Een update van computerbeveiligingsbedrijf CrowdStrike legde afgelopen maand computers over de hele wereld lam. Volgens experts kan het zo nog eens gebeuren.
Ineens lieten computers over de hele wereld een blauw scherm zien. Van vliegvelden tot ziekenhuizen en van mediabedrijven tot banken: de computers deden niets meer. Vluchten konden niet vertrekken, omdat passagiers niet konden worden ingecheckt; operaties in ziekenhuizen moesten worden afgeblazen; klanten van banken konden geen geld opnemen.
Al snel was duidelijk dat het hier niet ging om een hack of een cyberaanval. Bron van alle ellende was een update van het bedrijf CrowdStrike, dat met zijn software bij zo’n dertigduizend bedrijven en organisaties wereldwijd zorgt voor de bescherming van computers tegen virussen en andere malware.
Een update die CrowdStrike naar alle Windows-computers van klanten had gestuurd, bevatte een foutje, waardoor die computers crashten en niet meer werkten. Pas nadat elke computer handmatig was opgestart, kon de foutieve update worden verwijderd en de computer weer normaal functioneren.
Hoe kon het zo misgaan?
CrowdStrike stuurde een update uit naar alle Windows-computers waarvoor het verantwoordelijk was. Via een internetverbinding kwam die update binnen in de kernel van de computer. ‘Dat is het hart van de computer, dan ben je echt onder de motorkap bezig’, zegt Bert Hubert, softwareontwikkelaar en voormalig toezichthouder op de inlichtingendiensten. ‘Maar het zorgwekkendst vind ik dat CrowdStrike de nieuwe update niet eerst zelf in de praktijk heeft getest. Er is wel een analyse op gedaan, maar de update is niet eerst op een klein aantal computers bij het bedrijf zelf getest.’
Ook Christo Butcher, executive consultant bij cyberbeveiligingsbedrijf Fox-IT, vindt dat raar. ‘CrowdStrike valideert updates wel voor die naar klanten te sturen, maar dat is niet hetzelfde als zorgvuldig testen. Bij die validatie wordt gecheckt of updates aan een aantal regels voldoen, en dus niet of ze in de praktijk ook goed werken. Dat is alsof je een document voor publicatie door een spellingschecker haalt, maar niet checkt of de boodschap nog wel klopt. De CrowdStrike-crash liet zien dat dat niet genoeg is. Mensen maken fouten, dus we moeten de processen daarop inrichten. Validatie kan helpen, maar grondig testen blijft nodig om die fouten te vinden voor ze onder klanten te verspreiden.’
Heeft de fout van CrowdStrike experts verrast?
‘Ja, toch wel. De tool die CrowdStrike levert kost wat en staat bekend als kwalitatief hoogwaardig’, zegt Butcher. ‘Het bedrijf levert dan ook aan grote bedrijven de security van hun computersystemen. Die hadden veel vertrouwen in CrowdStrike, iets dat je over langere tijd opbouwt. Wat dat betreft is dit wel een wake-up call: dit gaat zo zelden mis, dat veel bedrijven hun plan B niet oefenen. Dat is een belangrijke les.’
Ook Bert Hubert is geschrokken van de impact van de foute update. ‘Ik wist niet dat CrowdStrike zó snel was gegroeid; dat is een beetje buiten de schijnwerpers gebeurd.’ Veel mensen kenden het bedrijf niet eens bij naam, terwijl het bedrijf inmiddels bijna achtduizend medewerkers heeft en een jaaromzet van drie miljard dollar. ‘Voor dat geld hadden ze toch wel aan stagiair kunnen aanstellen die de updates test voordat ze worden uitgestuurd? Simpel zat.’
Zou dit nog eens kunnen gebeuren?
Jazeker, zeggen de experts. En nog wel erger ook. ‘Neem het pakket Microsoft 365, dat is het grootste risico’, zegt Hubert. ‘Dat wordt in het bedrijfsleven op 95 procent van de computers gebruikt. Als die software er op een dag mee ophoudt, dan kunnen we niet meer e-mailen. Eén dag per jaar ligt Microsoft 365 er gemiddeld al uit, zie het als een nationale vrije dag.’
Hubert heeft voorbeelden te over van organisaties die bij haperende computers direct in de problemen komen. De Nederlandse Spoorwegen moest in 2022 alle treinen stilzetten omdat het computersysteem dat zegt waar de treinen moeten eindigen eruit lag. ‘Daar was wel een back-up van, maar die deed het ook niet.’
Ook bij de Luchtverkeersleiding Nederland komt het soms voor dat de software er even uitligt, zegt Hubert. ‘Dan kunnen vliegtuigen een paar uur niet landen en moeten ze naar een ander vliegveld.’
