Insider threats : de gevaren voor terrorisme vanuit de eigen organisatie

0

De aanpak van terrorisme richt zich van nature vooral op gevaar van buitenaf. Minder aandacht is er voor terrorisme door medewerkers vanuit de eigen organisatie, zoals bijvoorbeeld vanuit de politieorganisatie. Dit artikel betoogt het belang voor extra alertheid en biedt diverse preventieve aanbevelingen getoetst in breed Europees perspectief.

Terrorisme is een term die al enkele eeuwen bestaat. De term ‘la terreur’ kent z’n oorsprong in de tijd van de Franse revolutie (1789) en is tegenwoordig onder andere te kenmerken als een instrument om door middel van het plegen van aanslagen, aandacht, angst en onrust te bewerkstelligen om langs deze weg politieke doelen te behartigen (Bakker & de Roy van Zuijdewijn, 2016). Uiteraard zit er een bepaalde relativiteit aan het begrip; wie voor de ene partij een terrorist is, kan door de andere partij eerder worden gezien als held, vrijheidsstrijder of martelaar. Het neemt echter niet weg dat voor het bereiken van het doel vaak veel (onschuldige) slachtoffers vallen.

Internationaal perspectief

In dit artikel ligt de focus op de insider threat, oftewel personen die vanuit de eigen organisatie, overgaan tot het plegen van mistanden of zelfs aanslagen. Het gevaar kan zowel passieve, actieve of gewelddadige vormen aannemen. Nu loopt Nederland in dit verband, gelukkig niet over van de voorbeelden van voltooide aanslagen, maar internationaal zijn deze er helaas meer dan genoeg en in steeds meer gevallen gericht op politiemensen of militairen.

Dit artikel kan dan ook vooral gezien worden als aanzet om te leren van de ‘kritische succesfactoren’ in internationaal verband. Ook helpt het geboden perspectief om extra alertheid te krijgen op eventuele te plegen deel- of voorbereidingshandelingen en pleit het voor een verscherping van de mindset in eigen land. Dat laatste is helaas nodig in de huidige maatschappelijke tijdsgeest.

Het is van belang om dit onderwerp vooral in internationaal perspectief te bezien, het gevaar is overal en kan ook in diverse landen z’n uitwerking hebben. Om daarop aansluitend ook vanuit een bredere internationale scope naar preventieve maatregelen te kijken, is aan 21 politiemedewerkers uit 17 verschillende Europese landen gevraagd, om aan te geven welke maatregelen zij zouden adviseren. Deze vrij unieke diversiteit aan inzichten zal hieronder worden uitgewerkt. Eerst worden echter een aantal insider threat-voorbeelden gepresenteerd en zal ter illustratie worden ingezoomd op één specifieke casus.

Insider threat-casussen

De afgelopen decennia zijn er diverse voorbeelden van aanslagen, pogingen daartoe of gedragingen met een grote maatschappelijke impact, gepleegd door medewerkers van de eigen organisatie. Denk aan de moord op mevrouw Ghandi, die in 1984 door twee van haar eigen Sikh-beveiligers werd vermoord, nadat er eerder een gewelddadige politieke aanval was gepleegd op Sikh separatisten. Een ander voorbeeld betreft de aanvallen van de Afghan National Security Forces (ANSF) op militairen van de International Security Assistance Force (ISAF), welke in aantallen vanaf 2001, in twee jaar tijd een maximum van 54 bereikte (Bunn & Sagan, 2016). Dichter bij huis vond in 2014 de sabotage plaats van een nucleaire installatie Doel, in België, waaraan zeer waarschijnlijk een terroristisch oogmerk te grondslag lag. Na een opzettelijke olielek, kwam de volledige kerncentrale tot stilstand met een schade van rond de 30 miljoen euro (NOS, 2014). De dader is overigens nog steeds onbekend.

