Overheidsbeleid vergroot kans op ongeluk met drones

Drones zijn te koop in de speelgoedwinkel, maar drones kunnen ook professioneel worden ingezet voor allerlei innovatieve doeleinden. Het verschil is groot, maar in beide gevallen wordt gebruik gemaakt van hetzelfde luchtruim waar zich ook ander vliegverkeer bevindt. De overheid kijkt onvoldoende naar de risico’s die dit oplevert. Tweede deel van een drieluik over drones: over vliegveiligheid.

In de luchtvaart wordt gebruik gemaakt van een kanon waarmee kippen op (stilstaande) vliegtuigen worden afgeschoten, daarmee de botsing tussen vogels en vliegtuigen simulerend. De kippen, met een gewicht van zo’n 2 kg, worden afgevuurd op zowel de ramen van de cockpit als op draaiende motoren – relevant omdat vogels ook bij het opstijgen of landen een vliegtuig in de problemen kunnen brengen.

Die kippentest – uitgebreid nagedaan in een uitzending van televisieprogramma MythBusters – kan een beetje vreemd overkomen, maar ieder vliegtuigonderdeel – motor, elektronica, stoelen – wordt afzonderlijk getest en gecertificeerd en dat geldt ook voor het vliegtuig als geheel. Dit proces, dat in de VS voor ieder nieuw vliegtuigtype zo’n vijf jaar in beslag neemt, heeft als beoogd eindresultaat een certificaat waarmee onderbouwd kan worden dat het vliegtuig luchtwaardig en veilig is. Ook wanneer vliegtuigen gemodificeerd worden, moeten die wijzigingen en hun effecten op het geheel opnieuw getest worden. Dit test- en certificeringsproces wordt uitgevoerd door toezichthouders als de Federal Aviation Agency (in de VS) en in Europa door de EASA.

Deze toezichthouders, die ook op landenniveau bestaan, verplichten luchtvaartbedrijven ook om in hun dagelijkse business ‘safety management systems’ te gebruiken. Die systemen zijn er op gericht om de vliegveiligheid verder te vergroten, onder andere door de risico’s (de mogelijkheid van situaties met ongewenste verschijnselen zoals schade of verlies) te beheersen. Centraal in dit soort veiligheidssystemen staat de risicoanalyse. Een risicoanalyse houdt rekening met enerzijds de kans op een nadelige gebeurtenis en anderzijds de omvang van de nadelige effecten: de impact. Ofwel: risico = kans x impact.

risico matrix

Een degelijke risicoanalyse, die je vooraf maakt, stelt je beter in staat af te wegen welke mitigerende maatregelen je wilt nemen als een risico zich werkelijk voordoet. In de praktijk is dat een afweging tussen risico enerzijds en kosten anderzijds. Het doel is dus niet risico’s uitsluiten, maar keuzes maken: wanneer zijn risico’s onaanvaardbaar, welke risico’s ben je bereid te nemen (inclusief eventuele nadelige effecten) en welke risico’s neem je voor lief zonder dat je extra maatregelen neemt?

Onderzoekers hebben aangetoond dat we anders omgaan met risico’s als we kans hebben op verlies dan wanneer we kans hebben op winst, iets wat met name in de financiële sector duidelijk is geworden. De publieke opinie velt snel een oordeel over risico’s, vaak zonder te kijken naar zowel kans als impact van die risico’s. Als achteraf de impact groot blijkt te zijn, zijn we snel geneigd te stellen dat iets ‘nooit had mogen gebeuren’.
Dit is precies het scenario dat zich dreigt te ontvouwen bij drones. Op dit moment hebben de regels nog een globaal karakter en er is geen risicoanalyse uitgevoerd. De overheid wil eerst ‘ervaring opdoen met het gebruik van drones’. Diezelfde overheid verplicht de luchtvaartsector wel tot uitgebreide risicoanalyses; daar laat iedereen het tegenwoordig wel uit zijn hoofd om eerst wat ervaring op te doen.

In Nederland zijn inmiddels al tienduizend drones verkocht en dat aantal stijgt nog steeds. Nederlandse piloten vrezen dat er steeds meer drone-vliegers zullen zijn die de regels niet goed kennen. Op AT5 spreekt Arthur van den Hudding van Vereniging Nederlandse Verkeersvliegers zich uit over de risico’s: ‘Een meneer uit de Beethovenstraat die een drone van een kilootje koopt en hem lekker de lucht in laat op de aanvliegroute van baan twee-twee, dat is de aanvliegroute boven de Beethovenstraat. Die realiseert zich niet dat als hij zijn drone honderd meter omhoog laat, dat hij dan precies in de vliegroute zit van Schiphol. De kans bestaat dat zo’n ding dan door de voorruit van een vliegtuig komt.’ Luchtvaartdeskundigen zijn het er over eens dat helikopters het grootste risico lopen op een drone-hit: ‘because they are less stable than planes and operate at low altitudes, where there are more drones’.

drone-sales-2-DRONELIFE

Met de stijgende verkoopcijfers neemt ook het aantal meldingen van piloten dat de Amerikaanse luchtvaartautoriteit registreert, toe. Daarbij worden steeds vaker drones op grotere hoogten gesignaleerd (meer dan honderddertig meldingen in zowel juni als juli op hoogten tot 10.000 voet). Inmiddels heeft de Washington Post een interactieve kaart gelanceerd waar de meldingen te volgen zijn. De toename in het aantal meldingen zegt iets over de kans op ongelukken; de impact wordt vooralsnog het beste geïllustreerd door berichten over vliegoperaties die – onder andere op het vlak van hulpverlening – gehinderd worden door drones of waarbij near misses worden gemeld.

 

Screenshot at aug. 13 18-18-24

Voor veel economische sectoren geldt dat nieuwkomers zelf de risico’s van hun activiteiten in kaart moeten brengen. Dat geldt voor een café dat een terras wil openen of voor een fabriek die een nieuw chemisch proces wil opstarten. Dat is een goede zaak, want bij het nemen van beslissingen hoort ook het nemen van verantwoordelijkheid richting de maatschappij. Van nieuwe deelnemers aan het luchtverkeer zou je mogen verwachten dat zij er alles aan doen om de veiligheid te vergroten en de risico’s te beperken. Voor de luchtvaart vinden we dit dermate belangrijk dat we gekozen hebben voor streng overheidstoezicht. Dat maakt het des te tegenstrijdiger dat diezelfde overheid er tot op dit moment voor kiest om in het geval van drones meer aandacht aan security te besteden dan aan flight safety. In dat opzicht wijkt de Nederlandse overheid sterk af van andere Europese landen, waar het beleid wel is gericht op veiligheid, beveiliging, privacy, gegevensbescherming, verzekering en aansprakelijkheid.

Screenshot at aug. 13 18-17-20

Het Nederlandse beleid wordt ondergeschikt gemaakt aan ‘innovatie’ – onder andere door vanaf 1 juli 2015 de regels voor het gebruik van drones te versoepelen, zodat bedrijven deze technologie eerder kunnen inzetten. Er wordt voor gekozen de scheiding tussen zakelijk/professioneel en particulier gebruik te leggen bij een gewicht van 4 kg, terwijl de technologie voorhanden is om de veiligheid te vergroten – bijvoorbeeld door de inzet van transponders zodat (professionele) drones herkenbaar worden als luchtverkeer. Vanuit het risico-dossier bezien: met het huidige beleid vergroot de overheid bewust de kans dat zich ongelukken gaan voordoen.

Lees ook de andere stukken over kansen en bedreigingen van drones

Dit blog maakt deel uit van een drieluik over drones, privacy, flight safety en security.
Het begrip drones wordt hier als generieke verzamelnaam gebruikt voor onbemande en op afstand bestuurde vliegende objecten (RPAS).

