangjongeren, voetbalhooligans, etc.) is een persoon of groep van personen die als doel heeft andermans eigendommen kapot te maken of dingen te beschadigen. Vaak treden zij in groepen op. Vandalen maken over het algemeen geen gebruik van specifieke gereedschappen, maar slechts van hulpmiddelen en materialen welke in de directe omgeving worden aangetroffen (ladders, stenen, stokken, stalen buizen, stangen, dranghekken, etc.).
Gelegenheidscriminelen
Gelegenheidscriminelen maken gebruik van de gelegenheid die hen geboden wordt. Veelal is het motief van een gelegenheidscrimineel gericht op eigen gewin (gelegenheid maakt de dief). Een gelegenheidscrimineel zal over het algemeen tot handelen overgaan, indien de pakkans zeer gering wordt geacht en de aanval weinig inspanning en niet of nauwelijks voorbereidingen vereist. Over het algemeen zullen geen handelingen worden verricht die lawaai veroorzaken en wordt gebruik gemaakt van aanwezige materialen of licht handgereedschap.
Beroepscriminelen
Beroepscriminelen (waaronder semi-professionals en professionals) kennen 'hun job' en gaan goed voorbereid te werk. Ze weten welke buit te halen is, zijn zich bewust van de risico's die ze nemen en het motief is veelal gelegen in eigen gewin of in een “verdienmodel”: de buit wordt doorverkocht.
Twee typen beroepscriminelen:
• Een semi-professional bereidt zich voor en neemt meer risico's dan de gelegenheidscrimineel. De tijdsfactor en pakkans zijn hierbij van essentieel belang. Een semi-professional maakt gebruik van een combinatie van licht tot zwaar handgereedschap en eventuele andere aanvalsmiddelen als steek-, slag of stroomstootwapens dan wel vuurwapens (klein kaliber);
• Een professional bereidt zijn aanval goed voor en neemt veel risico's. Hierbij wordt gebruik gemaakt van alle mogelijke aanvalsmiddelen, zoals elektrisch gereedschap en zeer zwaar handgereedschap, vuurwapens (groot kaliber), voertuigen en/of explosieven die hem kunnen ondersteunen bij de zorgvuldig geplande aanval.
Interne actoren
Interne actoren (waaronder interne en externe medewerkers, maar ook leveranciers) zijn die personen, die vanuit hun relatie met de organisatie reeds toegang hebben tot (delen) van de locaties, de informatie, het materieel en de personen binnen de organisatie. Motieven voor een aanval kunnen zijn eigen gewin, onvrede met het handelen van de organisatie (bijvoorbeeld bij reorganisaties), misbruik van systemen om mensen af te persen, te chanteren of om de organisatie te bespioneren.
• Een interne medewerker is een persoon die een arbeidsovereenkomst heeft met de organisatie waarvoor hij/zij werkzaam is,
• Een externe medewerker wordt door de organisatie ingehuurd (interim, detachering, uitzenden),
• Een leverancier levert goederen of diensten op basis van een contract of een specifiek daartoe gegeven opdracht.
Activisten
Activisten zijn personen die een noodzaak voor verandering zien en daar vervolgens mee aan de slag gaan. Ze worden gedreven door hun passie en een visie van een betere toekomst in datgene wat ze willen realiseren. De motivatie kan liggen in verstoring van processen (platleggen organisatie), ontwrichten van de maatschappij, onvrede met het handelen van de organisatie of ideologische of activistische motieven. Het zijn over het algemeen mensen, die op een normale manier in de maatschappij functioneren, maar die geloven dat ze op een bepaald gebied een verschil kunnen maken die de wereld zal verbeteren. Bij activisme kan bijvoorbeeld gedacht worden aan politiek gemotiveerde activisten, dieren(rechten)activisten, mensenrechtenactivisten, milieuactivisten en vredesactivisten.
Hun doel is hun boodschap over te kunnen brengen en/of de orde te verstoren door bijvoorbeeld te demonstreren, toegang tot locaties te blokkeren of zaken te saboteren. Geweld, verbaal of fysiek, van de kant van activisten tegen de gevestigde orde, tussen activisten onderling of met andere groepen
Terroristen en terroristische organisaties
Een terroristische organisatie, al dan niet uitgevoerd door individuen dan wel groepen van terroristen, heeft als doel veranderingen af te dwingen door middel van gewelddadige acties, die het maatschappelijk leven ontwrichten. Deze kunnen bestaan uit het zaaien van verwarring, verdeeldheid en angst -soms met zeer gewelddadige acties en zware aanvallen en/of bomaanslagen- om zo politieke en maatschappelijke stabiliteit te ondergraven.