Andere bekende voorbeelden zijn de casus van Manning, een Amerikaanse soldaat die in 2010 in Irak werd gearresteerd na het lekken van video-opnames naar Wikileaks; de antrax brieven, waarbij sinds 2001 door een voor de overheid werkende wetenschapper, via de post een 11-tal brieven werden verstuurd die sporen van antrax bevatten; en de zaak rondom Snowden (2013), een voormalig CIA-medewerker, die geheime activiteiten van de National Security Agency (NSA) naar buiten bracht, waaruit onder andere bleek dat veel mensen op grote schaal werden afgeluisterd.

Een bekend Nederlands voorbeeld betrof de militair van de Koninklijke Luchtmacht, die zich in 2015 aansloot bij strijders van ISIS. Gegeven de diversiteit aan voorbeelden mag het duidelijk zijn dat de insider threat, al dan niet los van religie, in alle landen en culturen voorkomt. Er wordt hier vanuit leerperspectief desondanks nader ingezoomd op één specifieke casus, namelijk de terroristische aanslag die op 9 november 2009 plaatsvond op de militaire basis Fort Hood, gelegen in de Verenigde Staten.

De Fort Hood-casus

De aanslag in Fort Hood werd uitgevoerd door een Amerikaanse militaire psychiater, Majoor Nidal Hasan. Bij deze aanslag, gepleegd met behulp van twee handvuurwapens, vielen 13 doden en 32 gewonden. Hasan werd uiteindelijk uitgeschakeld door een politieagent en raakte daarbij gewond. Naar deze aanslag is achteraf veel onderzoek gedaan, waaruit interessante leerpunten naar voren kwamen (zie onder andere Poppe, 2018). Zo bleken met name veel duidelijke indicatoren van radicalisering niet opgepakt te zijn, terwijl Hasan zich openlijk richting mede militairen uitsprak over het feit dat religie boven de Amerikaanse grondwet stond. Osama Bin Laden en zelfmoordterroristen werden verdedigd en er vonden diverse mailcontacten plaats met een extremistische geestelijke (Bunn & Sagan, 2016).
De betreffende mails waren al voorafgaand aan de aanslag in het bezit gekomen van de FBI en het Amerikaanse ministerie van Defensie. Daarnaast kocht Hasan twee vuurwapens en gedurende een bepaalde periode in totaal 20 tot 30 magazijnen en munitie. Hij woonde afgezonderd van zijn collega officieren en presteerde op zijn werk onder het gemiddelde. Desondanks bleek uit zijn beoordelingen dat zijn prestaties van voldoende niveau waren.

Wie de informatie over Hasan legt naast de indicatoren voor radicalisering (identiteit – ideologie – gedrag), ziet veel raakvlakken. Zo was het overlijden van zijn moeder voor hem een specifieke persoonlijke trigger om een meer radicale vorm van het geloof aan te hangen, benadrukte hij openlijk de religieuze identiteit en verspreidde deze ook actief. Verder had hij extremistische denkbeelden, onderschreef hij aanslagen, nam hij afstand van de grondwet en woonde hij afgezonderd. Al deze signalen hebben niet geleid tot een pro-actieve interventie vanuit Defensie.
Poppe (2018) omschreef daarvoor als mogelijke  oorzaken dat het thema politiek gevoelig lag, vrijheid van meningsuiting een belangrijk goed was, diversiteit een belangrijk thema en claims over profileren voorkomen moesten worden. Er was tevens te weinig aandacht voor geweld op de werkplek. In praktische zin werden aanwijzingen niet tot beperkt onderzocht en werkten verschillende onderzoeksinstanties niet goed samen. De mailcontacten werden onderzocht door een afdeling die vooral gespecialiseerd was in het opsporen van strafbare feiten zoals fraude op de werkplek en niet in contra-terrorisme en het voorspellen van toekomstige gedragingen met een terroristisch oogmerk. Tijdens het onderzoek naar de mails, werden er geen strafbare feiten geconstateerd en indicatoren werden vooral gezien als onderdeel van de onderzoeks- en geloofsinteresse van Hasan.

