‘Interne dreigingen worden vaak over het hoofd gezien omdat organisaties er vanuit gaan dat medewerkers te vertrouwen zijn’

Naar aanleiding van de ontwikkelingen in het onderzoek naar sabotage in Doel 4, willen Mathias Reveraert en Tom Sauer (beiden UAntwerpen) organisaties bewust maken van het gevaar van een mogelijke ‘insider threat’, of interne dreigingen.

Uit het gerechtelijk onderzoek naar de sabotage in de kernreactor Doel 4 – één van de zeven kernreactoren van ons land – blijkt dat voorafgaand aan de sabotage die plaatsvond in augustus 2014 nog twee doelbewuste pogingen werden ondernomen om de werking van de kerncentrale te verstoren. Hoewel de identiteit van de dader of daders tot op heden nog steeds onbekend is, staat vast dat de sabotageacties het werk zijn van één of meerdere van de eigen medewerkers. De gebeurtenissen in Doel 4 zijn een voorbeeld van de zogenaamde ‘insider threat’, een dreiging die gevormd wordt door medewerkers die toegang hebben tot of kennis hebben van de organisatie.

Meer dan 5 jaar geleden, op 5 augustus 2014, werd de werking van de stoomturbine in het niet-nucleaire gedeelte van Doel 4 verstoord door kwaadwillig tienduizenden liters smeerolie te laten wegvloeien. De reactor werd onmiddellijk stilgelegd. Tientallen miljoenen euro’s waren nodig om de schade te herstellen, waardoor de reactor pas in december 2014 opnieuw functioneerde. De eerste vaststellingen van het incident maakten snel duidelijk dat er kwaad opzet mee gemoeid was: een medewerker, van Engie of van één van de onderaannemers, had zijn of haar toegang tot de stoomturbine misbruikt om de kerncentrale doelbewust te saboteren.

Het moge duidelijk zijn dat elke publieke en private organisatie – groot of klein – gevoelig is aan de problematiek van ‘insider threat’. De meeste organisaties (zeker bedrijven) hebben waardevolle middelen die men wenst te beschermen, zoals gevoelige informatie of financiële middelen. Tegelijkertijd zijn diezelfde organisaties genoodzaakt om medewerkers voor de uitoefening van hun job toegang tot of kennis van deze waardevolle middelen te geven. Een insider threat, of interne dreiging, verwijst naar de mogelijkheid dat een medewerker bewust misbruik maakt van deze toegang of kennis en daardoor schade toebrengt aan de organisatie. De schade kan allerlei vormen aannemen, waaronder financiële verliezen, materiële schade en reputatieverlies. Zoals het incident in Doel aantoont, kunnen de acties van één of meerdere onbetrouwbare medewerkers met geautoriseerde toegang of kennis zware consequenties hebben, zeker in sectoren die vallen onder de noemer kritische infrastructuur (energie, transport, elektronisch betalingsverkeer, internet).

In tegenstelling tot externe belagers die verschillende veiligheidshorden moeten nemen, is het voor ‘insiders’ eenvoudiger om toe te slaan omdat ze zich reeds binnen de veiligheidsperimeter bevinden. Ze zijn met andere woorden op de hoogte van de manieren om de veiligheidsmaatregelen te omzeilen, bezitten de nodige kennis van zaken om toe te slaan en kunnen zich zonder zichzelf verdacht te maken toegang verschaffen tot de beoogde buit.

Toch wordt het probleem van interne dreigingen vaak over het hoofd gezien omdat organisaties er vanuit gaan dat hun medewerkers te vertrouwen zijn. Dat basisvertrouwen is nodig om een organisatie naar behoren te laten functioneren. Anderzijds gebeurt het jammer genoeg af en toe dat dat vertrouwen door individuele werknemers geschonden wordt, en dit om verschillende redenen. In de huidige maatschappelijke context wordt vaak meteen gedacht aan terrorisme, zoals bijvoorbeeld de ICT-medewerker van het politiekantoor in Parijs die enkele weken geleden vier collega’s vermoordde na vermoedelijk geradicaliseerd te zijn. Ook in het geval van de sabotage van Doel 4 was terrorisme aanvankelijk een mogelijke piste, die ondertussen door het parket evenwel ontkracht werd.

Vandaar dat we ons niet blind mogen staren op het gevaar van radicalisering en terrorisme, omdat ook meer door-de-weekse motieven, zoals ontevredenheid, een drijfveer kunnen zijn. De sabotage in Doel kan bijvoorbeeld ook het werk zijn van een medewerker die handelde uit ontevredenheid over de nakende kernuitstap in 2025 en die via zijn of haar actie het belang van kerncentrales wilde aantonen. Ook hebzucht kan aan de basis liggen van een interne dreiging. In een reactie op de 39 doden die gevonden werden in de koelwagen in het Verenigd Koninkrijk zei vrachtvervoerder Eric Mattheeuws in ‘De Wereld van Vandaag’ het volgende: ‘Wij hebben 70 of 80 procent goede mensen, maar we hebben natuurlijk ook die 1 of 5 procent die zonder problemen geld aannemen en meedoen aan dergelijke malafide praktijken.’ Omkoping en corruptie, soms om persoonlijke schulden af te lossen, kunnen bijgevolg ook een aanleiding zijn tot een interne dreiging.

Veiligheidsverantwoordelijken binnen organisaties hebben dus best aandacht voor zowel externe als interne dreigingen. Hiermee bedoelen we niet dat organisaties paranoïde moeten worden en een sfeer van wantrouwen op de werkvloer moeten creëren. Organisaties moeten zich enkel bewust zijn van de problematiek en moeten rekening houden met de mogelijkheid dat ook een interne dreiging zich zou kunnen voordoen binnen hun organisatie. Preventieve maatregelen zijn onder meer een adequate screening zowel voorafgaand aan als tijdens de tewerkstelling, waarbij naast de kwaliteit ook de integriteit van de medewerker getoetst wordt.

Belangrijk is ook dat bescherming tegen interne dreigingen niet uitsluitend op de schouders rust van de veiligheidsverantwoordelijken, maar dat iedere medewerker zich verantwoordelijk voelt voor de veiligheid van de organisatie. De bottom-line is dat werknemers die zich goed in hun vel voelen – zowel op het werk als thuis – niet zullen overgaan tot dergelijke praktijken.

Mathias Reveraert doctoreert over de problematiek van insider threat aan de Universiteit Antwerpen. Tom Sauer is professor Internationale Veiligheid aan de Universiteit Antwerpen.