Bussen in onder meer Almere die door de chauffeurs langs de kant van de weg werden gezet omdat het systeem eruit lag. Trams in Utrecht die stil kwamen te staan door een storing in het netwerk van Vodafone. Het zijn allemaal zaken met ontwrichtende gevolgen voor de maatschappij.
Butcher van Fox-IT wil daar nog wat aan toevoegen. Nu was het een foutje van het softwarebedrijf waardoor vele Windows-computers stopten met werken, maar er zijn ook hackers actief die op dit soort kwetsbaarheden loeren, waarschuwt hij. ‘Als die via deze route bij miljoenen computers binnenkomen, dan is de schade veel groter. Het binnendringen via bedrijven zoals CrowdStrike is voor “statelijke actoren” ontzettend interessant.’
Waarom pakken beleidsmakers dit nu niet eindelijk eens grondig aan?
Tsja, verzucht Hubert. Pas als het kalf verdronken is, dempt men de put, luidt het spreekwoord. Cynisch gezegd is de schade voor de maatschappij door een cyberaanval of een verkeerde update nog niet zo groot geweest, dat de overheid wel actie móét ondernemen. ‘Pas na de ramp met de Titanic besloten overheden om wetten en regels op te stellen voor het ontwerpen en bouwen van schepen. Tot die tijd deed men eigenlijk maar wat.’
Wat dat betreft openen de CrowdStrike-problemen misschien eindelijk de ogen van de politiek, omdat het zo breed in de maatschappij doorwerkte. Op allerlei plekken werden mensen erdoor getroffen. Vanuit Europa komt er nu een nieuwe richtlijn aan die bedrijven verplicht een plan B te hebben voor de zeldzame gevallen dat de computers eruit liggen. ‘Een onderdeel van deze NIS2-richtlijn is dat bedrijven worden verplicht een continuïteitsplan te hebben’, zegt Hubert.
Luchtvaartmaatschappijen konden passagiers aan boord laten door ze uiteindelijk handmatig, met pen en papier, in te checken. Maar veel andere getroffen bedrijven hadden geen plan B toen hun computers uitvielen. Hoe kan dat?
De CrowdStrike-storing bracht aan het licht welke bedrijven een terugvalplan hebben, en welke niet. Omdat updates bijna altijd goed gaan, denken veel bedrijven niet meer na over wat ze moeten doen als de computers er echt allemaal ineens uit liggen.
‘Maar het verschilt tussen bedrijven’, zegt Hubert. ‘Het ene ziekenhuis heeft het goed geregeld, zodat ze met losse laptops snel weer kunnen opstarten. Maar andere ziekenhuizen zijn volledig afhankelijk van externe computers, en komen dus helemaal tot stilstand. Dat is best een enge constatering.’
‘Die luchtvaartmaatschappijen konden terugvallen op papier, omdat ze het in het verleden zo hebben gedaan. Dat zit nog een beetje in hun systeem’, zegt Butcher. ‘Ik spreek ook wel mensen in de voedselindustrie en daar zijn traceercodes cruciaal om te weten waar leveringen vandaan komen en wanneer. Ook die processen zijn volledig gedigitaliseerd, maar als de nood hoog is zouden die bedrijven dit wel tijdelijk op papier kunnen doen. Het is veel gedoe, maar het kán.’
En dan was er nog een ander probleem?
Het is een risico dat bedrijven en overheden allemaal dezelfde software op hun computers zetten, zei Hubert eerder tegen De Volkskrant. ‘Door één vergissing zijn we die computers vervolgens allemaal kwijt.’
Veel computers bij bedrijven draaien op het besturingssysteem Windows, en als werkelijk ál je systemen op dezelfde software draaien, dan maakt dat ze kwetsbaar. Gaat er maar iets mis, dan zijn al je computersystemen onbruikbaar.
Die eenzijdigheid bij de aanschaf van computers en hun systemen is vaak een kwestie van zuinigheid. Beter zou het zijn als bedrijven niet allemaal op hetzelfde paard wedden, meent Hubert. ‘Maar er is geen centrale instantie die bedrijven hiervoor behoedt. Hetzelfde zagen we ook in de pandemie. Praktisch alle ziekenhuizen kochten exact dezelfde machines om snot- en speekselmonsters te testen op covid-19. Dat liep goed, tot ineens bepaalde dopjes of pipetjes niet meer leverbaar waren. Toen viel alles stil. Beter is het om machines van verschillende merken te kopen.’
Beeld: Smishra1 / CC BY-SA 4.0
Nieuwsbrief
Vond je dit een interessant artikel, abonneer je dan gratis op onze wekelijkse nieuwsbrief.