De kwestie
Arme, arme NS. Na de Betuwelijn en de HSL-zuid is er weer een mega-project dat dreigt te ontsporen. Dit keer gaat het om de OV-Chipcard. Wederom is het project bijna afgerond en komen er te elfder ure ernstige gebreken aan het licht. En opnieuw heeft het te maken met de beveiliging. Is hier sprake van een patroon?
Het is even amateuristisch als schrijnend dat om te zien dat Tans Link Systems, de projectontwikkelaar van de OV-Chipcard, met sussende woorden probeert om de gekozen Mifare RFID chip nog voor de schier onafwendbare afgang te behoeden.
“Suggesties dat de OV-chipkaart hiermee fraudegevoelig is zijn onjuist. Er is geen enkele aanleiding om de huidige kaarten in de markt te vervangen en de uitrol in Nederland te vertragen.”
Nee, nee. Deskundigen van naam en faam kunnen beweren wat zij willen, dat zijn slechts “suggesties”. Onze kaart is gewoon veilig en daarmee basta. Geen paniek! Wij zeggen toch dat-ie veilig is? Vertrouwt u ons maar!
Helaas voor Trans Link Systems, ook zij zullen de onafwendbare les in nederigheid gaan leren. Let maar op. En dan is er weer een OV-project waarin al honderden miljoenen zijn geïnvesteerd dat voorlopig niet in gebruik genomen wordt. Na de miljardenaffaires rondom braakliggend nieuw spoor, opnieuw een aderlating.
Bij een normaal bedrijf zou bij zo’n opeenstapeling van financiële rampen de continuïteit in gevaar komen. Als de balans het al aan zou kunnen, dan is het imago wel dusdanig geschonden dat een zelfstandige toekomst erg lastig wordt. Er zouden ook zeker koppen zijn gerold. Maar zou dat ook betekenen dat zo’n bedrijf wel effectieve voorzorgsmaatregelen had genomen?
Het valt niet te ontkennen dat het makkelijk is om achteraf problemen te voorspellen. Het is ook waar dat de NS dit soort dingen bepaald niet in z’n eentje kan beslissen, maar afhankelijk is van het complexe krachtenveld waarin de OV-partners en de politiek hun invloed doen gelden. Maar er valt toch ook niet aan de indruk te ontkomen dat de risico’s in alle drie deze projecten niet effectief gemanaged zijn. We weten natuurlijk als buitenstaanders niet precies of de risico’s die zich nu manifesteren vooraf op het juiste niveau onderkend zijn of niet. Zo niet, dan heeft de risico analyse alvast ernstig tekort geschoten. De “beslissers” zijn dan niet goed of niet volledig geïnformeerd en kunnen zich afvragen wat zij in de toekomst anders zouden moeten doen om wel tijdig de juiste informatie onder ogen te krijgen.
Aan de andere kant, als de informatie wel op het juiste moment op de juiste tafel lag, zou er dan ook iets mee gedaan zijn? Zijn er passende maatregelen bedacht om de onderkende risico’s te beheersen? Het heeft er alle schijn van dat dit niet het geval is geweest. Ga maar na. De HSL-zuid ligt stil omdat er gekozen is voor een nieuw beveiligingssysteem.
“Het is zo slecht gesteld met het ERTMS-beveiligingssysteem voor de hsl-zuid dat NS Hispeed de lijn tussen Amsterdam en de Belgische grens voorlopig niet in gebruik neemt. ‘De resultaten van de testen in Frankrijk zijn dramatisch slecht’, zegt commercieel directeur Jan-Willem Siebers in NRC Handelsblad. Het spoorwegbedrijf vertrouwt de nieuwe computergestuurde technologie onvoldoende en omdat de regering heeft afgezien van een back-upsysteem, rijden de treinen tot nader order over oud spoor en op conventionele snelheid.”
De lijn is in april 2007 opgeleverd, en blijft nu naar verwachting tot 2009 ongebruikt liggen. Een “back-upsysteem” had deze problemen kunnen voorkomen. Als architect denk ik dan: zou je bij de toepassing van nieuwe, onbewezen, maar cruciale beveiligingstechnologie niet sowieso een back-upsysteem willen installeren? Wat als er straks echt een ramp gebeurt omdat het nieuwe systeem een bugje heeft? Zijn ze in andere Europese landen net zo optimistisch? Ik voorspel alvast een parlementaire enquête.
De Betuwelijn rijdt ook nog niet. Volgens een brief van de minister uit begin 2007 duurt het nog minstens tot 1 juli 2008 totdat de problemen met de nieuwe beveiliging zijn opgelost. Volgens een bericht van 1 augustus 2007 kampt
“De anderhalve maand geleden geopende Betuwelijn […] opnieuw met problemen. De afgelopen twee weken hebben er geen commerciële goederentreinen meer gereden vanwege een te hoog aantal storingen met het veiligheidssysteem European Train Control System (ETCS).”
