Defensie en het millennium Rik van der Linden
“We need every state and local government, and every business large and small, to make sure Y2K is remembered as the last headache of the 20th century - not the first crisis of the 21st.” President Bill Clinton, tijdens het uitspreken van de ‘State of the Union’, 19 januari 1999
Zelfs de meest fervente computer-xenofoben hebben inmiddels tussen de oren zitten dat het nieuwe millennium, naast een feestelijk gebeuren, ook een spannend moment is. De eeuwwende lijkt in de ogen van sommige goeroes garant te staan voor neerstortende vliegtuigen, weigerende liften, kostbare computersystemen die van het ene op het andere moment uitvallen, instortend geldverkeer en ernstige voedseltekorten. Hoewel deze doemscenario’s door de meeste deskundigen fors worden afgezwakt, is een belangrijk deel van de IT-wereld toch hard bezig om de belangrijkste risico’s in kaart te brengen en in ieder geval de meest noodzakelijke aanpassingen te verrichten. In dit artikel wordt een voorzichtige inventarisatie gemaakt van de impact die het millenniumvraagstuk (in het Engels ook regelmatig aangeduid als ‘Year 2000' of ‘Y2K’) heeft op defensie-organisaties. Na een introductie op het probleem zal een vergelijking worden gemaakt tussen de huidige stand van zaken ten aanzien van de inventarisatie en oplossing van het millenniumprobleem in de strijdkrachten van Nederland, de VS en Rusland. Hierbij zal tevens worden geprobeerd de meest relevante veiligheidsrisico’s te beschrijven. Het millenniumvraagstuk: oorzaken, effecten en oplossingen Oorzaken De oorzaak van het millenniumprobleem is eenvoudig: in veel gevallen zijn datumcodes in de computerprogrammatuur voorzien van twee cijfers in plaats van vier; een computer ziet dus geen verschil tussen 1901 of 2001. Dit kan ernstige gevolgen hebben voor het functioneren, bijvoorbeeld doordat apparatuur uitvalt of verkeerde gegevens genereert - wat op zich weer een keten aan problemen te weeg kan brengen. Dit probleem is in de jaren zestig wel onderkend, maar men verwachtte dat de computers die toen werden geïnstalleerd na een jaar of tien wel vervangen zouden zijn. Zo ontstond de routine om data tweecijferig te programmeren (zie kader Y2K: technische aspecten). Effecten Het millenniumvraagstuk is geen hypothetisch probleem. Over de mogelijk optredende effecten van falende computersystemen is al veel geschreven; en van tijd tot komen al voorbeelden beschikbaar. Aardige, op het eerste gezicht onschuldige voorbeelden zijn de 99-jarige man die op een kinderafdeling van een ziekenhuis terechtkwam, of de 106-jarige vrouw die een uitnodiging kreeg om de lagere school te bezoeken. Ernstiger was het feit dat, toen de Amerikaanse autofabrikant Chrysler één van haar fabrieken wilde testen op millenniumbestendigheid, de automatische deuren niet eens meer opengingen. Deze voorbeelden maken duidelijk dat Y2K op allerlei plekken in de maatschappij een probleem kan vormen. Individuele problemen kunnen bovendien een domino-effect veroorzaken en zo, volgens de zwartste scenario’s, een wereldcrisis tot gevolg hebben.
