De Beneluxtunnel, de kwaadaardige hack en de ingebouwde Organisational Resilience

De afdeling Risico Beheer en Techniek (RBT) van het KIVI (Koninklijk Instituut van Ingenieurs) bestudeert opvallende gebeurtenissen, analyseert die en tracht wegen te vinden technische risico’s beter te beheersen. RBT wil haar gedachtegoed uitdragen aan andere organisaties die ook belangstelling hebben in risicobeheer en risicomanagement.


Vrijdag, 23 februari 2018, verkeer rondom Rotterdam zit vast. Foto nrc.nl

Een van mijn recente columns had als titel “Resilience en Risicobeheer – innige relatie”. Je kunt als columnist maanden lang de ene inzending na de andere produceren zonder te weten of iemand het ooit leest. Juist deze column leverde een tiental reacties op. Ze brengen inzichten. Discussie verdiept. Aandachtspunten:

Waarom die norm Resilience?

Ir. S. te A, schrijft: Wij technici kijken altijd vooruit en anticiperen op komende veranderingen. Dat is al eeuwen zo. Waarom eigenlijk die norm als hij niet gecertificeerd kan worden?  We zijn toch goed in risicomanagement, projectbeheer, kwaliteitsborging en planningdiscipline! Wat is er nu eerder resilience of risicobeheer? Waarom naast risicobeheer ook nog resilience? Waarom een norm waarin ingrijpende incidenten en langzame veranderingen in het zelfde document worden behandeld, terwijl ze zo verschillend van aard zijn? Wij hebben beproefde modellen om grote, uitgebreide, elkaar beïnvloedende systemen in kaart te brengen. Waarom dan die saaie opsomming van ISO 22316?

Centraal thema:

organisational resilience moet al worden ingebouwd bij een eerste voorlopig voorontwerp. Eigenlijk gaat het dan nog slechts om de eerste schetsen voor de voorziening in een behoefte, waarvan we menen, dat die behoefte met behulp van de technologie kan worden vervuld. Als je met collega’s in abstracties van gedachte wisselt bestaat altijd de behoefte een concreet project of een concrete sudden disruption (term van de definitie van BS65000, maar  ook van toepassing op ISO22316) van een systeem voor ogen te houden. Aangezien recentelijk de Beneluxtunnel door een software storing geblokkeerd was geraakt en iedereen dat falen zonder veel technische kennis als zelfgepromoveerd deskundige kan behappen, werd dat langs natuurlijke weg van de discussie het centrale onderwerp.

De kwaadaardige hack

Centraal element in de definitie van Organisational Resilience is het vermogen aan te passen aan de veranderende omgeving. Die omgeving is voor zeer veel organisaties de laatste jaren flink veranderd nu hacks tot de normale, reguliere risico’s behoren. Een kwaadaardige hacker heeft aan de Beneluxtunnel een dankbaar object. Aanvallen op software zijn  gevreesd. 47% van geënquêteerde grote concerns vreest cyberspionnage. Na een computerstoring stond het verkeer in 3 uur tot aan Den Haag vast. Nieuwe dreigingen! Hoe passen organisaties zich aan? Nog een uur er bij en het staat tot Amsterdam vast. We gaan het eens na aan de hand van de laatst bekende storing.

Discussiepunt:

Waar houdt normaal risicobeheer op en begint Organisational Resilience?

De feiten

Door een storing in de software van de Beneluxtunnel is vrijdagmiddag 23 februari 2018 rond Rotterdam en Den Haag een groot verkeersinfarct ontstaan. De tunnel werd aan het begin van de middag in beide richtingen afgesloten. Door de computerstoring waren alle veiligheidssystemen van de Beneluxtunnel (A4) buiten werking.

Rond 16.00 uur was de storing verholpen, en is begonnen met het weer openstellen van de tunnel..

Tijdens de spits stond het op vrijwel alle wegen naar en rond Rotterdam vast en ook in de stad was het druk. Volgens de verkeersinformatie van de ANWB stonden er veel files op de A4, A6, A15, A16 en A20. Tussen Europoort en Rotterdam (A15) stond een file van 22 kilometer.

De theorie volgens ISO22316

Bij het voorontwerp van de weg (opening  in 1967) moet je al vooruit denken wat er zou kunnen gebeuren. Dat is nog gewoon risicomanagement volgens ISO31000. Destijds bestond het begrip software zoals we dat nu kennen nog niet. De toenmalige besturing werd met keiharde bedrading in systemen met veel relais vastgelegd. Pas veel later werd wat nu de software is met upgrades in het systeem geschoven. Toen dat gebeurde heeft men opnieuw het risicomanagementproces moeten doorlopen.  Softwarestoring is een van de vele te identificeren onzekerheden op de lijst. Maar niet alleen dat. Er zijn wel meer soortgelijke risico’s te voorzien. Drukke spits, andere technische storing, stroomstoring, computerstoring, ongeval, personen of langzaam verkeer op de baan. Het begrip hack was er toen nog niet. Het uit de hand gelopen misbruik evenmin.

Redundantie inbouwen, verkleinen kans, verkleinen effect. Voorzorgsbeginsel: contorleerbaar afwegen investeringen, kosten, kans en effect.Dan is het een keer zo ver. Kans K=1. Het ongewilde incident doet zich voor! Het kan. Een kans is nooit K=0. Bovendien zullen we een restrisico moeten accepteren. Daar komt het inbouwen van de resilience van “de” organisatie aan bod. Het gaat dan niet meer over de asset Beneluxtunnel, maar om het samenspel van bestuurders en bestuurs- en beheerslagen met hun uitvoerders dat adequaat in actie zal moeten komen om de schade zo klein mogelijk te houden. De norm heet niet voor niets “Organisational”.