Gewoontegetrouw stapte Paul
in de stoptrein van Apeldoorn naar Deventer Colmschate, net als een boel andere
forensen. Normaliter stapt de machinist in Apeldoorn uit, loopt naar de andere
kant van de trein en rijdt deze weer terug naar waar hij vandaan kwam. Zo niet
echter op die bewuste dag. De machinist dacht dat zijn dienst erop zat. En weg
was hij.
Toen de treinpassagiers dat
door hadden, stapten ze ook uit, want vanaf perron vier zou weldra de intercity
naar het oosten vertrekken. Toen ze het zich in die trein gemakkelijk hadden
gemaakt, nadenkend over hoe ze vanaf het intercitystation op hun eindbestemming
moesten komen, werd echter duidelijk dat ze die puzzel niet meer hoefden op te
lossen. De machinist van de intercity was namelijk ter ore gekomen dat de trein
op het andere perron geen meester (leuk spoorwegjargon) had, en om redenen waar
wij slechts naar kunnen gissen had iemand – de machinist, de treindienstleider?
– beslist dat de intercitymachinist de stoptrein zou overnemen. En zo kon het
gebeuren dat uiteindelijk een lege stoptrein richting Deventer vertrok en een
volle intercity in Apeldoorn strandde.
Wat kunnen we leren van deze
gebeurtenissen? Laat ik om te beginnen een open deur intrappen: mensen maken
fouten. En als meerdere mensen, die in hetzelfde proces zitten, min of meer
gelijktijdig fouten maken, dan wordt de impact groter. Eerst was het probleem
van Paul overzichtelijk: hij moest van het grote station op zijn eindbestemming
zien te komen, terwijl zijn fiets een station verderop stond. Door de dubbele
fout was Pauls probleem groter geworden: hij was nog steeds in Apeldoorn en zou
dus op z’n minst later dan zijn bedoeling was thuis zijn.
Ook NS had een dubbel
probleem: eentje op personeelsgebied en eentje op materieelgebied. Wie moest de
in de steek gelaten intercity uit Apeldoorn wegrijden? Beide problemen zitten
in deze ene zin: “wie” en “wegrijden”, als in: de trein is nu elders nodig,
maar als hij daar niet beschikbaar is, hoe moeten de mensen die ermee zouden
moeten reizen vervoerd worden? Ik denk dat die dag nog aardig wat mensen
vertraging hebben opgelopen en in een propvolle trein hebben gezeten.
Tot zover de open deur. Maar er valt meer te
leren. Bijvoorbeeld dat er een verschil kan zijn tussen wat je denkt te weten
en hoe het echt zit. Die eerste machinist was ervan overtuigd dat hij voor die
dag klaar was. Omdat hij dat zo zeker wist, heeft hij niet nog even z’n rooster
gecheckt. Iets dergelijks heb ik laatst meegemaakt met een leverancier. Als je
bij hem iets bestelt, dan stuurt hij een mailtje naar een beheeradres van jouw
internetdomein. Als je dat mailtje beantwoordt, dan toon je daarmee aan dat jij
de eigenaar van dat domein bent. In hun procedure (in jargon liefkozend een
SOP’je geheten: Standard Operating Procedure) staat dat ze dat mailtje moeten
sturen naar webmaster@hetdomeinwaarhetomgaat.nl. In dezelfde SOP staat een
uitzondering: als het om een bestelling van óns gaat, dan moet dat
controlemailtje niet naar webmaster, maar naar postmaster, omdat achter
webmaster collega’s zitten die helemaal niets met deze materie te maken hebben,
terwijl we postmaster wél zelf in de hand hebben.
Web- en postmaster zijn zogenaamde administratieve
contacten
die standaard bij een internetdomein horen.
Als je “iets moet” van de houder van een domein
maar geen persoonlijk e-mailadres kent,
dan kun je daarheen mailen.
Voorbeelden van internetdomeinen zijn
overheid.nl en europa.eu.
die standaard bij een internetdomein horen.
Als je “iets moet” van de houder van een domein
maar geen persoonlijk e-mailadres kent,
dan kun je daarheen mailen.
Voorbeelden van internetdomeinen zijn
overheid.nl en europa.eu.
In een SOP staat stap voor
stap uitgelegd wat je moet doen. Ontzettend handig voor nieuwkomers. Maar als
je zo’n procedure x keer hebt uitgevoerd, raak je natuurlijk vertrouwd met de
stappen. Uiteindelijk kijk je amper nog naar je SOP, omdat je het toch wel
weet. Maar bij uitzonderingen gaat het dus mis. Het controlemailtje van die
leverancier wordt soms naar onze webmaster in plaats van naar de postmaster
gestuurd. Gevolg: vertraging in de bestelling, met als worst case
onbeschikbaarheid van onze diensten. Leerpunt: als het om belangrijke zaken
gaat, kijk dan toch maar in je beschrijving of rooster, ook als dat niet nodig
lijkt.
Een bekende NS-slogan
luidde: waar zouden we zijn zonder de trein? Paul weet daar inmiddels het
antwoord op. Maar hij had nog een andere spoorwijsheid: als je een trein wilt
stoppen, dan moet je er niet voor gaan staan (want dat doet zeer), maar erin.
Dat is ook een mooie hint voor informatiebeveiligers: als je invloed wilt
uitoefenen, spring dan op die trein. Niet om hem te stoppen overigens, maar om
hem verder te helpen.
Deze blog is geschreven in een trein die mij stipt volgens de
dienstregeling van Schiphol naar Apeldoorn bracht.
En in de grote boze buitenwereld …
... wil Chrome binnen twee
jaar third party cookies in de ban
doen, omdat Google onze privacy nu eenmaal hoog in het vaandel heeft staan.
... lees je in dit artikel wat we al lang wisten: (ook) belangrijke
mensen vertonen onveilig gedrag.
... staat Google klaar om
deze high-risk users te beschermen.
En dat hebben ze nu nog eenvoudiger gemaakt.
... betaalt de verzekering
(uiteindelijk) het losgeld als een bedrijf niet op een andere manier van
ransomware af kan komen.
... dreigen
ransomware-criminelen steeds vaker met het openbaar maken van gegevens van het
slachtoffer als deze het losgeld niet betaalt.
... oordeelde de Nederlandse
rechter dat dergelijke afpersing niet strafbaar is.
... maken scammers handig
gebruik van de ransomware-aanval op Travelex.
... is het uitzetten van een
computer nog geen garantie dat hij niet met ransomware wordt besmet.
... zijn twee Amerikaanse
gemeentes gehackt via hun niet gepatchte SharePoint-omgevingen.
... waarschuwt het NCSC dat
de actuele kwetsbaarheid in Citrix niet volledig wordt verholpen door de
beschikbare patch. Het NCSC adviseert om Citrix uit te zetten, omdat er actief
misbruik wordt gemaakt van de kwetsbaarheid.
... viel het Medisch Centrum
Leeuwarden ten prooi aan deze Citrix-exploit.
... kreeg ook Windows deze
week te maken met een ernstige kwetsbaarheid. Dit werd door de NSA naar buiten
gebracht, wat op zich al interessant is.
... delen dating-apps nogal
wat gevoelige informatie met hun zakenpartners.
Geen opmerkingen:
Een reactie posten