1
De oplossing van het probleem is duur en tijdrovend. De inschatting voor de totale kosten die nodig zijn om alle systemen aan te passen lopen uiteen van 300 à 600 miljard dollar tot, recent, zo'n anderhalf biljoen dollar. Bovendien is er een aantal technische moeilijkheden. Zo zijn veel grote computersystemen in de jaren zestig en zeventig geprogrammeerd in talen die nu niemand meer kent. Ook is becijferd dat alleen al in de Verenigde Staten ongeveer 200.000 extra programmeurs nodig zijn om de noodzakelijke aanpassingen te verrichten (op dit moment zijn er in de hele VS ongeveer 500.000 programmeurs). Een andere moeilijkheid is dat veel leveranciers van computers, apparatuur, software etc. ook zelf pas in een laat stadium begonnen zijn hun eigen inventarisaties. Informatie komt dus vaak laat beschikbaar. Oplossingsstrategie Het is van belang vast te stellen dat het millenniumvraagstuk in de meeste gevallen geen technisch, maar een puur organisatorisch probleem is. De principiële oorzaak is bekend, en hier zijn allerlei oplossingen voor bedacht. Het probleem wordt gevormd door het feit dat dit veel tijd, geld en moeite kost. Y2K wordt wel het enige project ter wereld met een keiharde deadline genoemd. Iedere oplossing begint met een gedegen aanpak. Door veel grote IT-consultants, en ook door het Amerikaanse ministerie van Defensie1, wordt een model gehanteerd dat bestaat uit de volgende fasen: •
•
• •
•
awareness (bewustwording). Tot voor enige tijd kostte het moeite bedrijven te overtuigen van de ernst van het probleem; managers besteden hun geld immers liever aan IT-projecten die iets nieuws opleveren - het maximale dat een millenniumproject oplevert is een systeem dat na 2000 net zo functioneert als daarvoor. assessment (inventarisatie en beoordeling). Dit is een belangrijk onderdeel; het wijst uit hoe groot het werkelijke probleem is en welke onderdelen moeten worden getest, aangepast en/of gerepareerd. Na afronding van deze fase bestaat een goed inzicht in de problemen, maar is er nog niets gebeurd aan de oplossing ervan. renovation (aanpassing). Uitvoering van de eigenlijke werkzaamheden volgens een na afloop van de tweede fase opgesteld projectplan. validation (testen). Vooral waar grote systemen met elkaar moeten samenwerken is dit een complex en tijdrovend karwei; bijvoorbeeld wanneer blijkt dat een aanpassing die binnen een systeem is gedaan tot gevolg heeft dat er niet meer kan worden gecommuniceerd met een ander systeem. implementation (implementatie van het aangepaste systeem in de bedrijfsomgeving)
Inmiddels is veel ervaring opgedaan met de aanpak van het millenniumprobleem. Een van de lessen hieruit is dat een eenmaal begonnen inventarisatie vaak veel meer verdachte onderdelen oplevert dan van tevoren werd verwacht; en bovendien dat het testen van oplossingen veel meer tijd kost dan voorzien. Bovendien blijken ook de kosten in veel gevallen enorm op te lopen. Toch is, met een goed uitgevoerde inventarisatie, al veel gewonnen. Er is immers een inzicht in de mogelijke problemen, zodat in ieder geval noodplannen kunnen worden gemaakt. Het millenniumvraagstuk en defensie Defensie-organisaties hebben voor een groot deel met exact dezelfde vraagstukken te kampen als andere overheidsinstellingen, bedrijven en particulieren. Ook binnen Defensie zijn grote bedrijfsprocessen gaande. Er wordt informatie opgeslagen en uitgewisseld, er worden lonen en pensioenen uitbetaald, goederen vervoerd, enz. Binnen al deze processen kunnen zich millenniumproblemen voordoen in de computers, de software die wordt gebruikt, de databases waar informatie uit wordt gehaald, of anders vanwege het feit dat relatief onverdachte apparaten als liften, boormachines, telefooncentrales of faxen het niet blijken te
2