Wat weegt zwaarder: drones en risico’s

traumameeuwOp 14 oktober 2011 kwam een traumahelikopter tijdens een vlucht in aanvaring met een meeuw. De vogel ging dwars door het glas van de cockpit heen en kwam terecht op de zitplaats naast de piloot. Normaal zit daar een HEMS-verpleegkundige die de piloot assisteert bij opstijgen en het landen. De vogel had ook de piloot kunnen raken, met een helikoptercrash als meest waarschijnlijke uitkomst. Naast piloot en HEMS-verpleegkundige vervoert de traumaheli ook een trauma-arts en soms gaat er een patiënt mee. Een crash van een traumaheli heeft niet alleen gevolgen voor de mensen aan boord, maar kan ook desastreuze gevolgen hebben op de grond.

Waar meeuwen eigenbelang hebben bij het vermijden van helikopters, zijn gebruikers van drones zich niet altijd bewust van de risico’s die zij nemen; laat staan dat bij hen een levensbelang speelt. Drones worden ingezet bij incidenten – niet alleen door professionals of journalisten, maar ook door omstanders en hobbyisten, zoals de video laat zien.

tweet dronesNiet voor niets werd er kort na het ongeval met kranen in Alphen aan den Rijn een vliegverbod voor drones afgekondigd. Een drone kan de aankomst of het vertrek van een traumahelikopter (of de activiteiten van een politieheli) vertragen – eenvoudigweg omdat piloten niet zeker zijn van een vrij luchtruim – of een crash veroorzaken. Voor dat laatste is ook een drone van 100 gram voldoende.

De groeiende populariteit van drones vraagt om nieuw beleid en de aanzet hiertoe is al gedaan: het WODC (Wetenschappelijk Onderzoek- en Documentatiecentrum, een onderdeel van het ministerie van Veiligheid en Justitie) publiceerde in maart 2015 een ‘verkennend onderzoek naar onbemande luchtvaartuigen’. Het belang van die verkenning is duidelijk: zowel burgers, bedrijfsleven als overheid hebben steeds meer interesse in het gebruik van drones: voor de lol, voor bedrijfsmatige toepassingen (inspecties, bezorgen, fotografie) en voor toezicht. Voor de overheid telt ook mee dat zij een rol heeft als toezichthouder op de luchtvaart en zich daarnaast dient in te zetten voor wet- en regelgeving op het gebied van privacy.

Het zijn ook precies die drie elementen – privacy, security en flight safety – die de ruggengraat van nieuw beleid zouden moeten vormen. Op dit moment wordt in de wet- en regelgeving echter een onderscheid gemaakt op basis van het gewicht van een drone. Tot vier kg is privégebruik aan de orde, waarbij verschillende regels gelden. Is een drone zwaarder dan 4 kg, dan gelden strengere regels. Die grens van 4 kg is echter tamelijk arbitrair. Het gewicht van de traumameeuw was circa 270 gram, aldus curator Kees Moeliker die de pechvogel heeft opgenomen in de collectie van het Natuurhistorisch Museum Rotterdam. Een vederlichte drone is er al voor een paar tientjes, voor serieuzere exemplaren met een prijs van onder de 300 euro loopt het gewicht snel op tot rond de 400 gram. Een professionele drone (waarmee ook de beruchte Domtoren-video werd gemaakt; goed voor een boete van ruim 8000 euro wegens het overtreden van de regels, later verlaagd naar 350 euro) weegt al snel meer dan een kilo. Het is allemaal in de (online) speelgoedwinkel te koop en je kunt er zo mee aan de slag – regels of geen regels.

Helaas pleit WODC-medewerker Bart Custers in het Financieele Dagblad van 1 augustus voor meer ruimte voor ‘lichtere drones’ (met een gewicht van minder dan vier kilogram) en niet voor een grondige analyse van mogelijke risico’s en problemen. Dat is vreemd, want in het mede door hem opgestelde WODC-verkenning wordt wel een overzicht gegeven van de verschillende soorten risico’s van drones. Zo kunnen ze het doel van schade zijn (diefstal van bijvoorbeeld de lading die ze vervoeren), een middel van schade (aanslagen via een crash, inbreuken op de privacy) of een een bron van ‘niet-intentionele effecten’ – denk aan ongevallen als gevolg van een neerstortende drone of een botsing met ander luchtverkeer, bijvoorbeeld wanneer een drone een vliegtuigmotor raakt. “Bij een botsing met een kleine drone zal een verkeersvliegtuig mogelijk niet veel schade oplopen, maar bij een botsing met een grotere drone, bijvoorbeeld wanneer die een van de motoren raakt, ontstaan gevaarlijke situaties waarbij in potentie veel (dodelijke) slachtoffers kunnen vallen.”

In zijn betoog in het FD wekt Custers de verkeerde indruk wanneer hij stelt dat kleine drones doorgaans minder schade opleveren wanneer er iets mis gaat. Ze zouden een kleinere actieradius hebben waardoor botsingen met vliegtuigen onwaarschijnlijk zijn. Maar wat is ‘doorgaans’ en wat is ‘onwaarschijnlijk’? En waar is de risicoanalyse?

Drones worden steeds kleiner, camera’s ook. Privacy is niet langer een kwestie van vrijheid binnen je eigen huis, je zult de gordijnen moeten sluiten en in sommige gevallen ben je niet eens veilig in je eigen tuin – die voor een drone net zo toegankelijk is als de publieke ruimte. Die toegankelijkheid maakt het ook gemakkelijk om een drone in te zetten om een hyperlokale aanslag te plegen, die aan het wakend oog van het traditionele luchtruimtoezicht ontsnapt. Een drone kan bovendien anoniem via internet en camera bediend worden. Technologie zoals nachtzicht en hittezoekende systemen is eveneens beschikbaar. Kortom, beleidsmakers moeten niet naïef zijn.

Een aantal risico’s kan worden beperkt door drones verplicht uit te rusten met een transponder. Waar de zweefvliegsport zich tevergeefs tegen de verplichte invoering van zo’n apparaatje verzette, ligt hier voor de drone-industrie – die zich laat voorstaan op innovatie en daar ook letterlijk ruimte voor opeist – juist een uitgelezen kans om te innoveren. En waar Amazon graag een deel van het luchtruim zou willen opeisen voor drones, richt Google zich inmiddels op een mogelijke rol als ‘drone-verkeersleiding’ en werkt het bedrijf tevens aan de ontwikkeling van een lichtgewicht transponder.

gatenkaasmodelJe kunt met technologie, regels, wetten (en handhaving daarvan) veel problemen proberen te voorkomen, maar de gebruiker is de laatste schakel in een keten die uit verschillende onderdelen bestaat. In de luchtvaart is dit bekend als het gatenkaasmodel; ook in de gezondheidszorg en zelfs in de IT van onder meer de financiële sector wordt dit principe nu stukje bij beetje omarmd om catastrofes te vermijden.

Het verbieden van drones is helemaal niet aan de orde. Lessen trekken uit een ongeluk, veroorzaakt door een drone, dat kan altijd nog. Maar het niet vooraf willen analyseren van risico’s, dat komt neer op het bewust negeren van risico’s. Als dat aan de orde is, zijn de rapen gaar.

Interpolis: cyberrisico’s glashelder

shutterstock_6234928Interpolis, onderdeel van Rabobank, heeft sinds enige tijd de CyberPreventieDienst op de website staan. Deze dienst is ontwikkeld met Capgemini en is bedoeld voor “alle middelgrote bedrijven voor wie computers belangrijk zijn in de bedrijfsvoering”, aldus de webpagina’s. De dienst van Interpolis komt neer op een audit waarmee de beheersing van cyberrisico’s in kaart kunnen worden gebracht.