Onderscheid kan gemaakt worden in:
• Anarchistisch terrorisme: gericht op het omverwerpen van de monarchie en de heersende politieke orde,
• Mantelorganisaties: organisaties en individuen die financiën inzamelen voor een terroristische organisatie,
• Extreemlinkse organisaties: organisaties en individuen die het kapitalisme willen ondermijnen of willen vernietigen om het te vervangen door een communistische of socialistische regeringsvorm,
• Extreemrechtse organisaties: organisaties en individuen die voornamelijk streven naar het afschaffen van liberale democratische regeringen om autoritaire regimes te installeren. Ze vallen bijvoorbeeld immigranten aan, zijn racistisch (b.v. antisemitisch) en xenofoob (irrationele angst voor of haat tegen vreemdelingen),
• Individueel terrorisme: terrorisme dat door eenlingen (zogenaamde lone wolves) gepleegd wordt zonder dat daar direct een grotere organisatie achter staat. Een aanslag kan in een later stadium wel door een terroristische organisatie worden opgeëist,
• Separatistisch terrorisme: streven naar een (formele) terugtrekking uit een bestaande staat en het oprichten van een eigen staat. Een organisatie of meerdere organisaties die samen separatisme nastreven worden wel een afscheidingsbeweging genoemd.
Georganiseerde criminaliteit
Van georganiseerde misdaad is sprake als wordt voldaan aan ten minste de volgende vier criteria:
• samenwerking van twee of meer personen,
• deze samenwerking heeft plaats over een langere periode,
• de samenwerking is gericht op het plegen van ernstige misdaden,
• met als doel macht en geldelijk gewin.
Het doel kan zijn bezittingen of informatie van de organisatie in handen te krijgen voor eigen gewin of om deze door te verkopen (verdienmodel). Vermenging van boven- en onderwereld, bijvoorbeeld door de inzet van interne actoren voor infiltratie, ondermijning of chantage, vormt een risico voor de organisatie.
Over het algemeen zal de georganiseerde criminaliteit er niet voor terugdeinzen om zware aanvalsmiddelen zoals explosieven en vuurwapens (groot kaliber) in te zetten om hun doel te bereiken.
Verwonden of vermoorden van slachtoffers hoeft niet persé het primaire doel van een aanval te zijn, maar kan wel als gevolg optreden, waarbij dat de georganiseerde criminaliteit niet afschrikt.
Niet-gouvernementele organisaties
Niet-gouvernementele organisaties zijn georganiseerde groeperingen en bewegingen die geen onderdeel uitmaken van staatsstructuren en die in toenemende mate invloed hebben op het beleid en de positie van nationale staten en organisaties.
Om onderscheid te kunnen maken in de aanvalsmiddelen en de dreigingen is het belangrijk om een onderscheid te maken tussen niet-statelijke actoren die zich tegen het heersende systeem keren door inzet van zware aanvalsmiddelen (bijvoorbeeld activisten, terroristen en georganiseerde criminaliteit) en niet-statelijke actoren die hun invloed binnen de regels van het heersende systeem proberen uit te oefenen (in het algemeen de traditionele NGO’s, zoals bijvoorbeeld Greenpeace, die formeel als organisatie georganiseerd en als dusdanig erkend zijn).
Statelijke actoren
Er is sprake van een statelijke actor als de actor of de groep van actoren handelt uit naam van een nationale, soevereine, overheid. Het doel van statelijke actoren kan zijn spionage door middel van infiltratie, ontwrichten van de maatschappij door verstoring van processen (platleggen organisatie) of politieke beïnvloeding in Nederlandse interne aangelegenheden of democratische processen (waaronder de verkiezingen). Onder statelijke actoren worden goed georganiseerde organisaties gerekend zoals veiligheids- en inlichtingendiensten en militaire organisaties van nationale overheden.
Bijlage B: Dreiging
De volgende dreigingen worden onderscheiden:
• Vandalisme/vernieling
• Ramkraak en/of inrijden
• Bombrief onbevoegd menselijk handelen. Dreigingen van natuurlijke aard, zoals overstroming, blikseminslag, aardbeving etc., vallen buiten de scope van dit dreigingsprofiel.
Fysieke dreigingen met ICT als doelwit vallen binnen scope van de bovengenoemde dadertypen (bijvoorbeeld diefstal van laptops).
Digitale dreigingen (cybercrime met ICT als middel én doelwit) vallen buiten scope van dit dreigingsprofiel (bijvoorbeeld DDoS aanvallen, virusaanvallen, hackpogingen, etc.).
De volgende dreigingen vallen daarmee buiten scope van dit dreigingsprofiel:
• Cybercrime: criminaliteit met ICT als middel én doelwit. Denk hierbij aan virusuitbraak, hacking, distributed denial-of-service- aanvallen (DDoS-aanvallen), inbraak in informatiesystemen, diefstal van digitale informatie, gijzeling van digitale informatie, interne en externe fraude, infiltratie en spionage met ICT-middelen en bedreigingen van personeel door middel van social media,
• Gedigitaliseerde criminaliteit: denk hierbij onder meer aan internetoplichting (fraude op online handelsplaatsen, identiteitsfraude), bedreiging of het witwassen van geld via digitale betaalmethoden.
