“En kijk, dan stel je hier code 7500 in, en dan draai je deze knop op
‘zenden’, en dan weet de luchtverkeersleiding dat we gekaapt zijn.” Oeps. De
piloot van Air Europa vlucht UAX1094 van Amsterdam naar Madrid, die een lesje hoe gebruik ik de transponder aan een
piloot in opleiding gaf, was even vergeten dat het apparaat nog aan stond,
aldus de berichtgeving in de media. Die transponder zendt normaliter een code
uit die het vliegtuig identificeert; de luchtverkeersleider ziet dan niet
alleen een vliegtuig op zijn radarscherm, maar ook wélk vliegtuig het is. Maar
je kunt die transponder dus kennelijk ook gebruiken om stiekem een noodsignaal
uit te zenden. Tot afgelopen woensdag dan, want vanaf nu weten alle kapers in
spé dit ook en zullen ze erop toezien dat de piloten met hun tengels van de
transponder afblijven.
Gelukkig was het loos alarm en konden we rustig gaan slapen. En we
hebben er een goede oefening aan overgehouden die heeft laten zien hoe snel
alle diensten – en dan waren er nogal wat – in de benen kwamen om de ontstane
situatie het hoofd te bieden. Never waste
a good crisis, zeggen we dan: doe er je voordeel mee, dan heb je er
tenminste nog wat aan.
Maar wás het wel echt een fout van de piloot? Het zou mij niet verbazen
als dit een in het grootste geheim voorbereide oefening was. Die gedachte kwam
bij me op toen ik op het journaal zag hoe in een vliegtuigsimulator het
instellen van de transponder gedemonstreerd werd. De code werd ingesteld met
behulp van draaiknoppen. Eerder had ik gelezen dat Benno Baksteen, nog steeds
het boegbeeld van de Nederlandse verkeersvliegerij, uitlegde dat je bij het intoetsen
van de code gemakkelijk een dikke-vinger-fout kunt maken. Hé, hoezo intoetsen?
Ik heb foto’s opgezocht van de transponder in de Airbus A330. En wat denk je?
Google toont twee verschillende types, de een met draaiknoppen en de ander met
een toetsenbord. Dat helpt me niet echt verder. Als ik echter specifiek zoek op
foto’s van de cockpit van de A330 van Air Europa en daarop probeer de
transponder de vinden, dan herken ik wel zo’n ding met druktoetsen. De theorie
van meneer Baksteen zou dus kunnen kloppen. Maar dan nog. De piloot komt er ook
heel gemakkelijk mee weg. Terwijl hij in het vliegtuig zijn excuses heeft
gemaakt voor het activeren van het kapingsalarm, meldt zijn werkgever dat het
om een technisch probleem ging en dat verder onderzoek niet nodig is. Misschien
zaten de captain en zijn baas gewoon in het complot (in ruil tegen korting op
de landingsrechten of zo).
Je kunt de mooiste draaiboeken voor rampscenario’s schrijven, maar als
je de daadwerkelijke uitvoering ervan nooit oefent, dan blijven het toch
papieren tijgers. Je kunt op twee manieren oefenen: met en zonder medeweten van
de betrokkenen. Die laatste manier is het meest realistisch en natuurlijk ook
het heftigst voor de uitvoerenden.
Er was eens een rekencentrum dat een crisisoefening hield. Het scenario
– een bommelding – was slechts bij een kleine groep bekend, het management wist
van niets. Ondertussen was het wel een groots opgezette oefening, waar ook de
politie en de Explosieven Opruimingsdienst aan te pas kwamen. Voor één van de
EOD’ers was deze oefening zelfs het eindexamen. De politie oefende in het
opsporen van explosieven in een voor hen onbekende omgeving. Het betrokken
rekencentrum hield er een ontruimingsoefening onder realistisch ogende
omstandigheden aan over, plus natuurlijk de crisisoefening voor het management,
waar het allemaal om was begonnen.
Tijdens deze oefening trad ook een echte prio-1-verstoring in de ICT op.
Alle medewerkers waren echter naar huis gestuurd vanwege die bommelding. Desondanks
werd de verstoring netjes afgehandeld – thuis bij de betrokken medewerkers. We
vinden het tegenwoordig heel normaal om thuis te werken, en dit geval toont aan
dat ook de organisatie er belang bij heeft dat dit mogelijk is. En dan heb ik
het niet over het bezuinigen op vierkante meters hè. In feite was die echte
verstoring een (ongeplande) oefening in een oefening. Hoe mooi wil je het
hebben?
De captain van vlucht UAX1094 sloot zijn excuusbericht af met: “Thank
you very much for choosing Air Europa.” Kennelijk is het er bij
luchtvaartpersoneel zodanig ingeramd dat ze altijd met zo’n zin moeten eindigen
(wie kent ‘m niet?), dat ze dat zelfs doen in een situatie waarin het misschien
wat minder handig is om de naam van de maatschappij nog eens te benadrukken.
En in de grote boze buitenwereld …
... zijn er ook software-updates voor vliegtuigen.
... zijn vliegtuigbouwers erg begaan met vliegveiligheid, maar valt er
nog wel wat te winnen op het gebied van informatiebeveiliging.
... is het internet verrijkt met een excuusgenerator voor als je bedrijf
gehackt is.
... kan Facebook daar meteen al gebruik van maken.
... kun je je klanten natuurlijk ook serieus informeren over een
incident, zoals dit beveiligingsbedrijf dat deed nadat de activiteiten van een
rotte medewerker werden ontdekt.
... is de vensterbank niet zo’n handige plek voor je slimme speaker.
... betekent het uitzetten van alle Office-macro’s op de Mac nog niet
dat er helemaal geen macro’s meer draaien.
... verraadt je deurbel je wachtwoord.
https://www.security.nl/posting/630604/Ring-videodeurbel+lekte+wifi-wachtwoord+tijdens+het+instellen
... kan CEO-fraude behoorlijk in de papieren lopen.
... ziet de minister van BZK geen problemen in het kunnen uitlezen van
de paspoortchip.
Geen opmerkingen:
Een reactie posten