doen. Over de aanpak van deze vragen is hierboven al het een en ander geschreven; dit is een tijdrovend, complex en deels ook saai karwei. Op zichzelf kunnen de optredende problemen echter al ernstig genoeg zijn om de gehele organisatie (tijdelijk) te verlammen. De meeste aandacht gaat vanzelfsprekend uit naar commando-, controle-, communicatie- en informatiesystemen (C3I-systemen) en natuurlijk naar de wapensystemen zelf. Vooral binnen deze systemen zullen eventuele problemen immers grote gevolgen hebben voor de operationele inzetbaarheid van de krijgsmacht. Recent is een door de Assemblée van de West-Europese Unie (WEU) een rapport opgesteld dat een goed inzicht biedt in de stand van zaken ten aanzien van de onderkenning van de mogelijke problemen in alle WEU-landen (inclusief geassocieerde leden, geassocieerde partners en waarnemers).2 De huidige stand van zaken ten aanzien van het millenniumvraagstuk is dat de meeste landen in hun inventarisatiefase zitten. Wel zijn grote verschillen aan te wijzen tussen de verschillende groepen landen. De meest pregnante conclusie is nog wel dat juist de meest moderne strijdkrachten de grootste problemen hebben, en bij het niet goed onderkennen hiervan op 1 januari van het volgend jaar een fors gedevalueerde strijdmacht zouden kunnen hebben. In de woorden van een anonieme commentator op een van de discussiepagina's van internet: "Red China will be the big winner. It has the largest army on earth and a huge, World War II navy. After January 1, 2000, a World War II navy will be the most advanced navy on earth."3 Dit zou wel een heel wrede variant op de wet van de remmende voorsprong zijn. Tegelijkertijd geven landen als Bulgarije, Litouwen, Letland en Roemenië in hetzelfde rapport aan geen problemen te hebben; ofwel omdat ze geen gedigitaliseerde systemen in hun bezit hebben, ofwel omdat deze zo nieuw zijn dat het probleem niet bestaat. Een vergelijking: Nederland, de VS en Rusland Nederland Binnen de Nederlandse overheid wordt het millenniumprobleem geïntegreerd onderzocht en aangepakt. Van alle ministeries heeft Defensie de meeste problemen. Er is een inventarisatie gemaakt die uitwijst dat er in totaal zo’n 214.000 items zijn met een (mogelijk) probleem. Dit kan variëren van problemen in de aansturing van stand alone personal computers tot het verstoren van grote communicatie- en wapensystemen. Uit een rapportage die vorig jaar juni aan de Tweede Kamer is verzonden, blijkt dat Defensie bezig is met het afronden van de inventarisatiefase.4 Ten aanzien van veel onderdelen is nog overleg gaande met de fabrikant (o.a. met de producenten van het vliegende materieel van de luchtmacht). Voor een aantal onderdelen is duidelijk dat de tijdsplanning krap wordt; van onder meer de marine-fregatten wordt aangegeven dat deze ergens in de eerste helft van 1999 millenniumbestendig zullen zijn. De afhankelijkheid van derden (lees vooral: producenten) wordt als het grootste risico aangemerkt, mede in het licht van de ketenproblematiek. Gezien deze stand van zaken lijkt het niet zeker dat de gehele krijgsmacht per 1 januari 2000 millenniumbestendig is; aandacht voor noodprocedures is dan ook geen overbodige luxe. De Verenigde Staten De grootste strijdmacht ter wereld is tevens één van de meest technologie-gedreven organisaties ter wereld. De Amerikaanse krijgsmacht is de laatste vijftien jaar bezig geweest al haar voer-, vaar- en vliegtuigen en bijbehorende zaken zodanig aan elkaar te koppelen, dat het slagveld geheel gedigitaliseerd zou kunnen worden. Op deze wijze is nu al een complex geheel ontstaan van C3I-systemen. Bovendien zijn ook de wapens zelf in veel gevallen voorzien van allerlei gecomputeriseerde functies. Een klein voorbeeld kan wellicht zowel het belang als de afhankelijkheid van high tech in moderne wapensystemen duidelijk maken. In de software voor het F16-gevechtsvliegtuig was men vergeten ergens een ‘-’ teken te programmeren. Gevolg hiervan zou zijn geweest