Complexiteit in onderkennen

Om een misstand of zelfs aanslag te plegen is doorgaans preparatietijd nodig. Onderzoek heeft aangetoond dat bijvoorbeeld 31 procent van de datadiefstallen minuten duurde, maar 60 pocent zelfs dagen. De cyclus voor het uitvoeren van een aanslag kan langer duren: van doelselectie naar het vergaren van informatie, de logistiek, de testfase en de uiteindelijke uitvoering. Vaak zijn er ook middelen nodig zoals geld, huisvesting, valse papieren en wapens.

Ondanks dat er dus mogelijk tijd beschikbaar is om bedreigingen vanuit de eigen organisatie in meerdere fasen te kunnen onderkennen, zijn er diverse factoren waarom het niet eenvoudig is om een insider threat te onderkennen. Er zijn weliswaar psychosociale risicofactoren en gedragskenmerken te benoemen zoals ‘ontevredenheid’, ‘slecht presteren’, ‘confronterend gedrag’, ‘afwezigheid’, ‘moeite met autoriteit’ en ‘stress’ (Greitzer, Noonan, Kangas & Dalton, 2010), maar het is lastig om aan de hand van enkele indicatoren of persoonlijkheidskenmerken een duidelijk onderscheid te kunnen maken tussen degenen met goede of slechte bedoelingen. Daarbij komt dat de medewerker met verkeerde bedoelingen kan proberen om een extremistische identiteit te verbergen, zich juist niet plotseling anders zal gaan gedragen en zich in positieve zin aanpast aan de omgeving om zo min mogelijk op te vallen. Er zijn ook voldoende films beschikbaar waarin acteurs dezelfde strategie hanteren (zie bijvoorbeeld Bourne Identity).

Modern leiderschap als struikelblok

Een ander aspect dat het ingewikkeld maakt om tijdig op te kunnen treden, zit verweven in leiderschap en cultuur. Het moderne leiderschap is vooral gericht op het maken van verbinding en het bieden van vertrouwen en professionele ruimte aan de medewerkers. Voor het welbevinden van de medewerkers en het bereiken van resultaten is dit een succesvolle stijl. Vertrouwen en het creëren van teamgevoel zijn van belang voor het moraal en de loyaliteit van de medewerkers. Het maakt tegelijkertijd ook dat managers de signalen van dreiging eerder zullen downsizen (Bunn & Sagan, 2016). In het voorbeeld van Hasan konden tijdens de beoordelingsgesprekken alleen uitkomsten als ‘onvoldoende’ of ‘voldoende’ presterend worden gegeven. Om ingewikkeldheden te voorkomen werd achteraf geconstateerd dat er maar voldoendes werden gegeven, zonder dat andere signalen in deze cyclus konden worden vastgelegd of verder worden opgepakt (Bunn & Sagan, 2016).

Vanuit cultuurperspectief kan worden gesteld dat de politiecultuur een specifieke en gesloten cultuur is. Dat is ook nodig om de organisatie bij elkaar te houden en een saamhorigheidsgevoel te kweken, nodig om stress en onzekerheid te reduceren bij het acteren in de vaak duistere kanten van de samenleving (zie bijvoorbeeld Beal, 2001; Hoogenboom e.a., 2014). Intern treden we voornamelijk doortastend op als er door medewerkers strafbare feiten worden gepleegd. Dat is wat anders dan het acteren op signalen die gerelateerd kunnen zijn aan toekomstige geradicaliseerde misstanden.

