Domme beveiliging

Vorige week gaf ik een lezing in de RAI in Amsterdam. Er was daar een groot driedaags congres van Safety Security Amsterdam. Ik was gevraagd wat te vertellen over camerabewaking. Ik had mijn kaartje al in mijn zak – de dag voor het congres had ik namelijk op een website een formulier ingevuld en daarna kon ik het kaartje zelf uitprinten. Ik vond het wel een beetje overdreven dat ik mijn woonadres, werkadres, telefoonnummer (werk en prive), geboortedatum en werkgever moest invullen. Maar ik ben er inmiddels wel aan gewend om op internet van alles over mezelf in te vullen. En ik kreeg er dus een zelf uitgeprinte kaart voor terug met een indrukwekkende streepjescode. ‘Dat zal mij met gezwinde spoed naar binnen kunnen loodsen’, dacht ik.

Stevige beveiligers
Bij de ingang van de hal stonden twee stevige beveiligers aan de voet van de roltrap. Ze hadden oortjes in, walkie talkies op hun heup en een scan-apparaat in de hand. Ik liet mijn toegangskaart met streepjescode zien. Ze keken verbaasd en stuurden me naar balie A voor een echte toegangskaart. Die persoon stuurde me naar balie B. Die stuurde me naar balie C. Die stuurde me weer terug naar balie A.

Bij balie A kreeg ik, bij nader inzien, toch een pasje. Na het scannen van de code op mijn toegangsbrief kreeg ik een pasje met weer een streepjescode. Ik liep naar de roltrap.

‘Dit is het toegangsbewijs voor de conferentie. U heeft ook een toegangsbewijs nodig voor de beurs,’ zei de beveiliger.

‘Maar ik hoef niet naar de beurs,’ zei ik,’ik geef een presentatie op de conferentie.’

‘De conferentie is alleen te bereiken via de beurs, dus u heeft ook een toegangsbewijs nodig voor de beurs.’

‘Hoe kom ik aan een toegangsbewijs voor de beurs?’ vroeg ik, ondertussen op mijn horloge kijkend.

‘Bij balie D’, zei de beveiliger.

Bezoekerspasje
Bij balie D keek de medewerker me verbaasd aan toen ik vroeg om een toegangsbewijs voor de beurs. Het bleek honderd euro te kosten en die wilde ik niet betalen. Toen ik haar mijn andere kaartje toonde, liep ze naar een van de beveiligers bij de roltrap.

‘Heeft deze meneer ook een kaartje nodig voor de beurs om naar de conferentie te mogen?’

De beveiligers knikten en de medewerker van balie D liep weer terug.

‘Wilt u dan uw persoonlijke registratie invullen op deze computer?’

‘Nee’, zei ik, ‘ik heb al die gegevens al ingevoerd en dat ga ik niet nog een keer doen.’

‘Ik geef u groot gelijk’, zei de medewerker van balie D en gaf me een bezoekerspas uit een kartonnen doos.

Ik liep naar de beveiliger onderaan de roltrap, toonde mijn bezoekerspas met streepjescode, de code werd gescand en de beveiligers wensten me een prettige beurs.

Techno-controle versus menselijkheid
We leren hier drie lessen over techno-beveiliging. Ten eerste blijkt dat dit soort techno-toegangscontroles altijd kunnen worden omzeild. Praat even met een aardige medewerker en je krijgt vrij makkelijk een anonieme bezoekerspas.

Ten tweede blijkt dat het werk van beveiligers in dit soort systemen vernauwd wordt tot het scannen van streepjescodes. Zij voldeden aan hun opdracht, maar hebben willens en wetens een bezoeker met een anoniem bezoekerspasje binnengelaten. Zij wisten dat ik me niet heb geregistreerd, maar ze lieten me gewoon binnen. Zij maken zich niet druk om veiligheid, maar om het scannen van streepjescodes. Mocht er iets misgaan, dan treft hen geen blaam, maar de medewerker van balie D.

Ten derde, en als belangrijkste les, blijkt dat beveiliging zijn doel makkelijk voorbijschiet. Deze conferentie heeft als doel zoveel mogelijk bezoekers naar binnen te lokken. In de praktijk is er een muur omheen gebouwd. Gooi open die deuren en ontvang je gasten op een menselijke manier. Dat vergroot de kans op een prettig en succesvol congres. Ik zal in elk geval met lichte tegenzin reageren als ik word gevraagd volgend jaar weer langs te komen.