Weet je niet of het product geschikt is voor jouw bedrijf? Dan doorloop je eerst even de CyberPreventie Check, een handige online vragenlijst die eindigt met een thermometer. Je voelt het al, die eindigt binnen de kortste keren in het rood. En zie, het product ‘Interpolis CyberPreventieDienst’ ligt in de schappen van de online interpolispreventiewinkel en gaat met een paar klikken zo in je winkelmandje (prijs: 1.500 euro).

Na aankoop neemt een cyberrisico-expert van Capgemini binnen vijf werkdagen contact op voor een intakegesprek. Daarna interviewt deze expert zowel de opdrachtgever als de IT-beheerder. Let wel, voor die twee gesprekken staat 1 dagdeel. Terplekke, zo suggereert het plan van aanpak, wordt nog gevraagd om het mogen doen van een aanvullende scan. Voor 750 euro extra voert de cyberrisico-expert met speciale software een aantal controles uit op de firewall, de website en de computersystemen. Of je nu wel of niet voor die extra scan kiest, de adviseur brengt na vijf werkdagen een digitaal rapport uit met aanbevelingen en tips. Die worden een week later nog eens telefonisch doorgesproken en toegelicht.

Wat mag je voor 1.500 euro verwachten? De audit biedt in ieder geval zicht op “welke risico’s specifiek voor uw bedrijfssituatie gelden”. En, aldus Interpolis, “of u daarvoor voldoende maatregelen hebt genomen. Dit kunnen technische maatregelen zijn, maar ook maatregelen op het gebied van organisatie, mensen en middelen.” De audit is bedoeld voor het MKB: bedrijven met een omvang tot 250 werknemers en een omzet tot 50 miljoen euro. Dat zijn, ter illustratie, bedrijven als softwareleverancier Exact, ICT-dienstverlener Detron, webwinkel Fonq, adviesbureau Eiffel of vergelijkingssite Independer. Het in een dagdeel globaal doorlichten van dergelijke bedrijven wordt hard aanpoten voor de auditor: alle security en compliance maatregelen, trainingen, softwarematige oplossingen, hardware-voorzieningen…. En dan hebben we het nog niet eens over bedrijven met mobiele medewerkers, meerdere vestigingen in de Benelux en een hybride IT-landschap waarvan een deel in de cloud staat en een deel on premise.

Natuurlijk is zoiets als een Cyber Preventie Dienst een mooi product. Zeker als je weet dat een gemiddeld datalek al snel enkele miljoenen schade oplevert, aldus het jaarlijkse Cost of Data Breach-onderzoek van IBM. De huidige standaard voor informatiebeveiliging (ISO 27001) is sterk gericht op technische maatregelen. Met de nieuwe Europese norm PAS 555, vorig jaar gepubliceerd door The British Standards Institution, wordt beoogd cyberdreigingen op de agenda van de directie te krijgen. Volgens onderzoek van EY staat bij 70 procent van de bedrijven cybersecurity op het hoogste niveau in de organisatie op de agenda. Aan de andere kant geeft 65 procent van de respondenten aan, dat het budget niet toereikend is om de groeiende risico’s te bestrijden.

Volgens mij is het een unieke marketingvondst, gebouwd op drie ideeën. Allereerst is iedereen bang voor cyberrisico’s. Een aanpak waarbij je je eerste stapje kunt zetten voor 1500 euro, dat moet menig MKB’er aanspreken. Op de tweede plaats slijt Interpolis een adviesproduct, waarmee de verzekeraar de deur opent voor up- en cross selling van andere MKB-diensten. En op de derde plaats krijgt Capgemini met een auditrapportje gemakkelijk toegang tot een prospect, want op securitygebied is natuurlijk altijd nog het nodige te verbeteren.

Het Mshutterstock_95440231KB met een omzet tot 50 miljoen doorziet dit waarschijnlijk wel. De MKB’er met twaalf man personeel en een omzet van 1,5 miljoen moet echter zijn knopen tellen. Want iedere klant krijgt bij dit product de volgende waarschuwing van Interpolis mee: “Het is belangrijk dat u, vlak voordat de expert de technische scan uitvoeren, een volledige back-up maakt van alle gegevens die op uw ICT-netwerken en/of systemen staan. Zorg ervoor dat u weet hoe u bij een calamiteit de back-upgegevens weer zo snel mogelijk in uw systeem terugzet.” Preventie, dat begint bij het nemen van de juiste maatregelen. Glashelder.

Internet of things: zes uitdagingen voor contactcenters

Voorlopig is het Internet of things (IoT) nog meer hype dan trend. Maar wanneer de hooggespannen verwachtingen uitkomen, zal het contactcenter zich moeten voorbereiden op nieuwe uitdagingen.

Uit onderzoek van Acquity Group onder 2.000 Amerikaanse huishoudens blijkt dat ruim een derde deel van de consumenten verwacht dat zij binnen vijf jaar gebruik zullen maken van IoT-gebaseerde producten en diensten. De onderzoekers stellen dat de grootste kansen voor bedrijven liggen in het aanbieden van diensten rondom de meetbare data die ze delen. Hoewel de inschattingen uiteenlopen, zullen er in 2020 miljoenen, zo niet miljarden apparaten ‘connected’ zijn. De connected car is al onderweg; bijna de helft van de autobezitters heeft wel interesse in updates en meldingen over de technische staat van de auto als die op de smartphone worden aangeboden.

beeld 1

Het IoT biedt met name kansen voor bedrijven die hun diensten nog niet ‘connected’ hebben gemaakt. Energiebedrijven lopen voorop met hun connected thermostaten, maar moeten wachten op het tijdperk dat consumenten in een slim huis wonen waar energiemanagement op afstand kan worden uitgevoerd en gemonitord.

Vrijwel iedere sector heeft mogelijkheden. Vakantiegangers kunnen door hun reisaanbieder worden gewezen op aanbiedingen die relevant zijn voor de locatie waar ze zich vertoeven. Vliegtuigbagage wordt de komende jaren ‘connected’. Een bank kan beginnen met het koppelen van mobiele data in relatie tot het bepalen van de beste plaats van geldautomaten, maar banken kunnen hun klanten bij een aankoop bijvoorbeeld ook wijzen op relevante aanbiedingen dichtbij. Banken kunnen hun dienstverlening proactief en hyperpersoonlijk maken; door financiële transacties te koppelen aan het IoT ontstaan nieuwe verdienmodellen. Bijvoorbeeld gratis bankieren, als je bereid bent je bestedingspatroon te delen, bij uitstek iets voor een nieuwe toetreder. Verzekeraars kunnen gaan samenwerken met autofabrikanten: pay how you drive of pay as you drive.

Wat zijn bij het IoT de belangrijkste uitdagingen voor contactcenters?

1. Proactief denken en doen

Contactcenters zullen in toenemende mate kunnen ‘meekijken’ met hard- en software die thuis staat te draaien. Sterker nog, contactcenters kunnen de rol van ‘mission control center’ gaan spelen en het IT-ecosysteem thuis bewaken. Ze kunnen – zoals bewakingsdiensten nu al doen – meekijken met camera’s of informatie van gezondheidssensors uitlezen en proactief contact opnemen: “Mevrouw, uw bloeddruk is aan de hoge kant. Ik verbind u door met uw gezondheidscentrum.”

Connected apparaten kunnen de helpdesk helpen; iets wat al geruime tijd gebeurt met modems, computers en televisies – waarbij de contactcenteragent op afstand meekijkt. Dat gebeurt nu nog met toestemming nadat de klant zelf contact heeft gezocht. Inmiddels kijken consumenten er niet meer vanop als hardware zelf beslist om updates te downloaden. De vraag is natuurlijk tot hoever de acceptatie van consumenten op dit vlak reikt.

