Een extra nooddeur is goed voor de brandveiligheid, maar verhoogt de kans op inbraak. Het is een eenvoudig voorbeeld, maar het geeft goed aan dat het indammen van risico’s gepaard gaat met ongemakkelijke afwegingen. En als een deur al lastig is, hoe weeg je dan de risico’s in een chemische installatie of een kerncentrale? Daar komen informatici om de hoek kijken, zegt dr. Mariëlle Stoelinga, hoogleraar Kwantitatieve risicoanalyse in softwaresystemen aan de Radboud Universiteit.
Het is niet moeilijk om grote rampen aan te wijzen die zijn terug te voeren op kleine technische misrekeningen. De explosie van de space shuttle Challenger, bijvoorbeeld, die was terug te voeren op een rubber ring met beperktere temperatuurtoleranties dan gedacht. Of de programmeerfout die er in augustus 2013 toe leidde dat een elektriciteitscentrale in Ohio zichzelf uitschakelde, waarna een hele reeks van systeemgevolgen binnen enkele uren de sluiting van 256 centrales tot gevolg had. Tientallen miljoenen mensen en bedrijven in de Verenigde Staten en Canada kwamen zonder stroom te zitten.
Maar het voorkomen van rampen is niet de enige reden om aan risicoanalyse vooraf te doen. Het gaat net zo goed om een efficiënt beheer van technologie, bijvoorbeeld door preventief onderhoud of door systemen beter te ontwerpen. Die Amerikaanse stroomstoring zou nooit zo wijdverspreid zijn geraakt als het systeem expliciet ontwerpen was om het uitvallen van één centrale te doorstaan. Nu rolde één kleine misser als een sneeuwbal door het netwerk.
Spoor
Prof.dr. Mariëlle Stoelinga, die ook wetenschappelijk directeur is van de masteropleiding risicomanagement aan de Universiteit Twente, ziet ruwweg drie oorzaken waarom het vakgebied zo’n sterke groei ondergaat: ‘Ten eerste worden systemen steeds complexer. Je kunt niet innoveren zonder risico’s te nemen – denk aan zelfrijdende auto´s die verongelukken, drones die het vliegverkeer hinderen – maar je wilt de veiligheid wel waarborgen. Dat vraagt om meer aandacht daarvoor vooraf. Ten tweede hebben mensen minder tolerantie voor risico’s, hoewel de veiligheid de afgelopen decennia al aanzienlijk is verbeterd. De maatschappij is veiliger geworden en dat willen we zo houden. In de derde plaats zitten we met steeds meer grote installaties, waar de veroudering ons noopt tot analyse: moeten we de levensduur verlengen of moeten we hem uitfaseren?’
‘Het leuke van dit vak is dat het zo multidisciplinair is’
De toepasbaarheid is breed, van zelfrijdende auto´s en operatierobots tot chemische fabrieken en civiele constructies als tunnels en bruggen. ‘Het leuke van dit vak is dat het zo multidisciplinair is’, verklaart Stoelinga opgetogen. ´Enerzijds komt er veel kennis bij kijken van specifieke vakgebieden, anderzijds ontwikkel je analysemethoden die breed toepasbaar zijn.’
Big data en cybersecurity
Twee ontwikkelingen in het ICT-domein hebben een grote invloed op vrijwel alle technische systemen: big data en cybersecurity. Sensoren zitten tegenwoordig massaal overal in en leveren hoeveelheden gegevens die voor mensen niet meer te analyseren zijn, en ieder systeem is tegenwoordig wel verbonden met internet, soms zelfs zonder dat de eigenaren het weten. Big data levert informatie voor betere analyses, hackers voeren de dreiging juist op.
Met name de integratie van cyberdreigingen in risicomodellen staat nog in de kinderschoenen, stelt Mariëlle Stoelinga: ‘De relatie tussen fysieke en cyberdreigingen willen we in kaart brengen. Door de risicomodellen die voor beide bestaan te combineren in één model, kunnen we er in elk geval voor zorgen dat ze integraal bekeken kunnen worden. Nu zie je vaak, zeker in technische omgevingen, dat een cybermaatregel met negatieve gevolgen voor de fysieke veiligheid, onmiddellijk afvalt, omdat de risico’s niet goed tegen elkaar af te wegen vallen.’