3
dat het toestel, na het passeren van de evenaar, onmiddellijk een draai zou maken en op zijn kop verder zou vliegen (het probleem werd voortijdig ontdekt in een vluchtsimulator).5 Het uitvallen van een schakel in een commando- of communicatiestructuur kan gevolgen hebben voor heel deze structuur. Het is, gezien het bovenstaande, geen wonder dat het Amerikaanse ministerie van Defensie al sinds medio 1995 bezig is met de aanpak van het millenniumprobleem. Voor de coördinatie van alle lopende federale projecten is een Presidentiële Raad ingesteld, The President’s Council on Year 2000 Conversion. Ondanks alle aandacht die er aan Y2K wordt besteed maakt het aanvankelijke optimisme de laatste anderhalf jaar plaats voor onzekerheid. De formele doelstelling is dat de Amerikaanse strijdkrachten op 1 november van het komend jaar geheel millennium-proof moeten zijn; dit zal echter zeker niet lukken voor de gehele strijdmacht. In de praktijk wordt er met name naar gestreefd dat de zgn 'mission critical systems' tijdig zijn aangepast. Dit is naar alle waarschijnlijkheid wel mogelijk; in januari jl. waren 1736 van de 2300 kritieke systemen aangepast. Dit gaat echter wel met enorme kosten gepaard; de huidige schatting gaat uit van zo’n vier miljard dollar. Rusland In schril contrast met de VS is de Russische defensie (net als de Russische economie) veel minder gecomputeriseerd. De problemen zijn dan ook minder veelomvattend. Cruciaal en zeer verontrustend is echter wel de status van de nucleaire defensie, inclusief de C3I-systemen. Tot medio vorig jaar was het Russische standpunt dat er geen problemen te verwachten waren, en dat eventuele optredende storingen na 1 januari 2000 zouden worden opgelost. Er werd dan ook weinig aandacht aan het millenniumvraagstuk geschonken. Dit was een schrikbeeld voor - met name- Amerikaanse defensiekringen. In mei vorig jaar stelde premier Kirijenko al dat een gezamenlijke aanpak nodig was. Pas onlangs echter heeft premier Primakov een speciale ‘millennium bug’-raad ingesteld. Alleen al dit feit maakt duidelijk dat Rusland te laat is om zijn defensie op orde te hebben per 1 januari 2000. De coördinatie van de Russische aanpak is in handen van de Centrale Telecommunicatie Commissie. De leider van deze commissie, Alexander Kroepnov, gaf medio vorig jaar aan ongeveer 100-500 miljoen dollar nodig te hebben voor aanpassingen; recent schatte hij de totale kosten echter al op drie miljard dollar. Dit is een teken dat ook in Rusland de bewustwording op gang is gekomen en een eerste indruk ontstaat van de problematiek. Positief is dat er tekenen zijn dat Rusland bereid is tot samenwerking bij de inventarisatie en oplossing van nog te constateren problemen. Zowel de NAVO als het Pentagon hebben hulp aangeboden; de European Bank for Reconstruction and Development (EBRD) heeft enkele honderdduizenden dollars beschikbaar gesteld voor bewustwording en inventarisatie van de problematiek. Zoals hierboven al aangeduid is dit een eerste stap naar de oplossing van problemen. Wanneer het inzicht groeit dat er echt iets aan de hand is kunnen er nog noodmaatregelen worden genomen. Belangrijk is dat informatie wordt uitgewisseld en dat er vertrouwenwekkende maatregelen worden afgesproken tussen de VS en Rusland. Te denken valt hierbij aan een ‘no first use’-verklaring voor rond de eeuwwisseling. Ook is absolute zekerheid nodig over de status van de wapensystemen zelf. De veiligheidsrisico’s: een voorzichtige inschatting Veel vragen blijven onbeantwoord, maar een aantal zaken is duidelijk. Allereerst is het uitgesloten dat alle (westerse zowel als Russische) defensiesystemen geheel millenniumbestendig zullen zijn per 1 januari 2000. De kans dat er, als gevolg van foute datum-informatie in de systemen, een Russische raket wordt afgeschoten, wordt, ondanks hardnekkige berichten, door de meeste deskundigen niet erg hoog ingeschat. De kans is veel groter dat systemen geheel plat gaan en dus geen informatie meer leveren. Naar aanleiding van deze verwachting merkte de voorzitter van de hierboven al aangehaalde
