De eerste analyse van de storing door NS wijst uit dat een cruciale component in het it-systeem niet goed heeft gewerkt. Onder normale omstandigheden is terug te vallen op een backup, waarna deze systemen blijven functioneren. Deze backup werkte evenwel niet naar behoren. Naar de reden zal grondig onderzoek worden gedaan.
Dit meldt staatssecretaris Vivianne Heijnen (Infrastructuur en Waterstaat). Ze gaat daarbij in op de storing in de it-systemen van NS, waardoor zondag urenlang het treinverkeer op het hoofdrailnet platlag. Gelet op de langdurige en landelijke impact van deze storing en de mate waarin een beroep is gedaan op de zelfredzaamheid van de reiziger, acht Heijnen de prestaties van NS onder de maat.
Ze vindt het belangrijk dat deze grootschalige verstoring grondig door een onafhankelijk bureau wordt geëvalueerd. Belangrijk aandachtspunt is het niet naar behoren functioneren van het backupsysteem. Ook wordt gekeken naar de snelheid van het herstel van de dienstregeling na het herstel van de storing.
Bijsturing
De storing die in de loop van de ochtend optrad, betrof de planningsystemen van NS voor materieel en personeel (en de bijsturing hiervan) en voor reisinformatie. Dit systeem is volgens NS essentieel om verantwoord en volgens dienstregeling te rijden, zeker als zich ongeplande wijzigingen of verstoringen in de dienstregeling voordoen. NS achtte het doorrijden hierdoor niet mogelijk dan wel verantwoord. NS heeft om deze reden de dienstregeling gecontroleerd stilgelegd en de treinen naar het eerstvolgende station laten rijden.
De eerste verwachting van NS was dat de verstoorde situatie tot circa 17:00 uur zou duren. Later is dit bijgesteld naar 20:00 uur. In aanloop naar de opstart bleek dat het voor NS niet meer mogelijk was om zondagavond nog treinen te laten rijden. Hoewel de it-systemen in de avond weer functioneerden, was de informatie in de betreffende systemen niet actueel. Zowel personeel als materieel stond niet op de voor herstart juiste plek, aldus NS. Om deze reden besloot NS de herstart van de treindienst uit te stellen naar maandagochtend.
Tweede Kamer over NS-storing [UPDATE]
Ook de cyberweerbaarheid wordt meegenomen in het onafhankelijke onderzoek dat NS laat doen naar de ernstige storing van afgelopen zondag.
Staatsecretaris Vivianne Heijnen dringt er bij de NS-top op aan ook meer in het algemeen te onderzoeken hoe kwetsbaar de ict van NS is. Zij wil ook nadrukkelijk betrokken zijn bij de formulering van de vragen waarop een onafhankelijk bureau antwoord moet vinden.
Dit bleek vanmiddag tijdens het mondeling vragenuurtje in de Tweede Kamer. SP-kamerlid Mahir Alkaya en Christen Unie-kamerlid Stieneke van der Graaf vroegen zich af of NS niet te sterk is geautomatiseerd. De CU vreest dat NS hierdoor extra kwetsbaar is geworden.
Alkaya en Songul Mutluer (PvdA) vonden ook dat de NS-leiding in dit soort situaties meer moet luisteren naar de werkvloer. Van machinisten kwamen geluiden dat een aantal treinen best kon rijden. Volgens hen was het helemaal niet nodig al het treinverkeer van NS stil te leggen omdat het systeem dat de actuele planningen maakt voor materieel en personeel plat lag. De seinen deden het namelijk wel.
Chris Stoffer (SGP) die overigens niet rouwig was over het feit dat zondag geen treinen reden, vroeg zich af of niet beter kan worden overgegaan op regionale it-systemen. Dit voorkomt dat met een it-probleem het hele land plat gaat.
Fahid Minhas (VVD) was geschrokken dat ook het communicatiesysteem van NS op de stations eruit lag. Hij vroeg de staatssecretaris ervoor kan zorgen dat het beheer van dit systeem wordt overgedragen van NS Reizigers naar ProRail. Maar Heijnen betwijfelt of op basis van een enkel (ernstig) incident het hele systeem moet veranderen.
De staatssecretaris ziet vooralsnog geen verband tussen de storing en het gebrek aan verkeersleiders bij Prorail. Ook heeft ze geen aanwijzingen dat de storing het gevolg is van een hack vanuit Rusland.
Niet succesvol terugvallen op een backup mag natuurlijk niet gebeuren maar eerst maar eens kijken of het systeem zelf wel fail-save/redundant is, lijkt me. Dat moet tegenwoordig toch heel simpel en kostenefficient kunnen. Je moet eenvoudig (virtuele) clients en hosts op een message-queue systeem kunnen toevoegen/afkoppelen, berichtwachtrijen laten inlopen bij verkeersonderbrekingen e.d.
