Een virus in een computersysteem van de vliegtuigmaatschappij Spanair blijkt de oorzaak van een vliegramp waarbij in 2008 154 passagiers verongelukten op de luchthaven van Madrid. Het systeem merkte te laat op dat één vliegtuigonderdeel in korte tijd driemaal defect raakte en gaf daarvoor geen waarschuwing af. De computers bleken geïnfecteerd met Trojaanse paarden, waardoor onbevoegden onopgemerkt op het systeem konden inbreken en software installeren.
Normaal gesproken waarschuwt het systeem, dat op het hoofdkantoor van de luchtvaartmaatschappij is geïnstalleerd, als hetzelfde vliegtuigonderdeel te vaak defecten vertoont. Een toestel krijgt dan het dringende advies om niet op te stijgen.
Onderzoek naar de ramp heeft aangetoond dat onderhoudsmonteuren kort voor vertrek van het toestel voor de derde maal een oververhitte pakking hadden gevonden. De monteuren konden dit echter niet via het computersysteem melden. Die was namelijk overgenomen door de Trojaanse paarden, bleek later op de dag. Dat schrijft de Spaanse krant El País op basis van stukken uit de rechtszaak, die door nabestaanden was aangespannen.
Startbaan
Door de trojans kon het systeem de bemanning van het vliegtuig niet op tijd waarschuwen en de piloot niet adviseren om de start af te breken, met rampzalige gevolgen. Het bewuste vliegtuig verongelukte op 19 augustus 2008 voordat het de startbaan goed en wel had verlaten. 154 van de 172 inzittenden verloren daarbij het leven.
Pas later werd de derde defectmelding in het systeem geregistreerd, blijkt uit gerechtelijk onderzoek. Onderhoudsmonteurs hebben verklaard dat het ruim een etmaal had geduurd voordat het systeem de defecten meldde.
In de titel staat dat Trojans de Spaanse vliegtuigramp veroorzaakten. Als je het artikel leest, blijkt dat onderhoudsmonteurs kort voor vertrek van het toestel een oververhitte pakking hadden gevonden. Het blijkt niet duidelijk uit het artikel of deze pakking de oorzaak van het ongeluk was, maar de Trojans waren dat zeker niet. De andere vliegtuigen zijn die dag ook niet verongelukt, terwijl ook die last gehad moeten hebben van de Trojans.
Het lijkt een beetje op de schuld aan de politie geven als je een bon hebt gekregen, want aan je eigen snelheid of de kleur van het stoplicht kan het niet gelegen hebben.
@Cor Rosielle, een kwaliteitssysteem in de luchtvaart gaat veel verder dan alleen een kapot onderdeel vervangen. Er is ook een gezamenlijke ketenverantwoordelijkheid. Daar kan je niet zeggen ik heb een probleem niet zelf veroorzaakt, dus afvinken maar en klaar is kees.
Je mag ook een andere vergelijking maken. Er is een zwembad met allerlei ouders en een badmeester. Een kind verdrinkt. Alleen richting badmeester kijken is er dan niet bij. Dan wordt ook de vraag gesteld, wie heeft het kind laten verdrinken door niet in te grijpen terwijl men had kunnen zien dat het kind lang onder water bleef.
Natuurlijk moeten we eerst het definitieve onderzoeksrapport afwachten en wellicht worden daarin nog niet alle belangrijke vragen beantwoord.
De juridische kwestie is nog complexer. Kijk maar naar de vuurwerkramp met blunderende overheden die een rampsituatie hebben mogelijk gemaakt en dat hebben toegegeven. De schadeclaim bij de overheden is ook in hoger beroep afgewezen (vanwege de zogenaamde inzichten van toen).
Waar de betreffende applicatie “fout-boodschap”-gebaseerd (push) werkt, zou het beter zijn geweest dat deze “toestemming-gebaseerd” (poll) was geconcipieerd. Maw., een geldige applicatie-permit zou moeten vereist geweest zijn om te mogen opstijgen. In die zin zou een vertraagde PC niet mede de oorzaak van de ramp kunnen zijn geweest daar de permit nooit zou zijn toegekomen en de piloot nooit zou zijn opgestegen.
Verder raakt dit voorval een dieper probleem, nl. een wijdverbreid gebrek aan compliance binnen de IT. Waar geen personenlift kan/mag worden geinstalleerd zonder controle van de overheid (of een daardoor aangewezen organisme); worden overeenkomstig maar al te vaak IT-oplossingen geimplementeerd welke nooit-of-te-nooit adequaat tegen het licht worden gehouden, dit met alle risico’s vandien. Tot wat dit kan leiden zien we hier… Een degelijke kwaliteitscheck, al-dan-niet van de overheid blijft ten alle tijden aangewezen.
@ITA je reactie is zo eenvoudig, zo voor de hand liggend en zo waar…
Ik kom behoudens een heel enkele heel hoge uitzondering niet anders tegen.
‘Wat ik zie’ is wat telt niet ‘wat is’ als ik zie hoe software in elkaar ‘gescheten’ wordt verwacht ik niet anders en zeer zeker nooit verbetering van die situatie.
Kan ook niet, commercieel niet mogelijk.
Ik heb daar inmiddels weinig problemen meer mee.
Tegen grijze haren hebben ze bij het kruidvat middeltjes die goed werken.