Europese wetgeving als voorbeeld voor IT-veiligheid na Crowdstrike-debacle.
De catastrofale CrowdStrike storing heeft de kwetsbaarheid van onze moderne digitale infrastructuur pijnlijk blootgelegd. De wereldwijde uitval van IT-systemen, veroorzaakt door een mislukte software-update van cyberbeveiligingsfirma CrowdStrike Holdings Inc., heeft geleid tot chaos in luchthavens, effectenbeurzen en ziekenhuizen. Deze incidenten lijken steeds vaker voor te komen, wat een zorgwekkende trend is.
De storing was te wijten aan een update van CrowdStrike’s Falcon-software, ontworpen om systemen te beschermen tegen virussen en cyberdreigingen. Falcon, dat Microsoft als een belangrijke klant telt, heeft toegang tot een cruciale kern van besturingssystemen zoals Windows. Dit soort toegang is noodzakelijk om te voorkomen dat kwaadwillende hackers de antivirussoftware kunnen uitschakelen. Echter, als er een fout in de software-update sluipt, zoals nu het geval was, zijn de gevolgen desastreus.
gevolgen voor de wereld
Deze keer was de schaal van de storing ongekend. Windows-computers wereldwijd toonden de gevreesde “blue screen of death,” waardoor ze onbruikbaar werden. Luchtvaartmaatschappijen moesten vluchttijden op whiteboards schrijven en handgeschreven papieren tickets uitgeven. Een Britse televisiezender ging tijdelijk uit de lucht. Ondanks dat een oplossing inmiddels is uitgerold, toont deze storing aan hoe afhankelijk we zijn van een handvol cloud-providers.
De schuld ligt niet alleen bij CrowdStrike, maar ook bij Microsoft, dat verantwoordelijk is voor de robuustheid van zijn besturingssysteem. Interessant genoeg werden Apple’s en Linux’ besturingssystemen niet getroffen door de storing, volgens een blogpost van CrowdStrike. Beide systemen geven Falcon geen toegang tot hun kern, wat nu een verstandige keuze lijkt. Microsoft heeft niet gereageerd op verzoeken om commentaar.
Dit incident was geen cyberaanval, maar het resultaat van de complexe aard van cloud IT-processen. De cyberbeveiligingsindustrie heeft de afgelopen tien jaar zichzelf gepositioneerd als de beschermer tegen allerlei dreigingen, maar hierdoor is mogelijk de basis IT-hygiëne verwaarloosd. “De afgelopen jaren hebben de meeste van onze klanten meer uitgegeven aan cyberbeveiliging dan aan IT,” zei Palo Alto Networks Inc. CEO Nikesh Arora eerder dit jaar.
Een mogelijke technische oplossing is het “dubbel opstarten” bij software-updates, een techniek die al jaren wordt toegepast. Joao Alves, hoofd engineering bij online marktplaats Adevinta, tweette dat de techindustrie waarschijnlijk zal eisen dat cloudproviders dubbele opstartprocedures invoeren bij updates. Dit houdt in dat het systeem eerst één keer wordt opgestart om de update toe te passen, en een tweede keer om te controleren of het systeem stabiel is voordat de veranderingen volledig worden geactiveerd. Microsoft heeft nog niet gereageerd op vragen of zij deze procedures hanteren.
cloudproviders
De grotere uitdaging ligt in de afhankelijkheid van slechts een paar dominante cloudproviders, wat bedrijven kwetsbaar maakt voor enkele punten van falen. Slechts drie bedrijven – Microsoft, Amazon en Google – domineren de markt voor cloud computing. Dit betekent dat een klein incident wereldwijde gevolgen kan hebben.
Europese wetgevers zijn het verst gevorderd in het aanpakken van deze marktmonopolies met hun nieuwe Data Act, die de kosten voor het overstappen tussen cloudproviders wil verlagen en de interoperabiliteit wil verbeteren. Amerikaanse wetgevers zouden ook in actie moeten komen. Een mogelijke maatregel zou kunnen zijn om bedrijven in kritieke sectoren zoals gezondheidszorg, financiën, transport en energie te verplichten om meer dan één cloudprovider te gebruiken voor hun kerninfrastructuur. Hierdoor wordt ervoor gezorgd dat niet één enkele provider verantwoordelijk is voor meer dan twee derde van hun kritieke IT-infrastructuur.
De storing van vrijdag is een pijnlijke herinnering aan de gevaren van onze huidige IT-infrastructuur. Het zou zonde zijn om deze gelegenheid niet aan te grijpen als een katalysator voor verandering. Door te leren van deze incidenten en structurele verbeteringen door te voeren, kunnen we voorkomen dat dit soort nachtmerries een terugkerende realiteit worden.