Een ander aspect heeft te maken met onze eigen waarnemings-, fantasie- en interactievermogen. Een in die context binnen de politieorganisatie veelgebezigde uitspraak is: ‘Er is hier nog nooit wat gebeurd, dus waarom zou dat nu wel zo zijn’, maar ook: ‘Je kan toch niet alles uitsluiten en voorkomen, er kan morgen ook een vliegtuig naar beneden komen, daar gaan we toch ook niets tegen doen’. Ook wordt er vaak een nuchtere scheiding gemaakt tussen fantasie/films en wat er in de realiteit kan gebeuren. Je zou ook andersom kunnen redeneren dat wat er in films gebeurt, ook in het echt bedacht kan worden.

Ten slotte zijn we ook een niet te onderschatten aangeleerde vorm van beleefdheid gewend in de interactie richting elkaar en de burger. Zelfs op de schietbaan kijkt men in plaats van naar ‘het gevaar’, elkaar netjes aan bij het geven van aanwijzingen, maar ook infiltraties in beveiligde omgevingen vinden vaak plaats door subtiel als gast of medewerkers via het reguliere systeem binnen te komen. Een voorbeeld vond plaats tijdens de zwaar beveiligde National Security Summit (NSS), welke in 2014 plaatsvond in Den Haag. Een verslaggever zonder accreditatie, die bij de poort werd geweigerd kon met de reguliere tram wel gewoon ongestoord het beveiligde gebied inrijden. Aannames dat alles wel goed geregeld zal zijn en dat veiligheidsaanwijzingen strikt worden opgevolgd, zijn dan de oorzaak. Er is vaak meer aandacht voor de organisatie van maatregelen, dan voor de tussentijdse evaluatie of bijstelling daarvan. We zijn scherp op verdachte situaties, maar hebben moeite scherp te blijven voor alles wat er gepast en niet afwijkend uit ziet.

(Preventieve) maatregelen

Een pleidooi dus om aandacht te besteden aan maatregelen die insiders threats kunnen onderkennen en voorkomen. Dat preventieve maatregelen effectief kunnen zijn, bleek wel uit de vanaf 2003 significante daling van het eerder aangehaalde voorbeeld van de ANSF aanslagen op ISAF militairen. Nog los van het gegeven dat het aantal ISAF troepen in die jaren verminderde, werd er onderling aandacht besteed aan inzichten in elkaars cultuur, werden ANSF militairen beter doorgelicht, waren er bij samenkomst van de verschillende troepen bewapende militairen aanwezig (guardian angels) en werd er meer geïnvesteerd in de counter-intelligence.
Ook in Nederland wordt er door Defensie aandacht besteedt aan het onderkennen van radicaliserende gedragingen onder het eigen personeel. In reactie op de uitreizende militair van de Koninklijke Luchtmacht, gaf Defensie aan dat de Militaire Inlichtingen en Veiligheidsdienst (MIVD) radicalisering onderzoekt, maar dat dit gedrag niet altijd goed zichtbaar is. Te onderkennen factoren zouden kunnen zijn: een lidmaatschap van radicale organisaties, leugenachtig gedrag, het verzwijgen van informatie, het reizen naar verdachte locaties en de aanschaf van wapens en uitrusting (AD, 2016).

Tijdens de CEPOL opleiding ‘Preventing attacks on critical infrastructures’ (Parijs, november 2018) is door de auteur als onderdeel van een verzorgde workshop en presentatie over insider threats, aan 21 (militaire) politiemedewerkers uit 17 verschillende Europese landen[1] gevraagd om drie passende maatregelen aan te geven om insider threats te voorkomen. De gegevens zijn verzameld en geanalyseerd en toonden na labeling en clustering, diverse aanbevelingen. Deze aanbevelingen zijn onder te verdelen in vier categoriën en worden aangevuld met inzichten uit de literatuur:

  1. De achtergrondcheck / screening / assessment / doorlichten

Het is van belang om medewerkers aan de voorkant goed te screenen, zowel de screening van de achtergrond van de kandidaat maar ook het bijbehorende assessment. Focus op gedrags- en persoonlijkheidsprofielen kunnen daarbij eventueel van toegevoegde waarde zijn. Het spreekt feitelijk voor zich, maar het is een misverstand om te veronderstellen dat dit alle kwaadwillenden zal onderkennen (Bunn & Sagan, 2016). Het is vooral een momentopname, die zonder periodieke herhaling veel nieuwe ontwikkelingen zal missen. Voer audits uit op afwezigheid, ontevredenheid en disciplinaire zaken (Bunn & Sagan, 2016).

