Organisaties, inclusief degenen die niet door het CrowdStrike-incident getroffen zijn, moeten de verleiding weerstaan om de IT-crisis toe te schrijven aan uitzonderlijke omstandigheden.
Nu het stof is neergedaald na het cyber-incident veroorzaakt door een corrupte update van CrowdStrike, zullen veel bedrijven een grondige evaluatie willen uitvoeren van hoe het incident hun bedrijf heeft beïnvloed en wat er in de toekomst anders of beter gedaan zou moeten worden.
Voor de meeste kritieke infrastructuren en grote organisaties zal hun beproefde cyberweerbaarheidsplan ongetwijfeld in werking zijn getreden. Het incident, dat “de grootste IT-storing in de geschiedenis” wordt genoemd, was echter waarschijnlijk iets waar geen enkele organisatie, hoe groot en in overeenstemming met het digitale framework ook, zich op had kunnen voorbereiden. Het voelde als een moment uit de film Armageddon, zoals blijkt uit de verstoringen op grote luchthavens op vrijdag 19 juli 2024.
Een bedrijf kan zich uiteraard voorbereiden op het uitvallen van hun eigen systemen of die van enkele belangrijke partners. Maar, wanneer een incident zo wijdverspreid is dat het bijvoorbeeld de luchtverkeersleiding, overheidsvervoersdiensten, transportaanbieders en zelfs de restaurants op de luchthaven tot aan televisiezenders en media-bedrijven die passagiers over het probleem konden waarschuwen, treft, is de paraatheid waarschijnlijk beperkt tot je eigen systemen. Gelukkig zijn incidenten op deze schaal zeldzaam.
Wat het incident laat zien, is dat slechts een klein percentage apparaten offline hoeft te worden gehaald om een groot wereldwijd incident te veroorzaken. Microsoft bevestigde dat 8,5 miljoen apparaten waren getroffen – een conservatieve schatting zou dit aantal tussen de 0,5 en 0,75% van alle pc-apparaten schatten.
Dit kleine percentage omvat echter apparaten die veilig en altijd operationeel moeten blijven, ze bevinden zich in kritieke diensten. Dit is ook de reden waarom de bedrijven die ze beheren beveiligingsupdates en patches uitvoeren zodra deze beschikbaar zijn. Het niet bijwerken op korte termijn kan ernstige gevolgen hebben en deskundigen op het gebied van cyberincidenten ertoe brengen de redenering en competentie van de organisatie bij het beheer van cyberbeveiligingsrisico's in twijfel te trekken.
Belang van cyberweerbaarheidsplannen
Een gedetailleerd en allesomvattend cyberweerbaarheidsplan kan helpen om je bedrijf snel weer operationeel te krijgen. Toch kan je bedrijf in uitzonderlijke omstandigheden, zoals deze, niet operationeel wordt. Dit kan komen doordat anderen waar je bedrijf op vertrouwt, niet zo goed voorbereid zijn of niet snel genoeg noodzakelijke middelen inzetten. Geen enkel bedrijf kan op alle scenario’s anticiperen en het risico op verstoring van bedrijfsactiviteiten volledig elimineren.
Dat gezegd hebbende, is het belangrijk dat ALLE bedrijven een cyberweerbaarheidsplan aannemen en het plan af en toe testen om te verzekeren dat het naar verwachting presteert. Het plan kan zelfs samen met directe zakenpartners worden getest, maar testen op de schaal van het CrowdStrike incident is waarschijnlijk onpraktisch. In eerdere blogs hebben wij de kernonderdelen van cyberweerbaarheid gedetailleerd behandeld om wat advies te geven. Hier kun je lezen hoe je de cyberweerbaarheid en cyberparaatheid van jouw organisatie kan verbeteren.
De belangrijkste boodschap na het incident van afgelopen vrijdag is om de evaluatie niet over te slaan of het incident toe te schrijven aan uitzonderlijke omstandigheden. Het beoordelen van een incident en ervan leren zal je vermogen om met toekomstige incidenten om te gaan verbeteren. Deze beoordeling moet ook het probleem van afhankelijkheid van slechts een paar leveranciers, de valkuilen van een monocultuurtechnologie-omgeving en de voordelen van het implementeren van diversiteit in technologie om risico’s te verminderen in overweging nemen.
Op één paard wedden
Er zijn verschillende redenen waarom bedrijven op één paard wedden en dus kiezen voor één enkele leverancier. De eerste reden hiervoor is kosteneffectiviteit, de anderen zijn waarschijnlijk het gemak van één enkele managementinterface en inspanningen om meerdere beheerplatforms en incompatibiliteit tussen vergelijkbare, naast elkaar bestaande oplossingen te vermijden. Het kan tijd zijn voor bedrijven om te onderzoeken hoe geteste co-existentie met hun concurrenten en gediversifieerde productselectie risico's kunnen verlagen en klanten ten goede zou kunnen komen. Dit zou zelfs de vorm kunnen aannemen van een industriële vereiste of standaard.
Het vermijden van incidenten kan bereikt worden door geen gebruik te maken van technologie die zo oud is dat deze kwetsbaar wordt voor dergelijke incidenten. Een artikel meldde dat Southwest Airlines niet werd getroffen, naar verluidt omdat ze gebruikmaken van Windows 3.1 en Windows 95, systemen die in het geval van Windows 3.1 al meer dan 20 jaar niet zijn bijgewerkt. Het is onzeker of er nog anti-malware producten zijn die deze verouderde technologie kunnen ondersteunen en beschermen. Deze strategie met oude technologie biedt echter niet het vertrouwen dat nodig is voor cyberweerbaarheid. Oude technologie is geen oplossing en zeker geen levensvatbaar cyberweerbaarheidsplan.