4
Presidentiële Raad, John Koskinen, op: “The chances of world peace are greater than ever.” Toch is dit maar de vraag. Vaak leidt een gebrek aan informatie immers tot onzekerheid, paniekreacties of verkeerde keuzen. Wanneer alle schermen op zwart gaan is het onzeker wat een dienstdoende officier besluit te doen. Deze redenering kan echter ook worden omgedraaid: iedereen weet dat op 1 januari, even na 00.00 uur, dergelijke calamiteiten zich kunnen voordoen. Voor een doemscenario lijkt hier dan ook geen plaats te zijn. Een geheel ander soort risico’s echter - met een hoger realiteitsgehalte en potentieel even ernstige gevolgen - wordt gevormd door de maatschappelijke onrust die kan ontstaan doordat inderdaad voedselketens worden verstoord, energietekorten ontstaan, telefooncentrales uitvallen en talloze apparaten niet meer werken. Wanneer midden in een strenge winter opeens energie- en voedselschaarste ontstaat kan dit gevolgen hebben voor de maatschappelijke stabiliteit, en het vertrouwen in een herstel van de economie kan opnieuw een ernstige knauw krijgen. Dit probleem speelt niet alleen in Rusland, maar is wereldwijd aan de orde. Conclusie De conclusie is dan ook dat ten aanzien van de risico’s die zijn verbonden met het millenniumvraagstuk grote vraagtekens overblijven. Niemand kent de totale omvang van het probleem; niemand heeft een volledig overzicht over de totale effecten. Een belangrijke conclusie is dat paniek de zaak alleen verergert. Wanneer in de loop van dit jaar, bijvoorbeeld als gevolg van steeds herhaalde berichten over de onbetrouwbaarheid van het betalingsverkeer, een kwart van de mensen hun geld van de bank haalt, stort het geldverkeer inderdaad in. Nuchtere communicatie over de essenties van het probleem moet worden gecombineerd met nauwe samenwerking tussen betrokken overheden. Het millenniumprobleem is ook een voorbode van de toekomst. Inmiddels zijn zoveel onderdelen van de maatschappij gecomputeriseerd, dat het technisch falen van systemen onmiddellijke invloed heeft op ons dagelijks leven. Y2K is dan ook een voorbeeld van een geheel nieuw soort veiligheidsproblemen, namelijk de digitale veiligheid. Dit maakt het ook zo belangrijk dat Y2K (en soortgelijke vraagstukken die ons in de 21e eeuw zullen bezighouden) niet wordt overgelaten aan computer-geeks. Het verdient een structurele plaats in de hoofden van beleidsmakers en politici. Drs. H. van der Linden is organisatieadviseur. Noten 1. 2.
3.
4. 5.
Zie: Year 2000 Management Plan (Department of Defense, Office of the Assistant Secretary of Defense Command, Control, Communications and Intelligence; version 1.0, April 1997). The Millennium Bug: Its Consequences for European Defence (Report submitted on behalf of the Technological and Aerospace Committee by Mr Atkinson, Rapporteur. Assembly of Western European Union, forty fourth session; 5 november 1998). Commentaar op de ‘Gary North's Y2K Links and Forums’ internet-pagina (categorie: militair). Dit is één van de vele internet-sites die gewijd is aan het millenniumvraagstuk. Bereikbaar via http://solarmike.interspeed.net/Y2k/military. Rapportage Defensie aan de Tweede Kamer over de millenniumproblematiek (Ministerie van Defensie, Den Haag, juni 1998). Voorbeeld aangehaald door John Huntress in Computer Problems Similar to The Millennium Bug That Have Already Happened (te vinden op www.year2000.com/archive).
