8:41
31/1/2018

Wychodzą na jaw nowe fakty dotyczące fałszywego alarmu rakietowego na Hawajach. To nie była tylko wina rozwijanego menu. To była cała seria nieporozumień, w której centrum były słowa “this is not a drill” umieszczone w komunikacie nadawanym w czasie ćwiczeń.

Federalna Komisja Łączności wydała raport na temat fałszywego alarmu rakietowego na Hawajach. Podśmiewaliśmy się, że była to wina rozwijanego menu, ale raport rysuje nieco inny, bardziej złożony obraz sytuacji. Co najważniejsze – pracownik agencji HI-EMA mógł naprawdę myśleć, że doszło do ataku rakietowego.

Różnica między “exercise” a “drill”

FCC przesłuchała pracowników agencji. Wszyscy chętnie udzielali wyjaśnień z wyjątkiem pracownika, który uruchomił alarm. Ten pracownik przedstawił wyjaśnienie na piśmie.

Ustalono, że agencja HI-EMA regularnie prowadziła ćwiczenia na wypadek ataku i dopracowywała swoje procedury. Ostateczna wersja checklisty, która była w użyciu 13 stycznia (w dniu fałszywego alarmu) została opracowana 5 stycznia, a więc zaledwie 8 dni wcześniej. Tego pechowego 13 stycznia nadzorca nocnej zmiany postanowił przeprowadzić ćwiczenia obejmujące czas pomiędzy zmianami. To miało sens. Pozwoliło sprawdzić szybkość reakcji w momencie, gdy trudno o szybką reakcję.

Gdy nadzorca dziennej zmiany przyszedł do pracy, jego odpowiednik ze zmiany nocnej ustnie zakomunikował mu zamiar przeprowadzenia ćwiczeń. Doszło do pierwszego małego nieporozumienia. Nadzorca zmiany dziennej zrozumiał, że ćwiczenia będą prowadzone na kolejnej zmianie nocnej. Nie poczynił więc przygotowań odpowiednich do ćwiczeń na jego zmianie (np. nie było go w miejscu uniemożliwiającym mu reakcję).

O godzinie 8:05 wykonano telefon do pracowników na zmianie dziennej. Telefon miał imitować połączenie z U.S. Pacific Command. Odtworzone nagranie zaczynało się słowami “exercise, exercise, exercise”, ale potem jego tekst był standardowy i znalazło się w nim także zdanie “this is not a drill”. Nagranie zakończono również słowami “exercise, exercise, exercise”.

Wygląda na to, że pracownik na zmianie zwrócił uwagę na “this is not a drill” i pomimo uszu puścił “exercise, exercise, exercise”. W sumie trudno mu się dziwić.

Ćwiczenia wykazały lukę. Niejedną

Później nastąpiło jeszcze jedno nieporozumienie. W raporcie FCC czytamy.

According to the written statement, this day shift warning officer therefore believed that the missile threat was real. At 8:07 a.m., this officer responded by transmitting a live incoming ballistic missile alert to the State of Hawaii. The day shift warning officer used software to send the alert.(…)  The prompt read, “Are you sure that you want to send this Alert?” Other warning officers who heard the recording in the watch center report that they knew that the erroneous incoming message did not indicate a real missile threat, but was supposed to indicate the beginning of an exercise. Specifically, they heard the words: “exercise, exercise, exercise.”

Zdaniem FCC szczególnie istotna w tej sytuacji była jedna rzecz. Nie było procedur, które mogłyby powstrzymać jednego człowieka od wysłania alarmu rakietowego. Procedura powinna wymagać sprawdzenia alarmu przez kolegę, lub uzyskania zgody od nadzorcy przed wysłaniem ostrzeżeń.

Czy to znaczy, że nasze wcześniejsze narzekanie na interfejs było niesłuszne? Ależ nie. FCC również zauważyła, że środowisko testowe powinno być wyraźnie odmienne od środowiska produkcyjnego. Pytanie adresowane do pracownika przed wysłaniem alarmu nie powinno brzmieć “Are you sure you want to send this alert?”, bo brakowało w nim informacji jakiego rodzaju alarm ma być wysłany. Później dały o sobie znać kolejne niedoróbki. Jak już pisaliśmy, HI-EMA nie przewidziała możliwości wystąpienia fałszywego alarmu i nie miała procedur wstrzymania go. To rozciągnęło moment grozy aż do 38 minut.