Beter is het om het dienstrooster te versimpelen. Altijd goed, ook bij simpele verstoringen. Dat heet het ‘rondje om de kerk’ en het personeel en de vakbonden zijn daar tegen. Maar de leiding is er voor. Zou ook goed zijn voor de reizigers. Teken de petitie op https://rondjeomdekerk.petities.nl
Het zou allemaal moeten kunnen, maar kennelijk onderschat de NS nog steeds en breedschalig de impact van storingen. Wat voor storing ook, het duurt allemaal erg lang voor de boel weer op de rails is. Dat heeft ze deze keer helemaal genekt omdat men natuurlijk niet berekend was om zó veel achterstallige informatie die nog verwerkt moest worden. Niet dat het zoveel informatie is, men is er gewoon niet op berekend.
Als zo’n systeem zó kritisch is, dan volstaat een backup(systeem) niet, dan moet je er minstens 2 hebben. Misschien moesten ze eens in de luchtvaart gaan kijken, hoe ze het daar doen. Vliegtuigen vallen niet uit de lucht omdat de computer het niet doet, zelfs de energievoorziening is daar zodanig geregeld dat eerst álles uit moet vallen voordat er niets meer werkt.
Natuurlijk hadden ze ook gewoon door kunnen rijden, misschien dat er ergens een trein was die zonder conducteur moest, die valt dan maar uit. Nu vond men het wel acceptabel om álles uit te laten vallen, hele beroerde afweging, alleen maar omdat men niet in staat is handmatig een dienstregeling uit te voeren.
Zo, nu eerst maar eens m’n schadeclaim gaan samenstellen. Die zou gehonoreerd worden, dus: duimen maar! 😉
Dit soort kritieke centrale systemen dienen fail-save/redundant te zijn zoals Rob schrijft. Is dat wel uitgetest (ook na elke relevante systeemwijzing)? Ook moet het fallback systeem redundant uitgevoerd zijn. ProRail en NS moeten altijd naar de basis kunnen. Dat moet niet alleen vanwege technische problemen, maar ook vanwege ransomware en andere malware en simpele destructieve hacks.
En dan moet er ook nog een noodprocedure zijn voor versimpelde dienstverlening, al was het maar om mensen te kunnen brengen naar waar ze verder kunnen reizen (met Arriva, Connexxion, enz.) of afgehaald worden. Een aangepaste dienstregeling moet altijd kunnen zolang er stroom is en de rails vrij. Dat kon vroeger ook altijd. Heb je dat voor elkaar, dan kan je ook eerder voldoende bussen inzetten voor de overige situaties.
Is de backup nooit getest? Of is dat weer een verantwoordelijkheid van een andere aannemer? Stel dat dit op een werkdag was gebeurd, wat dan? Wie draait er voor de (financiële) consequenties op?
Reactie van Reinder Rustema spreekt me aan want ‘out-of-the-box’ is misschien wel de complexiteit van de dienstregeling het probleem van digitale afhankelijkheid en daarmee gelijk een kwetsbaarheid. Een fouttolerant systeem met een soort van ‘diepteverdediging’ lijkt me dan een oplossing.
Na 17 miljoen bondcoaches blijkbaar ook 17 miljoen conducteurs in nederland.
Fahid was geschrokken en vindt daarom het beheer van dit systeem moet worden overgedragen van NS Reizigers naar ProRail.
Stieneke vindt dat de IT maar helemaal afgeschaft moet worden, want vroeger was alles beter.
Hans ziet er de humor wel van in : duurt allemaal erg lang voor de boel weer op de rails is.
Ervaringsdeskundigen Alkaya en Songul zoeken het in meer luisteren naar de werkvloer want een treinmachinist op spoor 38d in regio utrecht zei dattie nog best door kon rijden.
IT specialist Chris denkt het op te kunnen lossen met decentralisatie, nationaal treinverkeer als rondjes om de kerk 🙂
Rob wil de it architectuur aanpassen : decloupling en microservices. waarom wel treinen af/aankoppelen maar geen systemen ?
Hans is backupsystemen gaan tellen : als 1 te weinig is, waarom dan geen 2 vraag hij zich af.
Van Jaap moet, moet, moet van alles, maar Jaap heeft dan ook overal verstand van.
En dan het plan om ingewikkelde dingen simpel te doen, look who’s talking 🙂
Zelf vind ik bezemen in de herst, tegen de bladeren en als het koud is lange winterstop afdoende.
Nou, aan meedenken geen gebrek.
al lang blij dat het geen russische hack is.
Als zelfs onze geweldige staatssecretaris dingen gaat roepen waar ze geen verstand van heeft is het hek vd dam.
Begrijp dat Dino voor nietsdoen is en fatalistisch een discontinuïteit in de vervoersverplichting accepteert, beetje als Chis van altijd rijden maar op zondag niet. Verder is het tellen van één, twee en een heleboel ook niet echt accuraat want de zogenaamde marktwerking op het spoor heeft de keus er niet groter op gemaakt. Treinen rijden tenslotte al 3 eeuwen niet op tijd maar op rails en de vraag is of zo’n 18de eeuws systeem nog wel past in de 21ste eeuw.
Dat zou Rob nooit doen, Dino. Je resumeert verkeerd. 🙂