  1. Aandacht voor en oppakken van indicatoren / monitoren misstanden

Beter zou het zijn om signalen tijdens het dagelijkse werk op te pakken of er tijdens de jaargesprekken aandacht aan te besteden, los van iemands feitelijke functioneren.  Leidinggevenden en HR-medewerkers zouden apart voorgelicht kunnen worden over dit specifieke onderwerp. Pas na inzicht in de mate waarin deze dreiging voorkomt en wat je er aan kan doen, kan de bewustwording toenemen. Een goed insider threat-programma brengt de risicofactoren in beeld, beschrijft de voor de organisatie kritieke hulpbronnen (zoals bijvoorbeeld de eigen medewerkers), brengt de stakeholders in kaart (met soms tegenstrijdige belangen), beschrijft gedragsverwachtingen van de medewerkers, evalueert periodiek alle maatregelen en levert trainingen op maat, passend bij uitdagingen en verantwoordelijkheden van de diverse functies (Gelles, 2016).

  1. Verhoog de veiligheidsaandacht / awareness

Het bespreken van dit onderwerp kan helpen om de aandacht te laten toenemen. Aandacht voor het thema ‘contraterrorisme, extremisme en radicalisering’(CTER) is er in toenemende mate, maar met meer focus voor het externe gevaar. Wat ook nodig is, betreft de aandacht voor het gevaar van binnenuit met niet alleen aandacht voor de direct zichtbare dreigingen. Met name dat laatste is ook van belang tijdens de operatie, bijvoorbeeld de beveiliging van grote evenementen of internationale congressen.  Beleefdheid en vertrouwen zijn goede grondbeginselen. Gelles (2016) geeft als onderdeel van een goed insider threat-programma echter aan ‘trust but verify’. Wees je bewust van HALO-effecten. Iemand die er netjes en vriendelijk uitziet, hoeft niet altijd betrouwbaar te zijn en ook de ervaring bij de beveiliging van evenementen en congressen, leert dat gasten en (hooggeplaatse) functionarissen nog wel eens ongeaccrediteerd binnen wensen te komen.

  1. Verhoog veiligheidschecks en toegangscontroles / beveiliging / cyberbeveiliging

Recent bleek dat een team van experts tot de conclusie kwam dat de beveiliging van politiebureaus ‘superkwetsbaar’ is (AD, 2018). Het blijkt eenvoudig te zijn om toegangssystemen te kraken en passen na te maken. Op diverse plekken is beveiligingstechnologie verouderd. Ook als onderdeel van de insider threat-preventie zijn beveiligingsmaatregelen van groot belang.  Test deze ook periodiek (bijvoorbeeld de red team-oefeningen) en zorg voor het twee- of drie ogen principe bij het opbergen van kostbare materialen. Berg deze ook veilig op en check regelmatig of er niets mist, laat er medewerkers desnoods voor tekenen (Bunn & Sagan, 2016). Heb ook aandacht voor de cyberbeveiliging en de wijze van het delen van data. Wees alert op het intrekken van autorisaties van medewerkers die inmiddels elders werkzaam zijn. Maar belangrijker nog, het gaat met name om de mens- en gedragsgerichte oplossingen, minder om de technische kant (Gelles, 2016). Besef je dat juist de eigen medewerkers goed weten hoe de beveiliging werkt, maar verdenk ze ook niet onterecht.