ETCS blijkt bij nadere bestudering onderdeel van hetzelfde Europese beveiligingssysteem als ERTMS. De eerste is onderdeel van de trein, de tweede van het baanvak. Ik concludeer voorzichtig dat ook de Betuwelijn zonder back-upsysteem is uitgevoerd. Nou rijdt de trein niet zo hard door de Betuwe als een HSL, maar aan de andere kant, hij rijdt wel met gevaarlijke stoffen. Wat zou zo’n back-upsysteem eigenlijk kosten?
Terug naar de OV-Chipcard. Een chipknip, maar dan contactloos te gebruiken. Je hebt in een flits betaald. Men heeft gekozen voor het toepassen van bewezen chiptechnologie. Hoewel, in een wereld waarin de rekenkracht iedere anderhalf jaar verdubbelt, mag je tien jaar oud misschien best ‘op leeftijd’ noemen. En in de wereld van de cryptografie is tien jaar oud misschien wel hopeloos verouderd. Het is immers slechts een kwestie van tijd voordat beveiliging wordt gekraakt. Het is vanuit het oogpunt van beveiliging verstandig om tijdig over te stappen op een nieuwere technologie. Je mag hopen dat ook Trans Link dit wist dat de levensduur van de Mifare op z’n einde loopt en de migratie naar een betere chip in het geheim al aan het voorbereiden is. In dat geval hoeft die overgang nu misschien niet zo erg veel extra tijd te kosten.
Er waren in alle drie gevallen voor de hand liggende risico-beheersende maatregelen voor handen. Die maatregelen hadden natuurlijk wel extra geld gekost. Ze waren dat achteraf wel waard geweest . Maar ja… het gaat meestal om de vraag: Hoeveel is veiligheid je vooraf waard?
Wat te doen?
Hoe kijk je als architect tegen dit soort vraagstukken aan? Vertrouw je ooit op stoere uitlatingen die beweren dat met de beveiliging geen risico’s gemoeid zijn?
Uit eigen ervaring weet ik dat beveiligingsrisico’s regelmatig onderschat worden. Er is vaak een enorm vertrouwen in het technisch vernuft van specialisten. Misschien is er bij sommigen ook wel een sterke weerzin om zichzelf in de netelige materie te verdiepen. Liefst ‘managen’ ze het buiten de scope van het project. “Kunnen we er niet beter een apart project van maken?” “Dan kunnen wij ons tenminste op de hoofdzaken richten.” Op zo’n moment wordt het tijd om op je tellen te gaan passen.
Als architect kun je gewoon niet om risico's heen. Verdiep je daarom altijd in het risicoperspectief. Het risico van het toepassen van een nieuwe technologie kun je kwalitatief en kwantitatief afwegen tegen de opbrengsten. Het risico van het toepassen van een verouderde technologie kun je afwegen tegen de besparingen. Risico’s kun je beheersen door maatregelen te nemen. Maatregelen kosten extra geld, als ware het een verzekeringspremie, en introduceren soms nieuwe risico’s. Het gaat uiteindelijk om de balans. En die balans mag je meenemen bij het maken van de fundamentele ontwerpkeuzes. Dan zul je zien dat je in de praktijk vaker gaat kiezen voor een minder riskant scenario.
Moet je als architect zelf zo’n risico analyse uitvoeren? Een diepgravende risico-analyse uitvoeren is al gauw veel en gespecialiseerd werk. Daar kun je dus het best een specialist voor inhuren. Een architect zal zelf de regie in handen willen nemen, bijvoorbeeld door de verschillende risicoscenario’s op te stellen, door de resultaten vanuit het perspectief van de opdrachtgever te interpreteren, en door uiteindelijk een goed onderbouwde aanbeveling te doen van het voorkeursscenario.
Dan blijft er nog één kwestie over. Stel dat je als architect de faalkans van een project zo hoog inschat dat wat jou betreft absoluut tegenmaatregelen geboden zijn, maar je kunt je opdrachtgever er niet van overtuigen daarvoor geld vrij te maken. Hij zegt heel stellig: “Ik neem dat risico wel”. Wat doe je dan?
Als je verantwoordelijkheid wilt claimen voor het succes, dan moet je ook verantwoordelijk durven zijn voor het falen. “Ik raad het af, maar het is jouw verantwoordelijkheid”, zou een zwaktebod zijn. Jij bent tenslotte de professional. Jouw reputatie staat op het spel… Ik voel alweer een nuchtere risicoanalyse aankomen. Misschien moet je díe maar eens wél zelf uitvoeren…
In deze kwestie wordt een actueel architectuurthema op een scherpe manier geanalyseerd. Het is de 2de in een reeks kwesties die op dit weblog gepubliceerd zal worden.
Posts
Geen opmerkingen:
Een reactie posten