Samenwerken in verkeer en verkeersmanagement stoelt op vertrouwen

We zijn nog druk doende om Cooperative Intelligent Transport Systems, C-ITS, van de grond te krijgen. Toch richt de blik van de verkeerswereld zich alweer op de volgende golf: Cooperative, Connected and Automated Mobility, CCAM. De beloften van al dit moois zijn groot, maar zo ook de risico’s. Vooral veiligheid is een punt: hoe zorgen we ervoor dat we blind kunnen varen op de connected en steeds vaker ook automated systemen? Vertrouwen is het sleutelwoord, aldus de auteurs.


In de zeer nabije toekomst zullen voertuigen rechtstreeks met elkaar en met de weginfrastructuur communiceren. De ontwikkeling van de intelligente verkeersregelinstallatie (iVRI) is al een flinke stap in die richting. De digitale connectiviteit tussen voertuigen (= weggebruikers) onderling en tussen voertuigen en de weginfrastructuur zal het mogelijk maken dat weggebruikers en verkeersmanagers informatie van en over elkaar gebruiken om hun acties te coördineren. En dat komt de verkeersveiligheid, de verkeersefficiëntie en het rijcomfort weer ten goede: het helpt weggebruikers de juiste beslissingen te nemen en zich tijdig aan de verkeerssituatie aan te passen.

Die connectiviteit is ook van cruciaal belang om de toekomstige geautomatiseerde voertuigen te integreren in het vervoerssysteem. Wat dat aangaat zijn connectiviteit, coördinatie/coöperatie en automatisering niet slechts complementaire technologieën – ze versterken elkaar en zullen na verloop van tijd samensmelten. Ontwikkelingen als iVRI vallen nog onder de ‘golf’ van C-ITS, Cooperative (soms ook: Connected) Intelligent Transport Systems. Maar dat is dus vooral een aanloop naar de volgende golf: CCAM, Cooperative, Connected and Automated Mobility.

Vertrouwen in digitale connectiviteit
Deze (door)ontwikkeling valt of staat wel met het vertrouwen dat we kunnen hebben in de connectiviteit en in de hele keten aan computersystemen die CCAM mogelijk maken. Alle elementen moeten worden afgestemd en de partijen moeten inzicht hebben in elkaars gedragsregels (functionaliteit), kwaliteitsniveaus, beveiligingsniveaus en beschikbaarheidsniveaus.

Het is interessant hoe het Europese samenwerkingsverband Traffic Management 2.0 het vereiste vertrouwen interpreteert: “Geen van de stakeholder hoeft onder geen enkele omstandigheid het (verwachte) gedrag van de overige stakeholders in twijfel te trekken.” Een elegant ogende definitie die wel enigszins indruist tegen de realiteit van alledag. Om als weggebruiker de ‘juiste’ beslissingen te kunnen maken, moet je namelijk ook rekening houden met het feit dat er mogelijk weggebruikers zijn die bewust ‘verkeerde’ beslissingen en daarmee risico’s nemen, ook al worden ze gevoed met de juiste informatie. De tweede-orde-uitdaging van vertrouwen is dan ook: hoe behoud je vertrouwen in een systeem als een (klein) aantal stakeholders zich niet aan de regels houdt en/of er een aantal gehackte computersystemen tussen zitten?

In deze bijdrage zullen we de verschillende aspecten van dit vertrouwen benoemen om zo een beeld te schetsen van het werk dat voor ons ligt. We volgen bij deze bespreking de lijn uit figuur 1.

Figuur 1: Het succes van C-ITS en vooral CCAM valt of staat met het vertrouwen dat alle onderdelen (computersystemen) de zaken op orde hebben. De figuur geeft de belangrijkste vertrouwenskenmerken weer.



Beschikbaarheid
Voor het welslagen van CCAM is de beschikbaarheid van computersystemen – centrale systemen, voertuigsystemen, wegkantsystemen etc. – uiteraard essentieel. Door de systemen robuust en waar mogelijk redundant uit te voeren, zal de beschikbaarheid maximaal zijn.

Toch zal maximaal in de praktijk nooit 100% kunnen zijn en dus is het belangrijk om maatregelen te treffen ‘voor het geval dat’. Een voorbeeld: als een geautomatiseerd level 3-voertuig buiten zijn operational domain belandt, moet het de controle teruggeven aan de bestuurder. Lukt de overdracht niet (bestuurder slaapt of is onwel geworden), dan moet het voertuig terug kunnen vallen op een noodoplossing: het toestel veilig aan de kant zetten bijvoorbeeld.
Of stel dat de communicatieverbinding van een interactief verkeerslicht wegvalt en de iVRI geen data meer binnenkrijgt. In dat geval moet de iVRI terug kunnen schakelen naar een (lokale) basisregeling die altijd werkt.