Mimo nowych faktów obstajemy przy tym co wcześniej napisaliśmy. Projektowanie interfejsu może wpływać na bezpieczeństwo. A swoją drogą… decyzja o przeprowadzeniu testu pomiędzy zmianami była słuszna. Ukazała coś, na co agencja naprawdę nie była przygotowana.

Ten tekst stanowi aktualizację artykułu pt. Fałszywy alarm rakietowy na Hawajach to wina… rozwijanego menu


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

15 komentarzy

Dodaj komentarz
  1. Nowe informacje nie umniejszają znaczenia błędu w UI. Tym razem okazało się, że nie on był główną przyczyną, ale z taką pomyłką w interfejsie użytkownika następnym razem może dojść do sytuacji odwrotnej: zamiast faktycznego alarmu zostanie wysłany testowy.

  2. Według mnie, głupotą jest używanie podczas ćwiczeń sformułowania ‘to nie są ćwiczenia’ , poprzedzonego informacją, że to jednak są ćwiczenia. “This is not a drill’ powstało dokładnie po to, aby natychmiast odróżnić ćwiczenia od prawdziwego alarmu. Człowiek, wyuczony reakcji na te słowa, prawdopodobnie odruchowo wykona swoje zadanie. Tak jak to miało miejsce w tej sytuacji.

    • ‘to nie są ćwiczenia’ rzeczywiście wydaje się głupie, ale ma pewne uzasadnienie. Testy mają sprawdzić, czy da się ogłosić alarm, więc powinny używać możliwie zbliżonej architektury. Co, jakby plik z nagraniem zawierającym ‘to nie są ćwiczenia’ nie zadziałał, a podczas testów plik z ‘to są ćwiczenia’ zadziałał?

  3. Jeśli np. nie było go w miejscu uniemożliwiającym mu reakcję to znaczy, ze mógł zareagować. Chyba jednak powinno być np. nie było go w miejscu umożliwiającym mu reakcję

    • Pewnie wlasnie nie ma błędu, bo scenariusz może zakladac, że pracownik nie znajduje się w sytuacji gdzie może natychmiast podjąć dzialanie. Chodzi o czas reakcji w różnych sytuacjach.

  4. Smutne jest to że w Polsce prawdopodobnie nie wystąpi coś takiego bo nie istnieją podobne systemy

    • Na szczescie nie wiesz o czym mowisz. I niech tak zostanie.

    • Systemy działają, może nawet niejeden, ale działają tak, że informacja by do mało kogo dotarła. A spośród tych, do których by dotarła większość by zignorowała. A spośród tych, którzy by nie zignorowali, mało kto by wiedział co zrobić.

    • @ktos – oho, ty to pewnie jakiś tajniak, który WIE. Ja kojarzę tylko syreny na dachach budynków jako system ostrzegawczy. Jak wyją i nie przestają to pewnie trzeba się schować. Mamy coś więcej?

    • Sytuacja z lata zeszłego roku z harcerzami dowiodła że nie działa

  5. Dodałbym, że słowo “exercise” jest dwuznaczne (może znaczyć również m.in. “wykonaj”), zaś sformułowanie “This is not a drill” – bardzo jednoznaczne, więc właściwie pracownik zachował się prawidłowo. Komunikat poprzedzający powinien być sformułowany bardziej jednoznacznie, np. “This is ONLY exercise”.

    • Otórz to, rzeczownik exercise znaczy ćwiczenia, ale czasownik exercise to już wykonaj.

      Nie dziwota, że pracownik uznał “exercise, exercise, exercise” “this is not a drill” za “wykonaj, wykonaj, wykonaj” “to nie są ćwiczenia”.

  6. Chyba koledzy mylicie exercise z execute.

    • Nie mylimy :-).

      Jasne, jakby człowiek dłużej pomyślał, to by pewnie wymyślił, że słowo “exercise” w tym kontekście pasuje średnio i należałoby użyć właśnie “execute” (gdyby miało znaczyć “wykonaj”)… tyle że w sytuacji stresowej raczej się tak nie rozważa.

      Dwuznaczność na pewno jest. A w sytuacjach stresowych dwuznaczność nie jest wskazana.

Odpowiadasz na komentarz mpan

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: