De nieuwe gevangenis van Haren mag je geen gevangenis noemen. Geen sleutels, maar badges. Valt zo’n gevangenis dan ook niet makkelijker te hacken? ‘Euh, goede vraag…’
Midden deze maand zullen de eerste gevangenen vanuit diverse locaties verhuizen naar de nieuwe gevangenis van Haren. Gevangenis is al het foute woord, want officieel moet ik spreken over ‘het dorp’. Dat dorp biedt plaats aan 1.190 gedetineerden, met een focus op de ‘menselijke aanpak’. Want de hoge recidivecijfers in ons land – zeventig procent van de bajesklanten komt ooit opnieuw in aanraking met justitie – moeten omlaag, luidt het. De nieuwe gevangenis is op maat van die filosofie gebouwd. Respect geven betekent respect terugkrijgen. Zoiets.
Het gevangenisdorp is ingedeeld in leefgemeenschappen met telkens maximaal 35 gedetineerden. En wat ons als it’ers natuurlijk opvalt: ze hebben net als de cipiers een badge om de hals hangen en kunnen zich in een open regime acht uur per dag vrij bewegen op hun afdeling. De badge doet de rest. Ze opent deuren. Tenminste, die deuren die open mogen.
Stilte
Kan zo’n badge-gevangenis niet gehackt worden? Het was zowat de eerste vraag die werd gesteld aan de gevangenisdirecteur toen hij op de radio volop het project aan het toelichtten was. Waarop de directeur aarzelend reageerde. ‘Euh, hacken? Ik denk het niet’, klonk het na een korte stilte. Al hebben die stiltes op de radio ook altijd de neiging om langer te duren dan ze eigenlijk zijn.
‘Maar opvallend dat u het me vraagt over dat hacken’, vervolgde hij, ‘want tijdens de rondleiding gisteren voor de pers vroegen ze mij dat ook al.’ Daarna ontweek de directeur de vraag door te stellen dat hij geen it’er was, en dat ze bij hem dus eigenlijk niet met zulke zaken moesten afkomen. Maar hij dacht en vermoedde dat het allemaal wel in orde zou zijn. En daarmee was de kous af.
Natuurlijk is de directeur geen it’er. En ook geen security-specialist. Maar beveiliging is in elke gevangenis, en dus ook in een badge-gevangenis, nu eenmaal een kernactiviteit. En dus zou je verwachten dat je op z’n minst op de hoogte bent over de risico’s, en wat je daar tegenover zet. Let wel, ik begrijp de onzekerheid van de directeur best, maar eigenlijk is die niet meer van deze tijd. Vandaag moet elke ceo ook een beetje ciso zijn. Oftewel een chief information security officer die verantwoordelijk is voor het informatiebeveiligingsbeleid. Daarvoor is it security vandaag te belangrijk geworden. En zijn de risico’s te groot.
Cipier
Opvallend was dat ik enkele dagen geleden een cipier op de radio hoorde vertellen over datzelfde project van de nieuwe gevangenis in Haren. Zij was ietsje minder enthousiast dan haar directeur over de overgang naar de nieuwe instelling. Ze erkende dat er nog veel werk was en klaagde ook over het grote personeelstekort. Terecht, leek me.
Maar ze kon wel een helder antwoord geven op de it-vraag. Op basis van wat haar was verteld en uitvoerig toegelicht was er in de badge-gevangenis geen gevaar voor een cyberhack, stelde ze. Ook zij was geen it’er.