Om het beeldend te maken hanteert Stoelinga het voorbeeld van een extra slot op de voordeur: goed tegen inbrekers, maar met een extra barrière voor ontsnapping in geval van brand. Wie puur denkt in termen van brandveiligheid zegt: dat slot komt er niet. Liever wat spullen gestolen dan omkomen in het vuur. Een integrale afweging leidt allicht tot een compromis in de vorm van een draaiknop op het slot in plaats van een sleutel. De inbraakveiligheid is daarmee fors verhoogd, terwijl de extra barrière in geval van brand minimaal is.
Bij big data is het probleem vaak dat organisaties niet weten waar ze naar zoeken. Dan is het zinloos standaard big-datamethoden erop los te laten om patronen eruit te vissen. Beter kun je de gegevens combineren met bestaande modellen om gericht te zoeken naar verbanden die je op basis van praktijkkennis vermoedt.
Betrouwbaarheid
Een van de concrete onderzoeken die Stoelinga momenteel ter hand heeft is onderhoud aan het spoor. De afgelopen vier jaar werkte haar onderzoeksgroep aan modellen die mogelijke fouten in talloze componenten logisch aan elkaar knopen. Dat leidt tot beter inzicht in cruciale componenten binnen het systeem. Managers kunnen dan besluiten tot maatregelen, bijvoorbeeld de installatie van sensoren om die componenten te monitoren of extra preventief onderhoud.
Inmiddels is een vervolgproject van start dat het spooronderhoud moet optimaliseren door de modellen met big data te combineren. Aan gegevens geen gebrek, over belasting door goederentreinen, temperatuurverschillen, remgedrag, vormen van bochten, noem maar op. De kunst is al die data in één bruikbaar model te krijgen. Waarbij uiteraard geldt: hoe complexer het model, hoe dieper het inzicht, maar hoe lastiger het is om te bouwen.
Mariëlle Stoelinga: ‘Om de betrouwbaarheid van systemen te verhogen moet je ze beter ontwerpen, of beter onderhouden, of de context veranderen waarin ze worden gebruikt. Meestal zal het een combinatie van alle drie zijn. De vraag is dan: wat is de optimale combinatie?’
Het spoor is bovendien een voorbeeld van een levend systeem, dat continu om nieuwe analyse vraagt. Er worden immers voortdurend wijzigingen aangebracht en nieuwe componenten toegevoegd, bijvoorbeeld het Europese spoorbeveiligingssysteem ERTMS, waarvan de uitrol als alles meezit over enkele jaren begint. Dat zal het door Stoelinga en haar groep ontwikkelde model ongetwijfeld geheel op de schop moeten – nog los van de cybersecurityvragen die ERTMS met zich meebrengt.
Uitdaging
Vanuit wetenschappelijk oogpunt is de uitdaging uiteraard om overzicht te houden over alle modellen, big-data-analyses en cyberdreigingen. Bijvoorbeeld met simulaties, kleinschalige experimenten en continue monitoring of de voorspelde waarden kloppen. Uiteindelijk gaat het er toch om dat de wetenschappers met voldoende overtuiging de resultaten kunnen presenteren aan beleidmakers. Vertrouwen speelt dan een doorslaggevende rol, want degenen die de knopen doorhakken hebben zelf maar een globaal begrip van de onderliggende modellen.
‘De essentie van risicoanalyse is dat je vertelt: als dit gebeurt, zijn dit de consequenties’, zegt Mariëlle Stoelinga. ‘Bijvoorbeeld: als je op die plek een woonwijk bouwt, moet je rekening houden met eens in de duizend jaar een grote overstroming. Let wel, alleen aan dat ene getal heb je nog weinig. Je moet ook aangeven welke aannamen eraan ten grondslag liggen.’
En als de technische risicoanalyse in orde is, is er ook nog de menselijke factor. Op ieder systeem een password zetten dat wekelijks veranderd moet worden, is theoretisch een goed idee, maar de praktijk leert dat mensen daarop reageren door makkelijke wachtwoorden te kiezen of het op een geeltje aan hun monitor te hangen. Om maar aan te geven: je kunt de technische risicoanalyse nog zo tiptop in orde hebben, de mens houdt altijd het laatste woord.