 2. Hyperpersonalisatie

Customer service verandert met de komst van IoT van transactie-gedreven naar service en van klantgericht naar proactief en hypergepersonaliseerd. Proactief betekent dat bedrijven zelf contact gaan zoeken met objecten of met hun eigenaren. Het is de vraag of contactcenters en hun agents op tijd klaar zijn met deze nieuwe complexiteit, waarbij de agent – of slimme systemen – voordat ze actie ondernemen, zaken zullen moeten onderzoeken. OnStar van General Motors is een van de vele voorbeelden van een proactieve dienst die informeert over onderhoud en die in actie komt bij pech (ook: sleutels kwijt) of een ongeval. 

Onstar, General Motors
Onstar, General Motors

3. Complexiteit vraagt om meer intelligentie

Tot nu toe hebben producten – vooral consumentenelektronica – een ‘stand alone’ karakter. Ze hebben hoogstens een wifi-verbinding die maar een doel dient: het apparaat verbinden met het internet. Pas sinds enkele jaren gaan apparaten ook meer samenwerken: denk aan tablets, laptops, game consoles en televisies die connected zijn met bijvoorbeeld cloudgebaseerde diensten of apps.

Maar wat gebeurt er als je producten in huis haalt die zelfstandig aankopen gaan doen? Of als apparaten op afstand aanstuurbaar worden – bijvoorbeeld met een app – en vervolgens een storing vertonen terwijl je niet thuis bent? Het wordt pas ingewikkeld voor consumenten, wanneer connected apparaten onderling interactie aangaan. Bijvoorbeeld wanneer een airconditioning op hol slaat en daardoor het alarm laat afgaan. Producten zullen steeds vaker ‘connected’ zijn en daarmee deel uitmaken van een technologisch ecosysteem van de consument; tegelijkertijd zal de opkomst van IoT de zorgen rondom beveiliging van dat ecosysteem versterken.

 4. Vertrouwen herwinnen

DSC00255Proactief handelen richting een consument, dat heeft veel te maken met privacy en vertrouwen. Beide zaken beginnen bij begrip. GfK vond door middel van onderzoek uit dat het concept IoT maar bij 10 procent van de mensen bekend is, en dat de helft daarvan ook begrijpt wat het concept inhoudt. We geven met connected apparaten veel informatie uit handen. Hoe kan ik mijn autofabrikant vertrouwen dat informatie over de slijtage van mijn auto-onderdelen juist is? Wat gebeurt er als je bank de afschrijving van vitale connected diensten heeft afgekeurd – zoals de beveiliging van je huis? Wie kunnen er dan wel en niet naar binnen? Nieuwe bedrijven die er in slagen direct het vertrouwen van consumenten te winnen met een extreem transparant businessmodel, kunnen een voorsprong nemen ten opzichte van traditionele bedrijven, die meestal geen innige en open relatie met hun klanten hebben. Contactcenters van traditionele bedrijven zullen met deze legacy moeten leren omgaan.

5. Consequenties voor IT

De belangrijkste verandering voor contactcenters is dat real time data een onderdeel van het service proces gaat uitmaken. Dat betekent bijvoorbeeld dat CRM-systemen moeten worden uitgebreid en aangepast. Producten krijgen dan – behalve de status actief/inactief – ook allerlei andere eigenschappen mee, waarvan een groot deel dynamisch en real time. De meeste contactcenters – misschien de serviceproviders op het gebied van ICT uitgezonderd – zijn nog niet voorbereid op een permanente stroom aan real time data. Evenmin zijn ze klaar voor de rekenpower en intelligentie die nodig is voor real time analyse. Het gaat daarbij niet alleen om het kunnen afhandelen en begrijpen van de datastroom van ‘eigen’ producten en systemen. Er zal ook intelligentie moeten worden opgebouwd over aanpalende systemen, producten en diensten.

6. Agility

Het Internet of things maakt de omgeving waarin contactcenters actief zijn, nog dynamischer dan hij al is. Contactcenters zullen meer te maken krijgen met onderlinge afhankelijkheid en verwevenheid van (technologische) ecosystemen die zich met name in de beginfase – als we de voorspellingen moeten geloven, binnen nu en vijf jaar – enorm zullen ontwikkelen. Een wendbare organisatie is dus noodzakelijk.

Zelfsturende auto: het vliegtuig als leerschool

zelfsturendZelfsturende auto’s (soms ook zelfrijdende auto’s genoemd, hetgeen aardig in de richting van een pleonasme komt) worden ook in Nederland de weg op gestuurd. De Nederlandse overheid heeft de RDW de bevoegdheid gegeven om ontheffingen te verlenen voor het uitvoeren van experimenten.

Begin februari 2015 reed het allereerste konvooi van autonoom rijdende voertuigen in Nederland over een stukje A28. Er werd geëxperimenteerd met vrachtauto’s, die elektronisch aan elkaar gekoppeld waren. De voorste vrachtwagen fungeerde als leider; de rest volgde – ook wel platooning genoemd. Het toekomstbeeld is dat chauffeurs in de volgende vrachtauto’s hun handen vrij hebben om bijvoorbeeld hun administratie bij te werken, te lezen of iets anders te doen, aldus RDW. Remt de eerste vrachtauto in de platoon af, dan remmen alle vrachtauto’s real-time met dezelfde dosering af. De chauffeur heeft echter altijd de controle over zijn eigen wagen. Of het doen van administratie hierbij past, is de vraag; volgens RDW kan de chauffeur altijd het systeem overrulen en beslissen om een konvooi te verlaten en zelfstandig te gaan rijden.

Dit concept, in een treintje rijden of platooning, is een eerste stap op weg naar autonome voertuigen. Voertuig-tot-voertuig (of V2V) communicatie is een van de voorwaarden om te komen tot zelfsturende auto’s: zij moeten naast de infrastructuur en andere weggebruikers ook elkaar herkennen. Het is niet ondenkbaar dat platooning ook de eerste stap in de richting van autonome personenauto’s zal zijn – adaptive cruise control en andere innovaties zijn al ontwikkeld.

Platooning roept vragen op over de rol, competenties en verantwoordelijkheden van de voertuigbestuurder. Het CBR stelt dat ook in zelfsturende auto’s minimaal dezelfde vaardigheden als bij ‘gewone’ auto’s van belang blijven: “Vaardigheden als voertuigbediening, waarneming en participatie kunnen nooit helemaal verdwijnen”. Daarnaast geeft het CBR aan dat bestuurders moeten leren omgaan met uitvallende systemen; research- en developmentmanager René Claesen van het CBR maakt terecht de vergelijking met de luchtvaart.

Heeft het CBR voldoende besef van de snelheid van de ontwikkelingen? “… al worden auto’s in de toekomst automatisch bestuurd, het zal nog vele tientallen jaren duren voordat overheden toestaan dat dit gebeurt zonder dat er iemand met een geldig rijbewijs in het voertuig aanwezig is.” Ook Schultz verwacht binnen 20 jaar zelfrijdende auto’s op de Nederlandse wegen, maar de industrie heeft daar aanzienlijk kortere termijnen bij in gedachten.

vliegtuigAutomatisering in vliegtuigen is vele malen verder ontwikkeld dan die in auto’s. Er zijn meer communicatielijnen (tot nu toe twee ‘bestuurders’, luchtverkeersleiding, feedback van veel verschillende systemen), er is uitgebreide technische redundantie aan boord, en er zijn vaste, gecontroleerde vliegroutes, waarbij toestellen gevolgd worden. Moderne toestellen worden tijdens het gebruik bovendien real time gemonitord vanaf de grond met behulp van Airplane Health Management (AHM). Anti collision systemen voor de luchtvaart dateren al uit de jaren zeventig; maar pas nu worden dit soort onderdelen van de luchtvaarttechnologie overgenomen door autofabrikanten.