Vandalisme/vernieling
Onder vandalisme wordt verstaan het moedwillig beschadigen, vernielen of vernietigen van objecten die de organisatie toebehoren door bijvoorbeeld:
• Molest door middel van aanwezige materialen zoals stenen, stokken, stalen buizen, stangen, etc.,
• Bekladden of aanbrengen graffiti,
• Het inslaan of inschoppen van ruiten en deuren met fysieke middelen of slagwapens zoals knuppels.
Activisme
Verstoring van processen (platleggen organisatie) of het ontwrichten van de maatschappij door aanplakacties, demonstreren, manifestaties, saboteren of door middel van bezetting of blokkade, met als doel een boodschap over te kunnen brengen. Activisme leidt voornamelijk tot overlast, uitval van processen, lastigvallen van personeel en eventuele kosten voor herstel van veroorzaakte schade.
Ordeverstoring
Verstoring van de openbare orde door bijvoorbeeld het niet opvolgen van een bevel van de politie en/of het zodanig ophouden waardoor overlast of hinder voor de omgeving wordt veroorzaakt. Bij ordeverstoring wordt onderscheid gemaakt in:
• Ordeverstoring door geluid,
• Ordeverstoring door demonstraties,
• Ordeverstoring door blokkades,
• Ordeverstoring door bezetting.
Agressie en verbale dreiging
Onder agressie en verbale dreiging wordt verstaan boosheid, verdriet of angst die geuit wordt en waarbij andermans grenzen worden overschreden, aan iets of iemand bewust schade wordt berokkend of met woorden wordt geprobeerd iets te bereiken. Agressie is bedreigend en schadelijk voor degene tegen wie het gericht is, maar leidt niet tot lichamelijke mishandeling.
Fysiek geweld gericht tegen personen
Fysiek geweld leidt tot lichamelijke mishandeling, al dan niet met behulp van een voorwerp of wapen gericht tegen een persoon. Bij fysiek geweld gericht tegen personen wordt onderscheid gemaakt in:
• Fysiek geweld zonder wapens (aanwezig materieel, intimideren, schelden, slaan, schoppen),
• Fysiek geweld met steekwapens,
• Fysiek geweld met slagwapens,
• Fysiek geweld met vuurwapens
o vanaf dichtbij met handvuurwapen (pistool), geweer en (semi-) automatische wapens, o vanaf de straat met handvuurwapen (pistool), geweer en (semi-) automatische wapens.
Sabotage
Onder sabotage wordt verstaan het moedwillig belemmeren, verstoren of molesteren om (processen van de organisatie) zaken te laten mislukken of om deze te vernielen. Onderscheid wordt gemaakt in:
• Sabotage met de hand, zonder hulpmiddelen,
• Sabotage door middel van slagwapens en overige middelen (tot gereedschapsklasse A4),
• Sabotage door middel van zwaar gereedschap (gereedschapsklasse A5 en hoger).
Brandstichting
Onder brandstichting wordt verstaan een verbranding met vuur die zich ongehinderd uit kan breiden en schade en/of gevaar veroorzaakt en die veroorzaakt is door bewust menselijk handelen.
Brand als gevolg van een ongeluk of veroorzaakt door natuurverschijnselen (zoals blikseminslag, bosbranden) vallen buiten scope van dit dreigingsprofiel omdat ze niet door bewust menselijk handelen veroorzaakt worden.
Diefstal
Onder diefstal wordt verstaan het fysiek wegnemen van enig goed dat geheel of gedeeltelijk aan de organisatie toebehoort met als doel dit goed zelf wederrechtelijk in bezit te nemen of toe te eigenen waarbij onderscheid gemaakt wordt in:
• Diefstal van (digitale en niet digitale) informatie (waaronder vertrouwelijke informatie en persoonsgegevens),
• Diefstal van goederen, en bezittingen van de organisatie,
• Diefstal van waarden (geld, goud) en waardepapieren (waaronder kopieën identiteitsbewijzen).
Cybercrime en gedigitaliseerde criminaliteit waarbij informatie niet fysiek maar digitaal weggenomen wordt valt buiten scope van dit dreigingsprofiel.