Het computersysteem moet verder in staat zijn zichzelf te herstellen, zodat het zo snel mogelijk weer geheel beschikbaar is. Is dat niet mogelijk, dan moet het in de veilige modus blijven functioneren en is hulp van buitenaf een vereiste. Deze hulp moet vóóraf georganiseerd zijn en niet aan improvisatie worden overgelaten. Beschikbaarheid is daarmee zowel een technische als een organisatorische aangelegenheid.

Beveiliging
Digitale connectiviteit is een krachtig instrument. Kracht komt echter met zwakheid, in dit geval in de vorm van bedreigingen en kwetsbaarheden – en ontwikkelaars zullen hiermee rekening moeten houden bij het ontwerp van een product of dienst. We noemen kort een paar voorbeelden van bedreigingen.

De computersystemen die ‘connected’ weggebruikers en verkeersmanagers gebruiken, zijn verbonden met backend servers. Bij niet-afdoende (cyber-) beveiliging kunnen indringers zich op oneigenlijke wijze toegang verschaffen tot deze backend servers en vandaaruit persoonsgebonden gegevens onttrekken of, erger nog, binnendringen in de computersystemen in het voertuig of in de wegkantsystemen. Daar kunnen ze voertuig- of wegkantsysteemfuncties verstoren, bijvoorbeeld door niet-legitieme updates door te voeren.
Ook kunnen ze de diensten vanuit de servers verstoren, waardoor de informatie naar de weggebruikers of het functioneren van een voertuig of wegkantsysteem onheus wordt beïnvloed.
Een andere plek waar indringers zich op kunnen richten, zijn de communicatiekanalen tussen de weggebruikers onderling, tussen weggebruikers en wegkantsystemen en met de backend systemen. Ze zouden berichten of gegevens kunnen manipuleren en zelfs hele communicatiesessies kunnen kapen.

Dit zijn dan de doelbewuste bedreigingen. Er zijn echter ook bedreigingen die het gevolg zijn van onbedoelde handelingen van legitieme actoren, zoals de eigenaar of onderhoudsmedewerkers. Een verkeerde configuratie of aanpassing van computersystemen zou bijvoorbeeld tot ongeoorloofd gedrag van het systeem kunnen leiden – of de deuren openzetten voor een cyberaanval.

Om deze bedreigingen te pareren moeten alle computersystemen binnen de CCAM-context worden beschermd en ‘cyberbeveiligd’. Het is daarbij zaak de potentiële zwakke plekken goed in beeld te krijgen. Onvolkomenheden in de software of hardware, zwakke wachtwoorden, het kwijtraken van vertrouwelijke informatie over een systeem (de vergeten laptop), de fysieke manipulatie van een voertuig of een kastje aan de wegkant – de kwetsbaarheden zijn legio en divers.

Goede cyberbeveiliging komt met het drieluik preventie, detectie en correctie. Preventieve maatregelen zijn onder meer het beveiligen van de toegang tot het computersysteem, borgen dat alleen geautoriseerde (vakbekwame en betrouwbare) mensen toegang krijgen en borgen dat het computersysteem zelf robuust is tegen aanvallen van buitenaf. Detectieve maatregelen richten zich op het monitoren van computersystemen en weggebruikersgedrag. En correctieve maatregelen zorgen ervoor dat het systeem zo snel mogelijk weer normaal functioneert als zich (hack-) problemen voordoen.

Voorspelbaar gedrag
Vertrouwen is gebaat bij sobere en qua gedrag goed afgebakende computersystemen, niet bij ongebreidelde functionaliteit. Om het gedrag van een computer goed af te bakenen, is het belangrijk om bij het ontwerp eenduidig vast te stellen wat het gedrag is dat we van het computersysteem verwachten en wat het gedrag is dat het computersysteem juist niet mag vertonen. De functionaliteit en de wijze van configureren van het computersysteem leiden we vervolgens af uit beide definities.

Let wel, het is mogelijk in de ontwerpfase van het computersysteem te testen of het systeem geen ‘ongeoorloofd gedrag’ vertoond, maar met die tests haal je nooit alle mogelijke problemen eruit. Vandaar de detectieve maatregelen.