In de luchtvaart is bovendien veel expertise opgebouwd op het vlak van interactie tussen geautomatiseerde systemen en de gebruiker van die systemen. Die automatisering houdt echter niet op bij de perfectionering van de autopilot; er wordt hard gewerkt aan het geleidelijk overbodig maken van de cockpit crew. Interesse voor onbemande luchtvaart is verklaarbaar: de totale personeelskosten van een vliegmaatschappij vormen 20 procent van de totale kosten; piloten van gevestigde luchtvaartmaatschappijen kennen nog steeds riante primaire en secundaire arbeidsvoorwaarden.

Volgens onderzoeker Mary Cummings (voormalig luchtmachtpiloot) van Humans and Autonomy Lab at Duke University kunnen vliegtuigen al volledig zelfstandig vliegen; een piloot is gemiddeld zo’n 3 minuten bezig met ‘fly the plane’. Volgens NYT is dat bij de gemiddelde Boeing 777 piloot zeven minuten; bij Airbus piloten is dat de helft.

opleidingHet is niet alleen de vliegtuigtechnologie die sterk is ontwikkeld. De interactie met die technologie door de piloot – ofwel: het juiste gebruik van techniek – is een belangrijk onderdeel van de vliegopleiding. 80 procent van de crashes wordt veroorzaakt door menselijke fouten, waarbij de piloot contraproductief omgaat met de technologie. Bij problemen tijdens een vlucht geldt niet voor niets op de eerste plaats: fly the airplane.

MIT voegt daar aan toe dat het niet zo zeer de technologie is die het vliegen met onbemande toestellen in de weg staat. Voor de technische veiligheid is ook sociale controle noodzakelijk: er is toezicht nodig zodat de gewichtsverdeling van de stoelbezetting in orde blijft en de vlucht moet ongestoord kunnen verlopen. Zelfs Google stelt dat er personeel aan boord van een vliegtuig moet blijven. Google heeft in januari 2014 een eerste vlucht uitgevoerd met een geheel gemodificeerde MD11: met passagiers, maar zonder piloot aan boord. Tijdens de vlucht van San Francisco International Airport naar Los Angeles International Airport werd het toestel vanaf de grond begeleid en gecontroleerd.

luchthavenTerug naar de zelfsturende auto. Wanneer zelfsturende auto’s steeds meer op het huidige vliegtuig gaan lijken, worden ze wellicht slimmer, maar ook complexer. Het is de vraag of er in de zelfsturende auto voldoende tijd overblijft om te handelen als systemen niet of niet goed functioneren. Ten opzichte van vliegtuigen zijn de snelheden van auto’s weliswaar lager, maar ook de onderlinge afstanden zijn veel kleiner. Er is dus weinig tijd voor de bestuurder om uitvallende geautomatiseerde systemen te corrigeren. Er is vooralsnog niet een model voorzien waarbij een externe partij ingrijpt wanneer een voertuig vreemd gedrag gaat vertonen; iets wat al wel technisch mogelijk is in de luchtvaart.

Daarbij speelt de ‘paradox van de automatisering’ mee: bij een toenemende automatisering wordt menselijk ingrijpen steeds crucialer, wanneer de denkende machine toch de fout in gaat. Omgekeerd kan een mens echter ook verkeerd reageren op een geautomatiseerd systeem, waardoor het geautomatiseerde systeem beslist tot een compenserende reactie, wat vervolgens weer kan leiden tot opnieuw een verkeerd menselijk ingrijpen. Denk aan een auto die bij een dreigend ongeval zelf beslist dat gas geven de beste optie is, terwijl de bestuurder (die te laat ingrijpt op basis van andere waarnemingen) juist op de rem trapt. Het resultaat kan zijn dat de auto nog meer gas geeft, de remfunctie uitschakelt of juist de macht overgeeft aan de bestuurder, die ondertussen de waarschuwingen van zijn auto moet combineren met hetgeen op hem afkomt.

De (semi-)autonoom rijdende auto vraagt dus om andere en nieuwe competenties van de bestuurder. Helaas is de veiligheidsattitude van veel automobilisten op dit moment omgekeerd evenredig is met de hoeveelheid technologie in de auto: met ABS, airbags en 5 NCAP-sterren kan je meer risico’s nemen en sneller rijden. De smartphone en navigatiesystemen (de grootste informatiebronnen in de auto) leveren eerder afleiding op dan concentratie, maar cruise-control schakelt zichzelf niet uit wanneer je op hoge snelheid een file nadert. De doorsnee technologiegebruiker is bovendien naïef en vertrouwt bij het gebruik van complexe technologie volledig op hardware, software en de partijen uit de digitale keten.

In de naamgeving van de automobiel ligt besloten dat het gaat om een verbeterde versie van zijn voorganger, het paard. Maar de auto is nog behoorlijk dom en houdt weinig rekening met omstandigheden, laat staan met het gedrag van zijn gebruiker.

Robot says no (1)

DSC_8614Robots worden slimmer en dreigen hun territorium (fabriekshallen, science fiction films en speelgoedwinkels) te verlaten. Naarmate de afstand tussen mens en robot kleiner wordt, gaan we ons meer zorgen maken over de eigenschappen van intelligente apparaten. Robots moeten luisteren, zich aan regels houden en zich al helemaal niet tegen de mens keren. 

In het FD van 19 januari schreef Franka Rolvink Couzy dat wij geen idee hebben hoe snel de ontwikkelingen zullen gaan, ook al zijn er mensen die een beetje moeten lachen om het idee van een zelfdenkende robot. Couzy haalt daarbij de Wet van Moore aan en stelt: na tien jaar groei is alles mogelijk, wie weet besturen robots over tien jaar onze bedrijven! Volgens Couzy moet een belangrijke robotwet dan ook zijn dat een robot moet doen wat de mens wil. Of zoals andere voorstanders van robotwetgeving stellen: robots moeten uiteindelijk door mensen kunnen worden uitgeschakeld. Elon Musk gaat een stap verder dan filosoferen: hij heeft 10 miljoen dollar geïnvesteerd in onderzoek naar de vraag hoe we kunstmatige intelligentie veilig kunnen houden.

Tot voor kort was kunstmatige intelligentie inert: als computer vastgeklonken in mainframes, of als robot vastgeschroefd aan een assemblagelijn in een fabriekshal. Met de komst van laptops, tablets en smartphones is hard- en sofware mobiel geworden. We slepen intelligentie overal achter ons aan, met het internet of everything stoppen we het straks ook overal in. Robots nemen in deze softwareproliferatie een aparte positie in. Onze smartphone is weliswaar al een mobiele computer, maar de robot is tot veel meer in staat. De nieuwe robot kan zichzelf verplaatsen en is vaak in staat tot het verrichten van fysieke handelingen. Dat betekent dat een robot zelf zijn werkingsgebied kan gaan bepalen. Dat biedt opties voor de zorg, de horeca, het transport, defensie, kortom alles waar verplaatsing een wezenlijk onderdeel van het kernproces vormt. Maar mogen robots zelf de hort op om in te grijpen in menselijke processen? Wanneer gaat ‘helpen’ over in ‘bepalen’? En wanneer gaat ‘ondersteunen’ over in ‘uitschakelen van obstakels’? De vraag of robots mogen doden, is al vaak gesteld (en ook vaak met ‘nee’ beantwoord) maar moet misschien vooraf worden gegaan door een andere vraag; kunnen robots doden? Een zelfsturende auto die bij dreigend ongeval moet uitwijken en daarbij moet kiezen tussen een moeder met kind of een peloton wielrenners, moet een beslissing nemen over levens.

