De CrowdStrike-storing toont aan dat risicobeheer essentieel is. Steeds weer blijken bedrijven daar slecht in te zijn. Ze onderschatten hoe snel problemen zich verspreiden. Daarnaast kent de IT te veel leveranciers die in hun marktsegment dominant zijn.
Terwijl de wereld blijft evalueren wat de nasleep is van wat men nu al de grootste IT-storing in de geschiedenis noemt, zullen leiders uit de industrie en de overheid zich natuurlijk afvragen hoe dit allemaal precies kon gebeuren.
Het meest opvallende is natuurlijk dat het bedrijf dat in het middelpunt van dit alles staat – cybersecurityfirma CrowdStrike – expliciet bedoeld is om IT-systemen te beschermen in onze hyperverbonden wereldeconomie. Is CrowdStrike de schuldige of hadden ze gewoon pech? Kan dit opnieuw gebeuren?
Voorbereiden op catastrofe
Veel grote bedrijven haten het om na te denken over en zich voor te bereiden op grote catastrofes die moeilijk te voorspellen zijn. De gebeurtenissen van vrijdag hebben aangetoond hoe belangrijk het is dat ze dat wel doen. De impact van een incident kan immers immens zijn. Voor de leverancier én voor diens klanten.
“We hebben de mensen in de steek gelaten die we beloofd hadden te beschermen,” zegt Shawn Henry, de CSO van CrowdStrike, op LinkedIn. De wereldwijde IT-storing veroorzaakt door een foutieve update van CrowdStrike was een “mokerslag” voor het bedrijf, hoewel het “in het niet valt” vergeleken met wat klanten en partners hebben doorgemaakt, voegt hij eraan toe.
De defecte Falcon-update van CrowdStrike leidde tot de “blue screen of death” voor Windows-systemen wereldwijd op vrijdag en veroorzaakte wijdverspreide verstoringen in de luchtvaart, gezondheidszorg, bankwezen en meer. Microsoft maakte zaterdag bekend dat 8,5 miljoen Windows-apparaten werden beïnvloed door de update van CrowdStrike.
Risico’s accepteren
We zijn dagelijks afhankelijk van technologie voor vrijwel elk aspect van ons leven. Dit globale IT-netwerk brengt met zich mee dat wanneer er iets misgaat, het snel en overal mis kan gaan. Het is een afweging, analyseert The Conversation. Als we de voordelen van onze datagedreven, netwerkgerichte economie willen, moeten we risico’s accepteren.
De afweging strekt zich uit tot de keuzes die worden gemaakt door de aanbieders van de diensten waarop we vertrouwen. Deze pijnlijke les werd geleerd door sommige bedrijven die nog nooit van CrowdStrike hadden gehoord, maar er vrijdag achter kwamen dat cruciale software ervan afhankelijk was. Het kiezen van upstream-providers betekent het accepteren van de risico’s van hun afwegingen.
Martkdominantie
Een fundamenteel uitgangspunt van economie is dat concurrentie goed is. Toch zien we in technologiemarkten vaak dat slechts een paar spelers domineren. De gebeurtenissen van vrijdag waren zo wijdverspreid omdat Microsoft en CrowdStrike dominante spelers zijn in hun respectieve markten. Dat maakt ondernemingen kwetsbaar.
Het risico van een storing zoals het CrowdStrike-incident had op het risicoregister van de getroffen organisaties moeten staan. We kunnen onze risicobereidheid kiezen en dienovereenkomstig investeren in risicobehandelingen om de geïdentificeerde risico’s binnen die grenzen te houden.
Redundantie
Investeren in volledig redundante systemen als een behandeling had sommige schade van de gebeurtenissen van vrijdag kunnen beperken. Veel systemen die geen gebruik maakten van CrowdStrike werden niet direct beïnvloed. Sommige organisaties konden zelfs nog overschakelen naar op papier gebaseerde systemen.
Risicobeheer is complex. CrowdStrike zelf is een risicobehandeling – voor het risico van cyberaanvallen. De storing van vrijdag was deels het resultaat van snel patchen – een snelle uitrol van een update om een specifiek cyberaanvalrisico te behandelen. Door het ene risico te behandelen, kunnen we ons blootstellen aan nieuwe risico’s.
Hoewel de CSO van CrowdStrike het boetekleed aantrok zijn LinkedIn-post, bleef hij vaag over de oorzaak van de ramp. “Om een nog onbekende reden veroorzaakte deze configuratie-update een logische fout, resulterend in een systeemcrash en blue screen (BSOD) op de getroffen systemen.”