Inbraak
Onder inbraak wordt verstaan het zich wederrechtelijk en eventueel geforceerd en/of met geweld toegang verschaffen tot een gebied of locatie van de organisatie. Onderscheid wordt gemaakt in:
• Inbraak door forcering van een voor ongeautoriseerde fysiek afgesloten schil (muur, deur, wand, etc.),
• Binnentreden door insluiping waarbij gebruik wordt gemaakt van openstaande ramen en deuren,
• Insluiting waarbij (tijdelijk) geautoriseerde toegang is verstrekt maar waarbij de persoon de ruimte of het gebouw niet verlaat bij sluiting van die ruimte of het gebouw.
Een inbraak is niet het doel op zich maar wel een belangrijke oorzaak van veel dreigingen. Het doel van een inbraak kan bijvoorbeeld zijn:
• Brandstichting,
• Diefstal,
• Sabotage,
• Overval (of voorbereidingen daartoe).
Overval
Het met geweld of onder bedreiging van geweld wegnemen of afpersen van waarden, gepleegd tegen medewerkers van de organisatie die zich in een kantoor van de organisatie bevinden, of pogingen daartoe.
Vrijheidsberoving
Onder vrijheidsberoving wordt verstaan het iemand opzettelijk wederrechtelijk van de vrijheid beroven of beroofd houden met het oogmerk een ander te dwingen iets te doen of niet te doen.
De volgende situaties worden onderscheiden:
• Gijzeling: Een gijzeling is wederrechtelijke vrijheidsberoving van een persoon (de gegijzelde) binnen een gebouw van de organisatie, waarbij deze bedreigd wordt met het doel iets van derden gedaan te krijgen. In het kader van dit dreigingsprofiel wordt hier niet gijzeling als gerechtelijke dwangmaatregel onder verstaan,
• Ontvoering: Iemand van zijn vrijheid beroven door hem naar een (voor de organisatie) nog onbekende plaats weg te voeren en hem daar vast te houden met het doel iets van derden gedaan te krijgen,
• Tiger kidnap: Met een vooropgezet plan één of meer slachtoffers van hun vrijheid beroven -gijzelen of ontvoeren- met het oogmerk één van de gegijzelden of een ander slachtoffer daarmee te
Ramkraak en/of inrijden
Onder ramkraak wordt verstaan een aanval met een (zwaar) voertuig op een locatie met als doel een mangat in de periferie van een locatie te realiseren om zich zo toegang tot de locatie te verschaffen.
Hierbij kan onderscheid gemaakt worden in:
• Lichte ramvoertuigen, zoals personenauto’s (met of zonder explosieven),
• Zware ramvoertuigen, zoals vrachtwagens, shovels, verreikers, etc. (met of zonder explosieven).
Onder inrijden wordt verstaan een aanval met een (zwaar) voertuig op een locatie met als doel schade te veroorzaken aan gebouw, infrastructuur of andere bezittingen, dan wel om mensen (ernstig) letsel toe te brengen.
Bombrief
Een bombrief is een geïmproviseerd explosief dat eruitziet als een regulier postartikel (een brief of een pakketje) en dat wordt verstuurd via de normale postdiensten.
Bombrieven exploderen direct na de opening met de bedoeling de geadresseerde te doden, verwonden of intimideren. Onder bombrieven wordt ook verstaan op explosieven lijkende postartikelen die niet daadwerkelijk tot ontploffing komen maar wel als zodanig behandeld dienen te worden totdat het tegendeel bewezen is.
Poederbrief
Een poederbrief is een brief die mogelijk biologische ziekteverwekkers (zoals Antrax) bevat en die wordt verstuurd via de normale postdiensten. Wanneer een poederbrief wordt geopend, komt er een stof vrij die door middel van aanraking of inademing voor infectie en mogelijk de dood kan zorgen.
Onder poederbrieven wordt ook verstaan op poederbrieven lijkende postartikelen die niet daadwerkelijk biologische ziekteverwekkers bevatten maar wel als zodanig behandeld dienen te worden totdat het tegendeel bewezen is.
Bommelding
Een bommelding is een melding dat op een zekere plaats een bom ligt die op een zeker moment zal ontploffen. Bij een bommelding dient altijd te worden uitgegaan van het feit dat een bom daadwerkelijk af zal gaan, totdat het tegendeel bewezen is. Bommeldingen, vals dan wel juist, worden gedaan vanuit verschillende motieven:
• met het doel de orde te verstoren,
• om persoonlijk letsel te veroorzaken,
• om extra ruchtbaarheid te geven aan motieven,
• of uit misleiding of uit baldadigheid.
Wanneer een bom daadwerkelijk tot ontploffing komt spreken we niet langer van een bommelding maar van een bomaanslag (zie bom/explosie hieronder).
Bom/explosie
Wanneer een bom, een explosief of een materiaal dat bij ontsteking een explosie veroorzaakt daadwerkelijk tot ontploffing komt, spreken we van een bomaanslag waarmee wordt gepoogd om één of meer mensen te verwonden, te doden of om objecten te beschadigen of te vernietigen.