Robot NASA
NASA Space Center, Houston

Bij het maken van robots gaan we er van uit dat de schepper van de robot bepaalt wat de robot kan en mag. Een robot is een apparaat waarbij we er vanuit gaan dat het aan- en uit te zetten is. Maar de mens kan ook eigenschappen in de robotsoftware inbouwen die menselijke interventie of manipulatie juist voorkomen. Jaarlijks worden er miljarden besteed aan het beveiligen van software en hardware: denk aan het kopiëren van data, oneigenlijk gebruik van programma’s, ongeoorloofde toegang et cetera.

Ook robots zullen, naarmate hun taken meer impact op mens en maatschappij krijgen, al in de ontwerpfase aan regels moeten voldoen. Zwakheden in de software kunnen er voor zorgen dat ze gemakkelijk gehackt kunnen worden, waarmee ze net als bij een vliegtuig of auto een moordwapen kunnen veranderen. Het lijkt me dan ook niet onverstandig om robots, net als bij auto’s en vliegtuigen, ze door een goedkeurigs- of certificeringsproces te laten gaan voordat ze de markt op mogen.

Feit is dat veel processen in onze economie (en ook in onze bedrijven) al worden aangestuurd door robots; ze bewegen weliswaar niet, maar zijn actief in de vorm van algoritmen. De financiële sector drijft er op, succesvolle online retailers zoals Bol.com realiseren het grootste deel van hun omzet op basis van algoritmen en onze internetzoekmachines doen een groot deel van het denkwerk voor ons. Google presenteert gegevens, afgestemd op individuele kenmerken van de gebruiker zoals leeftijd, geslacht, locatie en zoekgeschiedenis. Het probleem is niet zo weer het gebrek aan transparantie – het precieze denkwerk van onze huisarts is ook niet altijd helder – maar dat het systeem niet ter verantwoording is te roepen. Dat geldt ook voor de losgeslagen robot die niet meer naar zijn baasje luistert.

westworldRobot-ontwikkelaar Ishiguro, ook de bedenker van het concept uncanny valley, vraagt zich af of er robots te ontwikkelen zijn, die de indruk wekken dat ze echt leven. Ishiguro noemt dit sonzai-kan ofwel aanwezigheid. Ligt de kern van menselijk gedrag in onze manier van aankijken (de ogen) of in iets anders? Als filmkijker laten we ons niet snel in de maling nemen. In Star Trek weten we zeker dat de robot genaamd Data gespeeld wordt door een mens. Maar in de film West World worden zowel kijker als hoofdrolspelers op het verkeerde been gezet. Welke filmacteurs spelen mensen en welke acteurs spelen robots die in een pretpark als echte mensen acteren? Kan je robots vertrouwen?

Plat gaan

Er is iets veranderd in onze wereld. Niet money makes the world go round, maar het internet houdt onze economie draaiend. Na de bankencrisis die het financiële systeem aan het wankelen bracht, wordt nu gevreesd voor een digitale crisis. De Nederlandse overheid slaat (bij monde van de AIVD) zelfs alarm: het verdienmodel van Nederland kan in gevaar komen.

Meestal rukt eerst de technologie op, dan de commercie en daarna volgen passende maatregelen om alles beheersbaar te houden. Regelgeving is vaak het resultaat van eerdere problemen en van toegenomen sense of urgency. Die bewustwordingsfase hebben burgers en bedrijven echter nog niet helemaal bereikt. Beiden zijn nog steeds verbaasd over het gemak waarmee hackers kunnen binnendringen, maar hebben de digitale samenleving al lang als vanzelfsprekendheid geaccepteerd. Bij ernstige IT-problemen van publieke organisaties wordt vooral gewezen naar verouderde systemen of naar slecht projectmanagement. Ontwrichtende problemen zijn tot nu toe uitgebleven, reden waarom de mogelijke impact van een digitale meltdown minder aandacht krijgt dan verdiend.

IT wordt steeds meer het digitaal zenuwstelsel van bedrijven en instellingen. Toch wordt in de boardroom, zo blijkt herhaaldelijk uit onderzoek, IT nog niet voldoende serieus genomen. Directies van grote bedrijven die in opspraak raken door datalekken en cyberaanvallen, maken zich in de eerste plaats druk over mogelijke reputatieschade. Voor de eventuele financiële gevolgen is minder aandacht, zo blijkt uit onderzoek van Clifford Chance. Dat is niet vreemd: slechts 8 procent van de CFO’s vindt dat hun commissarissen een hoog kennisniveau van digitalisering hebben, terwijl 29 procent van de commissarissen zichzelf in hoge mate als sparring partner voor de Raad van Bestuur ziet, aldus onderzoek van Deloitte. Het lijkt er op dat de mindset niet in orde is: het ontbreekt bij bedrijven aan vastberadenheid, die de cybercriminelen wel bezitten.

Brenno de Winter confronteerde eind 2012 een zaal vol CIO’s met een simpele en succesvolle hack. “Ik heb hier een mobiele telefoon. Die heeft bijna een gigabyte aan data met u gedeeld, omdat deze zichtbaar is als ‘KPN’. Uw telefoon denkt: ‘Leuk, een KPN Hotspot’ en meldt zich automatisch bij mijn telefoon aan. Dat is zojuist door veertien toestellen gedaan. U merkt daar niets van. Normaal gesproken moet u iets invullen om toegang te krijgen, denk aan Wi-Fi op Schiphol. Dat zal ik volgend jaar voor u maken, zodat ik dan ook uw username en password heb.”

In 2013 was een gemiddeld datalek goed voor een schadepost van 2,5 miljoen euro, aldus het jaarlijkse Cost of Data Breach-onderzoek van IBM. Dit is een stijging van 15 procent ten opzichte van 2012. En uit een door PwC gepubliceerd rapport blijkt dat bedrijven maar moeilijk mee kunnen komen in de strijd tegen cybercriminaliteit, omdat organisaties te weinig technologische kennis bezitten.

De Nederlandse Cyber Security Raad pleit voor meer aandacht op strategisch niveau: ieder datalek moet in de boardroom bekend zijn. Toch is het onze eigen overheid die met aanpassingen in de wetgeving bijdraagt aan bagatellisering van de risico’s. Zo hoeven in de onlangs afgezwakte wetsvoorstellen rondom de meldingsplicht van datalekken niet alle datalekken gemeld te worden, maar alleen ‘datalekken met ernstige nadelige gevolgen’. Hierdoor ontnemen we onszelf de kans maximale controle te houden en optimaal te leren van kwetsbaarheden. De overheid waarschuwt, maar legt gelijktijdig het digitale verdienmodel van ons land in de waagschaal. Nederlanders zijn niet helemaal blind voor de toekomst – dat blijkt uit de discussie over bijvoorbeeld de verzorgingsstaat en de pensioenvoorziening. Maar als het gaat om digitale duurzaamheid is het te stil. Ondertussen bouwen bedrijven en overheden driftig verder op een wankel IT-fundament; totale vernieuwing zou veel te veel geld kosten. Een korte time to market slaat bovendien veel beter aan in de boardroom.

De BBC zond onlangs een documentaire uit over zogenaamde ‘preppers’: personen die zich voorbereiden op rampen met behulp van vluchtplaatsen, zelfverdedigingstechnieken en noodvoorraden. Een van de preppers gaf aan dat als het internet wereldwijd plat gaat, het een kwestie van enkele dagen is voordat de hel losbarst. Dat klinkt als een goed Hollywood-scenario voor een rampenfilm, maar realistischer is het advies dat Duitse ondernemers krijgen wanneer ze naar China reizen. Hen wordt aangeraden hun laptop of mobiel vooraf schoon te maken; eenmaal in China is het niet toegestaan om in te loggen op het netwerk van het Duitse moederbedrijf aldus het FD.

