Vals alarm op Hawaii: hoe kon het toch zo fout gaan?

Hoe moeilijk kan het zijn

Denkfouten in hedendaags ontwerp gefileerd door innovatie-expert (en cabaretier) Jasper van Kuijk. Deze week: vals alarm.

Commandocentrum op Hawaii dat de dreiging monitort en de waarschuwing uitstuurde. Foto ap

Zondag werden de inwoners van Hawaii op hun telefoon gewaarschuwd voor een raketaanval. Pas na 38 minuten kregen ze een tweede berichtje: oeps, sorry, geen raketaanval. De gouverneur van Hawaii sprak van een menselijke fout en de betrokken operator werd voorlopig overgeplaatst.

In de dagen daarna werd duidelijk met wat voor interface de operator had moeten werken. Zowel het echte alarm als de test ervan blijken te worden bediend door een optie aan te klikken in een lange lijst. De opties hebben bovendien tekstlabels die wel erg op elkaar lijken, onder andere:

DRILL - PACOM (CDW) - STATE ONLY

PACOM (CDW) - STATE ONLY

De eerste is de test (DRILL), die maandelijks gedaan moet worden en die een berichtje stuurt naar een aantal geselecteerde testapparaten, de tweede betreft het werkelijke alarm. Twee acties die zeer verschillende consequenties hebben, waarvan het tekstlabel voor 80 procent identiek is.

Ten tweede had het alarm geen ontgrendeling. Je kent het vast wel uit films als Top Gun: voordat een raket afgeschoten kan worden moet er een kapje van de raketknop af worden gehaald en dan pas kan de raket worden gelanceerd. Dit om te voorkomen dat een piloot bij het landen per ongeluk de verkeerstoren aan gort schiet.

De meldingen die in Hawaii werden ontvangen Foto reuters

Ook ontbrak een bevestiging nadat er gekozen was voor de optie die het echte alarm in werking stelt. Als een optie wordt gekozen met grote consequenties moet een systeem nogmaals om bevestiging vragen - het liefst op een manier die niet gedachteloos kan worden uitgevoerd en die duidelijk verschilt van opties met minder grote consequenties, bijvoorbeeld door opnieuw om een wachtwoord te vragen.

Tot overmaat van ramp was er in deze interface die alles leek te doen om fouten uit te lokken geen undo-knop opgenomen: de procedure om burgers te informeren dat het vals alarm liep via het Amerikaanse bureau voor rampenbestrijding Fema. Vandaar dat het 38 minuten duurde tot ze gerustgesteld konden worden.

Dit was geen interface, maar een boobytrap. Het was de operator die de spreekwoordelijke trekker overhaalde, maar genoemde menselijke fout was al veel eerder gemaakt, in de ontwerpfase.

Jasper van Kuijk op Twitter: @jaspervankuijk