5
Y2K: ENKELE TECHNISCHE ASPECTEN Een deel van de weerzin die veel mensen hebben tegen het millenniumvraagstuk komt voort uit hun onbegrip met de technische aspecten ervan. In essentie is dit echter doodeenvoudig: vanaf de jaren vijftig/zestig (toen geheugenruimte in computers schaars was) zijn jaartallen tweecijferig weergegeven in programmatuur; dit kan betekenen dat op 1 januari 2000 een groot aantal computers denkt dat het 1 januari 1900 is. De consequentie hiervan kan zijn dat de computer storingen gaat vertonen, verkeerde berekeningen maakt, of uitvalt. Dit probleem kan zich op vele terreinen voordoen: in de systeemklok van de computer, in de besturingssoftware (die ook geheel datumonafhankelijke software aanstuurt), in de toepassingssoftware en zelfs in de bestanden zelf (vooral in databases). Een specifiek probleem vormen de apparaten die voorzien zijn van een chip met een klein stukje ‘ingebakken software’; de zgn. embedded systems. Er zijn tientallen miljarden chips in omloop; naar schatting 1 à 2% hiervan heeft een datumprobleem. Het is echter onmogelijk om deze chips van binnen te bekijken. Verdachte chips kunnen zich onder meer bevinden in liften, kopieermachines, raketten, satellieten, auto's, etc. Naast dit ‘tweecijferig jaartal’-probleem zijn er nog drie varianten mogelijk van Y2K: • • •
het schrikkeljaarprobleem (sommige computers herkennen 2000 niet als schrikkeljaar, terwijl het dat wel is). problemen rond specifieke data, zoals 9/9/99 (veel gebruikt voor speciale toepassingen in computerprogramma’s). problemen met het beperkte datumbereik van een aantal embedded systems. Een aantal producten (waarvan het Global Positioning System (GPS) het bekendste is; een satellietsysteem bestemd voor plaatsbepaling, navigatie, etc.) houdt via een relatief eenvoudig telsysteem bij hoeveel tijd het al in de lucht is. In het geval van het GPS is deze teller vol op 21 augustus 1999 (GPS functioneert dan 1024 weken); de teller begint dan opnieuw en geeft aan dat het 1983 is. De consequentie hiervan kan zijn dat een aantal ontvangers die via GPS worden aangestuurd verkeerd gaan werken en/of uitvallen. GPS wordt onder meer gebruikt om kruisraketten naar hun doelen te geleiden. Het Amerikaanse ministerie van Defensie heeft als doelstelling om in 2000 alle vliegtuigen, schepen, tanks etc. van dit systeem te hebben voorzien.
Er is een groot aantal oplossingen mogelijk voor geconstateerde problemen. De meest voor de hand liggende, maar niet altijd realistische opties zijn: niets doen (en afwachten wat er gebeurt) of het verdachte item vervangen. Wanneer toch besloten wordt tot een inventarisatie naar de mogelijke problemen, en deze worden opgespoord, is het allereerst mogelijk de tweecijferige jaaraanduiding viercijferig te maken. Er zijn echter nog veel meer programmeringsmogelijkheden, zoals bijvoorbeeld de veel toegepaste techniek van het "windowing". Hierbij wordt een extra stuk software ingebouwd, dat alle jaartallen tussen 00 en 19 als 20.... laat lezen, en alle jaartallen tussen 20 en 99 als 19..... Op deze wijze worden de problemen twintig jaar uitgesteld.
HET MILLENNIUMPROBLEEM EN INTERNET Het millenniumprobleem is bij uitstek een thema waarvoor veel informatie op het internet te vinden is. Veel leveranciers van IT-systemen en software geven via internet informatie over hun producten en diensten. Een aantal stelt testprogramma’s of zelfs aanpassingsprogramma's (‘patches’) beschikbaar, om zo de indertijd geleverde systemen of software millenniumbestendig te maken. Ook voor informatie over de millenniumstatus van defensie-organisaties is het internet een goede bron. Tekenend voor het verschil in probleemperceptie is het feit dat over de millenniumvraagstukken binnen de Amerikaanse strijdkrachten tientallen officiële links te vinden zijn, met vooral veel informatie over de manier waarop het probleem wordt aangepakt. Informatie over de Russische situatie is vooral afkomstig uit persberichten en krantenartikelen. Het ideale startpunt voor een zoektocht over het world wide web wordt gevormd door de website van een Canadese Y2K-goeroe; Peter de Jager (internetadres: www.year2000.com). Op zijn site is een enorm archief beschikbaar van gepubliceerde artikelen; uiteraard zijn er ook de nodige links (enkele tientallen) te vinden naar andere sites op dit terrein. Over de stand van zaken in Nederland kan het beste worden gezocht op de site van het ministerie van Defensie (www.mindef.nl). Ook in nieuwsgroepen wordt gediscussieerd over alle aspecten van Y2K. Zoektermen als ‘y2k’, ‘nuclear’, ‘Russian’, ‘defence’, etc. leveren gegarandeerde hits op.
6