Verkeerde aannames

Ten slotte wijze Bunn en Sagan (2016) nog op diverse verkeerde aannames die het risico voor gevaar van binnenuit verhogen. Ga er bijvoorbeeld vanuit dat het binnen je eigen organisatie niet voor zal komen, denk dat de achtergrondchecks de verkeerde mensen buiten de deur houden, verwacht dat signalen goed worden opgepakt, denk dat de insider threat altijd alleen werkt, neem slechts enkele beveiligingsmaatregelen, onderschat de organisatiecultuur, ga ervan uit dat beveiligingsregels worden opgevolgd en neem alleen preventieve maatregelen in plaats van tussentijdse acties. Aannames die momenteel herkenbaar worden gepleegd. In de huidige tijdsgeest zou het thema veiligheid vanuit een ander gezichtspunten moeten worden bekeken. Een thema rondom bewaken en beveiligen neemt een steeds prominentere plaats in binnen de politieorganisatie en daarbuiten.

Conclusie

Het gevaar vanuit de eigen organisatie is een niet te onderschatten fenomeen. Het kan variëren van frustraties tot geradicaliseerde denkbeelden tot daadwerkelijke uitvoeringshandelingen zoals het onbevoegd delen van informatie of het (daarmee) meehelpen aan of medeplegen van aanslagen. Van dat laatste aspect zijn in Nederland nog geen bekende voltooide voorbeelden, maar alertheid blijft geboden. Het is van belang om binnen de politieorganisatie een goed insider threat-programma te hebben en met elkaar de juiste mindset te hanteren.
Dit artikel pleit vooral voor bewustwording, oog voor gedrag en aandacht voor het thema, niet specifiek de implementatie van structuren en projecten, die zijn er binnen de politie al genoeg. Hanteer vertrouwen als basis, maar spreek aan en alerteer als daar aanleiding toe is. Uit diverse eerdere casussen is gebleken dat er in de voorfase al ingegrepen had kunnen worden.
Voorkom wel onterechte verdenkingen en zoek daarbij de juiste balans. Naast de directe gevaren vormt daarbij ook de cultuur binnen de eigen organisatie een kwetsbare factor. Denk ook aan politieke-, loyaliteits- en machtsfactoren die een effectieve operationele aanpak kunnen doorkruizen. Bewustwording daarvan kan al een stap in de goede richting zijn om de veiligheid in de toekomst zo goed mogelijk te kunnen blijven waarborgen.

Dr. Benjamin R. van Gelderen is Sectorhoofd Noord en Midden Limburg en Commandant van de Bewakingseenheid Nederland

Referenties
(2016). Overgelopen militair werkte op vliegbasis Gilze-Rijen. Geraadpleegd op 25 november 2018
(2018). Criminelen kraken politiebureau in handomdraai. Geraadpleegd op 25 november 2018
Bakker, E., & de Roy van Zuijdewijn, J.(2016). Terrorisme. Amsterdam: Amsterdam University Press.
Beal, C. (2001). Thank god for police culture. Police Journal Online, 82.
Bunn, M., & Sagan, S.D. (2016). Insider threats. Ithaca: Cornell University Press.
Gelles, M.G. (2016). Insider threat. Oxford: Elsevier.
Greitzer, F.L., Noonan, C.F., Kangas, L.J., & Dalton, A.C. (2010). Identifying at-risk employees: A behavioral model for predicting potential insider threats. Richland, Washington: Pacific Northwest National Laboratory. Paper for the U.S. Department of Energy.
Hoogenboom, B., Huizing, J., Pragt, E., & Bakker, J. (2013). ‘Zo doen we dat hier’.
NOS. (2014). Sabotage Belgische kerncentrale een terreurdaad? Geraadpleegd op 25 november 2018 
Poppe, K. (2018). Nidal Hasan: A case study in lone-actor terrorism. Program on extremism.
George Washington University.

Foto: Terreuroefening in Dordrecht (Roel Dijkstra)

Reageer