In ons land is het wellicht wachten tot dat de eerste overheidsdiensten plat gaan (of de eerste CIO’s nat gaan). Want het duurt nog even voordat het Nationaal Cyber Security Centrum (NCSC) op kracht is. Govcert.nl, voormalige cyberwaakhond van de Nederlandse overheid en voorloper het NCSC, moest het in 2011 nog met zeventien (!) werknemers doen, maar er wordt gewerkt aan opschaling richting 70 security specialisten. Ter vergelijking: de Nederlandse defensieorganisatie bestaat uit zo’n 60.000 personen.

 

Deze post is tot stand gekomen in samenwerking met Cisco.

[wp_twitter]

Digitale opwarming

Een bizarre tegenstelling: overal om ons heen is zichtbaar hoe IT steeds dieper in de haarvaten van ons leven doordringt. Niet alleen bedrijven, maar ook overheden digitaliseren volop en burgers/consumenten doen vrolijk mee. In die digitaliseringsrace volgen de komende jaren nog grote stappen: het internet of things wordt het internet of everything; en een vergrijzende samenleving dwingt verdere digitalisering van de gezondheidszorg af.

Tegenover die digitalisering staan twee andere verschijnselen die ons de komende tijd gaan wakker schudden: legacy en security. Afgelopen jaar constateerde Ernst & Young (via onderzoek onder bijna 2.000 senior executives) dat bij slechts 17 procent van de bedrijven de informatiebeveiliging aansluit op de werkelijke behoeften. De rest van de organisaties – bedrijven en instellingen waar we allemaal dagelijks mee te maken hebben – heeft te maken met een achterstand in security. Slechts de helft van die achterblijvers neemt in 2014 maatregelen om de noodzakelijke inhaalslag te maken. Aan de andere kant geeft 65 procent van de respondenten aan, dat het budget niet toereikend is om de groeiende risico’s te bestrijden. Voor dit jaar (2014) is slechts 14 procent van het IT-budget gereserveerd om beveiligingslekken (waarbij onzorgvuldig handelen door medewerkers als één van de belangrijkste veroorzakers wordt genoemd) het hoofd te kunnen bieden.

Het gebrek aan budget komt overeen met het beeld dat voortkomt uit onderzoek van Harvey Nash: ‘kosten besparen’ stond tussen 2009 en 2013 bovenaan de agenda van de CIO. Het goede nieuws is dat sinds de kredietcrisis dit jaar voor het eerst de IT-budgetten weer stijgen. Het slechte nieuws is dat er vooral wordt geïnvesteerd in nieuwe IT die de efficiency verder vergroot: digitale marketing, klantgerichte systemen en innovatieprojecten; allemaal gericht op het verhogen van de omzet.

Ook door de overheid wordt ingezet op meer efficiency, maar automatisering blijkt hier een permanent drama. De overheid is de controle over IT kwijt: budgetten worden overschreden terwijl de opbrengsten – in termen van geslaagde en degelijke projecten – achterblijven. DigiD, DUO, UWV, de Belastingdienst, Rijkswaterstaat: systemen zijn verouderd, vernieuwing loopt uit op mislukking en per saldo neemt de achterstand en kwetsbaarheid toe. IT debt wordt ook hier een steeds serieuzer probleem. Volgens hoogleraar Henk Akkermans (UvT) zullen cruciale systemen in de toekomst steeds vaker uitvallen door instabiliteit of kwetsbaarheid. In dit opzicht is het de overheid zelf die op de achtergrond druk bezig de voorwaarden te scheppen voor digitale rampen. Onze digitale samenleving heeft een slecht fundament en wordt op een vulkaan gebouwd.

blog 1 beeldGelukkig adviseert de Rijksoverheid ons over risico’s. Voor een goed beeld van de plaatsgebonden risico’s kan je je postcode intikken. Dat leidt tot een kaartje van je woonomgeving met ‘kwetsbare objecten’ (zoals gebouwen waar veel mensen verblijven of LPG-stations). Om goedvoorbereid te zijn op rampen moet je in ieder geval eten, drinken, identiteitspapieren en contant geld in huis hebben, aldus Vadertje Staat. Het in huis hebben van een paar honderd euro (cash = king) is inderdaad geen slecht advies. Maar een digitaal rampscenario? Daarvoor hebben ambtenaren te weinig fantasie.blog 1 beeld2

 

 

Deze post is tot stand gekomen in samenwerking met Cisco

[wp_twitter]

Informatiebeveiliging: bewust onbekwaam

helpIn Den Haag rommelt het al een tijdje over de uitbreiding van de meldplicht voor datalekken. Bij het initiële wetsvoorstel (juni 2013) was het uitgangspunt dat een datalek aan het College Bescherming Persoonsgegevens (CBP) moet worden gemeld wanneer redelijkerwijs kan worden aangenomen dat het lek tot een aanmerkelijke kans op nadelige gevolgen leidt. Staatssecretaris Fred Teeven heeft het wetsvoorstel Meldplicht Datalekken inmiddels afgezwakt: het aangepaste wetsvoorstel zegt nu dat alleen datalekken met ernstige nadelige gevolgen moeten worden gemeld. Dit betekent dat een partij die een datalek heeft geconstateerd, zelf moet bepalen of redelijkerwijs kan worden aangenomen dat het lek leidt tot aanmerkelijke kansen op nadelige gevolgen. Teeven vreesde dat bedrijven en instellingen alle datalekken zouden melden – om risico’s op boetes te vermijden.

Datalekken nemen in omvang toe, zo blijkt uit onderzoek. Ten opzichte van 2012 is de gemiddelde schadepost van een datalek in 2013 met 15 procent gestegen tot 2,5 miljoen euro, zo valt op te maken uit het jaarlijkse Cost of Data Breach-onderzoek van IBM.
In het eerste kwartaal van 2014 was een stijging van 233 procent te zien in het aantal gestolen bestanden, aldus de SafeNet Breach Level Index (BLI). Er werden bijna 200 miljoen bestanden gestolen. Zuid-Korea voert de lijst aan: het land is goed voor bijna tachtig procent van de hacks. De financiële sector wordt het zwaarst getroffen met 56 procent van alle verloren databestanden. Ook de gezondheidszorg is kwetsbaar met 24 procent van alle lekken.

Veel datalekken zijn het gevolg van relatief kleine menselijke fouten, aldus het Data Breach investigations Report (DBiR) 2014 van Verizon waarin 63.437 beveiligingsincidenten werden onderzocht. Meestal gaat het om e-mails en documenten die naar de verkeerde persoon, afdeling of organisatie worden gemaild of gestuurd. In 1.367 gevallen veroorzaakten de incidenten ook een bevestigd datalek. Ruim 16.000 incidenten, waarvan er 412 voor een bevestigd datalek zorgden, waren aan menselijke fouten toe te schrijven, zoals e-mailblunders, programmeerfouten en het weggooien van informatie zonder die eerst te wissen of te shredden. Eindgebruikers en IT-professionals gaan beiden de fout in.

De Nederlandse Cyber Security Raad pleit voor meer aandacht voor informatiebeveiliging op strategisch niveau, maar voorlopig lijkt de boardroom daar nog niet klaar voor. Volgens onderzoek van Deloitte vindt slechts 8 procent van de CFO’s dat commissarissen een hoog kennisniveau van digitalisering hebben. 29 procent van de commissarissen beschouwt zichzelf in hoge mate als sparring partner voor de RvB. Toch staat minder dan een derde van de commissarissen (en 24 procent van de CFO’s) positief tegenover het benoemen van een Chief Technology Officer of een Chief Information Officer in de Raad van Bestuur. Een typisch gevalletje van bewust onbekwaam?

