RBT

De Beneluxtunnel, de kwaadaardige hack en de ingebouwde Organisational Resilience

Home Afdelingen Risicobeheer en Techniek Columns De Beneluxtunnel, de kwaadaardige hack en de ingebouwde Organisational Resilience

Toon subnavigatie

De Beneluxtunnel, de kwaadaardige hack en de ingebouwde Organisational Resilience

De afdeling Risico Beheer en Techniek (RBT) van het KIVI (Koninklijk Instituut van Ingenieurs) bestudeert opvallende gebeurtenissen, analyseert die en tracht wegen te vinden technische risico’s beter te beheersen. RBT wil haar gedachtegoed uitdragen aan andere organisaties die ook belangstelling hebben in risicobeheer en risicomanagement.

Een van mijn recente columns had als titel “Resilience en Risicobeheer – innige relatie”. Je kunt als columnist maanden lang de ene inzending na de andere produceren zonder te weten of iemand het ooit leest. Juist deze column leverde een tiental reacties op. Ze brengen inzichten. Discussie verdiept. Aandachtspunten:

Waarom die norm Resilience?

Ir. S. te A, schrijft: Wij technici kijken altijd vooruit en anticiperen op komende veranderingen. Dat is al eeuwen zo. Waarom eigenlijk die norm als hij niet gecertificeerd kan worden?  We zijn toch goed in risicomanagement, projectbeheer, kwaliteitsborging en planningdiscipline! Wat is er nu eerder resilience of risicobeheer? Waarom naast risicobeheer ook nog resilience? Waarom een norm waarin ingrijpende incidenten en langzame veranderingen in het zelfde document worden behandeld, terwijl ze zo verschillend van aard zijn? Wij hebben beproefde modellen om grote, uitgebreide, elkaar beïnvloedende systemen in kaart te brengen. Waarom dan die saaie opsomming van ISO 22316?

Centraal thema:

organisational resilience moet al worden ingebouwd bij een eerste voorlopig voorontwerp. Eigenlijk gaat het dan nog slechts om de eerste schetsen voor de voorziening in een behoefte, waarvan we menen, dat die behoefte met behulp van de technologie kan worden vervuld. Als je met collega’s in abstracties van gedachte wisselt bestaat altijd de behoefte een concreet project of een concrete sudden disruption (term van de definitie van BS65000, maar  ook van toepassing op ISO22316) van een systeem voor ogen te houden. Aangezien recentelijk de Beneluxtunnel door een software storing geblokkeerd was geraakt en iedereen dat falen zonder veel technische kennis als zelfgepromoveerd deskundige kan behappen, werd dat langs natuurlijke weg van de discussie het centrale onderwerp.

De kwaadaardige hack

Centraal element in de definitie van Organisational Resilience is het vermogen aan te passen aan de veranderende omgeving. Die omgeving is voor zeer veel organisaties de laatste jaren flink veranderd nu hacks tot de normale, reguliere risico’s behoren. Een kwaadaardige hacker heeft aan de Beneluxtunnel een dankbaar object. Aanvallen op software zijn  gevreesd. 47% van geënquêteerde grote concerns vreest cyberspionnage. Na een computerstoring stond het verkeer in 3 uur tot aan Den Haag vast. Nieuwe dreigingen! Hoe passen organisaties zich aan? Nog een uur er bij en het staat tot Amsterdam vast. We gaan het eens na aan de hand van de laatst bekende storing.

Discussiepunt:

Waar houdt normaal risicobeheer op en begint Organisational Resilience?

De feiten

Door een storing in de software van de Beneluxtunnel is vrijdagmiddag 23 februari 2018 rond Rotterdam en Den Haag een groot verkeersinfarct ontstaan. De tunnel werd aan het begin van de middag in beide richtingen afgesloten. Door de computerstoring waren alle veiligheidssystemen van de Beneluxtunnel (A4) buiten werking.

Rond 16.00 uur was de storing verholpen, en is begonnen met het weer openstellen van de tunnel..

Tijdens de spits stond het op vrijwel alle wegen naar en rond Rotterdam vast en ook in de stad was het druk. Volgens de verkeersinformatie van de ANWB stonden er veel files op de A4, A6, A15, A16 en A20. Tussen Europoort en Rotterdam (A15) stond een file van 22 kilometer.

De theorie volgens ISO22316

Bij het voorontwerp van de weg (opening  in 1967) moet je al vooruit denken wat er zou kunnen gebeuren. Dat is nog gewoon risicomanagement volgens ISO31000. Destijds bestond het begrip software zoals we dat nu kennen nog niet. De toenmalige besturing werd met keiharde bedrading in systemen met veel relais vastgelegd. Pas veel later werd wat nu de software is met upgrades in het systeem geschoven. Toen dat gebeurde heeft men opnieuw het risicomanagementproces moeten doorlopen.  Softwarestoring is een van de vele te identificeren onzekerheden op de lijst. Maar niet alleen dat. Er zijn wel meer soortgelijke risico’s te voorzien. Drukke spits, andere technische storing, stroomstoring, computerstoring, ongeval, personen of langzaam verkeer op de baan. Het begrip hack was er toen nog niet. Het uit de hand gelopen misbruik evenmin.