Samenwerken
Tot zover de connectiviteit en automatisering. Zoals we eerder opmerkten, komen CCAM en het onderliggende C-ITS met nieuwe vormen van samenwerking op en rond de weg: samenwerking tussen weggebruikers – en dan vanzelf ook: de serviceproviders waar zij gebruik van maken – en de verkeersmanagers. Ook die samenwerking stoelt op onderling vertrouwen. Het is in dat verband interessant te kijken naar de drie mogelijke niveaus van samenwerking, zoals geïdentificeerd in weer een ander Europees project, SOCRATES2.0.

De minst ambitieuze samenwerkingsvorm is ‘samenwerken met gepaste afstand’. Er wordt dan sec informatie uitgewisseld tussen stakeholders. Denk aan actuele of verwachte verkeersomstandigheden, aan de maatregelen die de verkeersmanagers inzetten en aan de tactische dan wel strategische doelen achter die maatregelen. De stakeholders beschikken in deze samenwerkingsvorm over meer informatie dan voorheen en kunnen die gebruiken om hun dienstverlening te optimaliseren. De partijen moeten uiteraard wel op elkaars informatie kunnen vertrouwen: de informatie moet integer, consistent, accuraat, precies en actueel zijn.

Ambitieuzer wordt het wanneer de stakeholders gaan ‘samenwerken vanuit een gedeeld beeld’. Ze delen dan informatie en leiden er een gemeenschappelijk beeld uit af van de actuele en verwachte verkeersomstandigheden. Met dat beeld worden ook de eventuele conflicten tussen elkaars motieven en doelen inzichtelijk. Wat goed is voor de individuele weggebruiker hoeft immers niet goed te zijn voor het wegennet en het wegverkeer als geheel. Het is nog wel zo dat de stakeholders zelf bepalen wat ze met dat beeld doen.

Het hoogste ambitieniveau halen we wanneer publieke en private stakeholders ‘samenwerken door hun acties onderling te coördineren’. Ze wisselen informatie uit, leiden een gezamenlijk beeld af én coördineren de daaropvolgende acties. In feite is dit het niveau waar CCAM zich op richt. Met dit niveau wordt de samenwerking echt serieus: de partijen moeten nu ook op elkaars keuzes en daarmee gedrag aan kunnen. Anders gezegd, ze hoeven elkaars gedrag niet in twijfel te trekken en als er toch ongewenst gedrag wordt vastgesteld, reageren ze tijdig.

Risicoanalyse
Om zelf een betrouwbare stakeholder in C-ITS en uiteindelijk CCAM te kunnen zijn, zal vertrouwen diep moeten worden ingebed in het ontwerp van het computersysteem en de manier van samenwerken. We spreken in dat verband wel van trust-by-design.

Het volgende (basic) stappenplan kan hierbij helpen:

  1. Bepaal de eigen rol binnen C-ITS en later CCAM.
  2. Beschrijf het eigen gedrag in termen van de beoogde samenwerking en coördinatie binnen C-ITS en CCAM, en de kenmerken van het ondersteunende computersysteem (gedrag en bijbehorende functionaliteit, informatie, cyberbeveiliging en beschikbaarheid).
  3. Stel de impact van verstoringen binnen de samenwerking vast.
  4. Vertaal deze impact naar risico’s voor het eigen gedrag.
  5. Bepaal risicomitigerende maatregelen en neem deze mee in het ontwerp van het eigen ondersteunende computersysteem en de processen en procedures binnen de samenwerking en coördinatie.

De essentie van dit stappenplan – zie ook weer figuur 1 – is dat binnen de context van C-ITS of CCAM geen enkele stakeholder de eigen processen, procedures en computersystemen in hun isolement kan ontwerpen, ontwikkelen en operationaliseren zonder zich terdege bewust te zijn van het verwachte gedrag van de andere stakeholders en mogelijke verstoringen daarin. En dat iedere stakeholder de plicht heeft het eigen gedrag, en wat de overige stakeholders daarvan mogen verwachten, helder te communiceren. Of het nu gaat om de producent van een hoogst geautomatiseerd en connected voertuig, om de ontwikkelaar van netwerkmanagementsystemen en ITS-applicaties of om de producent van iVRI’s en andere connected wegkantsystemen – iedereen en alles moet op iedereen en alles kunnen vertrouwen.

In het verlengde van dit stappenplan zal er overigens behoefte zijn aan een zekere mate van governance om het gedrag van stakeholders te handhaven. Een detectieve maatregel, zogezegd. Daarmee instemmen en daarmee samenwerken is ook een kwestie van vertrouwen.

Bronvermeldingen

____

De auteurs
Paul van Koningsbruggen is directeur Mobiliteit van Technolution en redactielid van NM Magazine.
Willem de Boer is security domain architect bij Technolution.