ICT~Office, de voorloper van branchevereniging Nederland ICT, heeft staatssecretaris Teeven in 2012 geadviseerd om met de meldplicht niet vooruit te lopen op Europese privacyregels. De toename van de regeldruk moet in verhouding staan tot het beoogde doel, zo was het argument. In 2013 uitte Nederland ICT opnieuw kritiek op het Nederlandse initiatief: er zou te veel regeldruk ontstaan omdat er inmiddels vier verschillende instanties bestaan waar IT-gerelateerde problemen en verstoringen moeten worden gemeld. Misschien is dat juist een goede tussenoplossing die stimuleert om aan verbeteringen te werken?
Anderen vinden dat een wettelijke meldplicht voor datalekken het doel voorbij schiet doordat bedrijven uit angst voor imagoschade de incidenten juist niet melden.

Het bedrijfsleven staat dus niet te popelen om dit probleem te tackelen. Kan een wettelijk afgedwongen meldplicht de meldcultuur aanzwengelen? Of ontstaat een gezonde meldcultuur juist op basis van zelfregulering? De westerse luchtvaartsector kent al een flinke tijd een veiligheidscultuur waarbij het melden van problemen een geaccepteerde gewoonte is en waar feedback wordt gebruikt om processen te verbeteren. Grote luchtvaartmaatschappijen en de International Air Transport Association (IATA) zetten daarbij de toon.

Om tot die verbeterde cultuur te komen waren wel enkele grote vliegtuigcrashes in de jaren zeventig nodig. Daaruit kwam naar voren dat intensieve vliegtraining menselijke fouten niet uitsluit. Met Crew Resource Management, ontwikkeld door NASA, werd ingezet op intelligente samenwerking in de cockpit. Die veiligheidscultuur heeft vliegen tot de meest veilige vervoersmethode gemaakt.

Na een vliegtuigcrash haal je als vliegmaatschappij direct voorpagina’s en primetime. De merkbare gevolgen van beveiligingsproblemen en datalekken bij bedrijven en instellingen zijn tot nu toe relatief gering. Alhoewel? In Nederland doet 65 procent van de middelgrote en grote bedrijven geen zaken met organisaties die te maken hebben gehad met een datalek. Biedt dat hoop? Nee, want tegelijkertijd beschouwt 36 procent van de bedrijven dataverlies als een bedrijfsrisico.

Er is nog een extra reden tot zorg. Meer dan de helft van de gemelde lekken in ons land kan niet worden onderzocht. Het College Bescherming Persoonsgegevens heeft te weinig mankracht. Maar ja, ICT en overheid, da’s geen gelukkige combinatie. Het wachten is dus op het moment dat het een keer goed mis gaat.

[wp_twitter]

 

IT-brandjes blussen #2

“Onderzoek toont aan: IT oorzaak van productiviteitsverlaging en dataverlies”. Was het niet zo dat IT juist moet bijdragen aan productiviteit? Nu blijkt uit onderzoek dat BYOD – waarvan ook een productiviteitstoename werd verwacht – eerder een obstakel is dan voor vooruitgang zorgt. Bij IT althans. Een productiviteitswinst is bij 80 procent van de bedrijven de aanjager voor BYOD-programma’s, zo laat ook een recent rapport van Forrester zien; 70 procent van de bedrijven uit het onderzoek zag de omzet stijgen. Of BYOD zelf bijdraagt aan productiviteitswinst in de business is de vraag en ook Forrester is er nog niet van overtuigd dat de relatie ook in omgekeerde richting werkt.

Wat was de belofte van Bring Your Own Device (BYOD) ook al weer? Slimmer werken, op meerdere devices, tijd- en plaatsonafhankelijk. IT-managers en CIO’s zien echter het omgekeerde gebeuren, zo lijkt op te maken uit het onderzoek van AppSense. IT-supportafdelingen krijgen het steeds drukker om meerdere devices, apps en toegang tot applicaties en data te ondersteunen. BYOD leidt tot meer gebruikersvragen dan er al waren en het vergroot de kans op beveiligingsincidenten en verstoringen, niet iets waar de business op zit te wachten.

Een tweede nadelig effect van IT-consumerization is dat de eindgebruiker verwacht dat het tempo en gemak waarmee hij devices en vooral apps – waarvan er steeds meer komen – kan downloaden ook gaat gelden voor bedrijfsapplicaties. Natuurlijk is het fijn als je belangrijke bedrijfsinformatie via je eigen Dropbox account op je nieuwe iPad kunt benaderen. Ondertussen wordt ook verwacht van IT dat business applicaties beschikbaar worden op de MacBook en dat mail probleemloos kan worden opgehaald via de Android smartphone. Wanneer mail links bevat naar beveiligde bestanden wordt het al ingewikkelder. IT moet dus het vernieuwingstempo verhogen. Het interne applicatielandschap beweegt echter vaak niet mee: 2/3 van de respondenten heeft nog fat clients met lokaal geïnstalleerde applicaties, wat weer onbegrip oproept bij gebruikers. Hoezo tijd- en plaatsonafhankelijk werken?

Daarnaast is IT volgens AppSense veel tijd kwijt met bepalen wat wel en niet mag (BYOD zou je ook kunnen vertalen met Bring Your Own Discussion of Bring Your Own Disaster); met het bieden van hulp; het oplossen van problemen en het in de gaten houden van beveiliging. Het vervagen van de grens tussen zakelijke en privé IT is een onomkeerbaar proces. Wat de netto impact op de business is, wordt daarmee steeds interessanter.

De standaard reactie op IT-consumerization is dat er moet worden ingezet op standaardisatie en automatisering van het beheer. Dat zou de druk bij IT kunnen verlagen, maar voorlopig komt IT daar niet aan toe. In deze race is het ook de vraag bij wie de ontwikkelingen harder gaan: bij de werknemer met zijn devices en apps of bij IT met reactief beleid en achterstanden.

Daarnaast is het de vraag in hoeverre standaardisatie kan worden doorgevoerd, want het kenmerk van IT-consumerization is dat de eindgebruiker zijn eigen IT-kostje bij elkaar scharrelt, zodat hij zelfredzaam als hij is, zijn productiviteit verhoogt. Heeft IT wel grip op de eindgebruiker?

Ook het verder doorvoeren van selfservice is maar ten dele toereikend. Vanuit bedrijfsbelang moet de IT-afdeling vast houden op devices, connectiviteit, toegang tot data en applicaties. Bovendien is er een enorme centralisatietendens in IT-land zichtbaar (met outsourcing als finale). Ligt de oplossing bij het opnieuw aanwijzen van super users, die lokaal de operatie ondersteunen? Hoe ga je dat doen voor meerdere (mobiele) besturingssystemen, honderden apps en duizenden applicaties? Of zou je, data je je eigen devices hebt gekozen, deze wellicht bij IT moeten laten inleveren zodat ze daar geschikt worden gemaakt voor gecombineerd (werk/privé) gebruik?

Een oplossing is het werken met verschillende profielen, waarbij context based access control in opkomst is. De locatie, het soort data, het device en de gebruiker bepalen dan je toegangsrechten mogelijkheden. Dit lijkt echter haaks te staan op de empowered user, die binnen de kortste keren zal constateren dat het niet handig is als hij alleen thuis bepaalde data kan raadplegen. Tenzij de eindgebruiker bereid is te leren hier goed mee om te gaan.

Mijn suggestie? Gooi allereerst eindgebruikerstrevredenheid overboord en richt je op business impact. Want wat is het verschil tussen een gebruiker die zijn werk goed kan doen en een tevreden gebruiker? Met een focus op business impact wordt het ook gemakkelijker om eindgebruikers langer en beter na te laten denken over nut en noodzaak van de extra IT-diensten die hij wil afnemen. En wat de gevolgen van die wens zijn voor de totale IT-kosten en -tijd. En dan zijn we weer terug bij mijn eerste conclusie: als je meer wilt kunnen doen met bedrijfsmiddelen (data, applicaties, devices) dan moet je daar ook verantwoordelijkheid voor willen dragen.

Bekijk het webinar over het onderzoek of lees het rapport.

 [wp_twitter]