Redundantie inbouwen, verkleinen kans, verkleinen effect. Voorzorgsbeginsel: contorleerbaar afwegen investeringen, kosten, kans en effect.Dan is het een keer zo ver. Kans K=1. Het ongewilde incident doet zich voor! Het kan. Een kans is nooit K=0. Bovendien zullen we een restrisico moeten accepteren. Daar komt het inbouwen van de resilience van “de” organisatie aan bod. Het gaat dan niet meer over de asset Beneluxtunnel, maar om het samenspel van bestuurders en bestuurs- en beheerslagen met hun uitvoerders dat adequaat in actie zal moeten komen om de schade zo klein mogelijk te houden. De norm heet niet voor niets “Organisational”.


 

Overzicht. De A15 heeft 22 km; de A13 staat vol; de A4 is afgesloten vanwege de Ketheltunnel, waarin uit overwegingen van veiligheid geen verkeer mag stil staan. Bron anwb.nl

Achtereenvolgens

  1. Risicobeheer proactief, voorafgaande en tijdens de ontwerpfase risico’s inventariseren, analyseren en behandelen. Keuzes. Restrisico nemen.
  2. Preventieve voorzieningen: kans K verkleinen; effect E verkleinen. Nog steeds risicobeheer.
  3. Verdere preventieve voorzieningen: Alarm- en informatiesysteem ontwerpen; scenario voor interventieorganisatie (politie, brandweer, hulpdiensten), toegangs- en afvoerwegen, onderhoudsploeg alert, leverancier software moet 24/7 paraat zijn. Dat moet geregeld zijn voordat er ook maar iets aan de hand is. Nog steeds risicobeheer.
  4. Dynamische preventie is het vooraf organiseren van acties voor het geval een incident zich voordoet. Acties kunnen geoefend worden. Oefenen voor Organisational resilience.
  5. Prepareren van activiteiten in geval K=1. Hier gaat risicobeheer verder over op organisational resilience. Het zijn nu organisatorische acties. Minder het accent op asset, maar op samenwerking van mensen.
  6. Preparatie wanneer men voorziet dat de kans groot is dat er iets op handen is. Bij de Beneluxtunnel wellicht een wedstrijd in het stadion. Of terroristische preparaties of sabotage aan verkeerslichten. In dat stadium zet men de eerder genomen maatregelen op scherp. Verhoogde waakzaamheid. 
  7. Interventie wanneer het incident zich voordoet – de hack met softwarestoring is een feit -  maatregelen nemen die schade kunnen beperken. Snelle onderzoeksmethoden voor analyse storing in software. Adequaat personeel. Bevoegdheden in te grijpen in systemen. Back-up toegang. Alternatieven voor het verkeer definiëren anders dan: “Niet de weg op gaan”.
  8. Oplossen storing. Communicatie tussen hulpdiensten. Schadeherstel van de hardware. In het geval van de computerstoring door hacking kan volstaan worden met het weer in bedrijf stellen van de software, waardoor de verkeerslichten weer functioneren.
  9. Nazorg. Beredderen. Verkeer weer langzaam op gang laten komen. Nog even handhaven van adviezen om te rijden en vol staande wegen te mijden. Aandachtspunt is het moment van vrijgeven van de Ketheltunnel, waar doorstroming is vereist.
  10. In gevallen van fysieke schade ook nog herbouwen. Hier niet van toepassing.

ISO22316 bevat niet een dergelijk stappenplan van achtereenvolgende acties. De norm noemt slechts de eigenschappen die een organisatie zou moeten hebben en de kwaliteiten waarover ze zou moeten beschikken.

Is die nieuwe ISO-norm handig om deze computerstoring door hacking voortaan sneller op te lossen? Ik betwijfel het. Al decennia lang ontwerpt men beveiligingssystemen, omkaderd door veiligheidsbeleid op landelijk, provinciaal, stedelijk, regionaal, bedrijfsmatig, wijkmatig niveau. Het is eerder zo dat de uitvoerige wereldwijde ervaring is samengebracht in een notitie over de kwaliteiten van een ideale organisatie. Hooguit is de norm een goede hulp nog eens na te lopen of de vereiste kwaliteiten en eigenschappen van de menselijke organisatie compleet aanwezig zijn. Het leest niet zo prettig. Lekker toegankelijk is ISO22316 niet. Hij is behoorlijk abstract.

 

Mr. Ing. John van der Puil ©
Bestuurslid Afdeling RBT van het KIVI
Portefeuille Analyse & Ontwikkeling

Op persoonlijke titel.

 

Laat hier je reactie achter