Wat CrowdStrike ons leert over supply chain management

Door Danny Bradbury • 24 September 2024

De wereldwijde IT-storing van deze zomer, die miljoenen computers platlegde en wereldwijd luchtvaartmaatschappijen aan de grond hield, liet zien hoe moeilijk het is om een moderne digitale toeleveringsketen te beheren. Kan effectief klantrisicobeheer helpen de gaten te dichten?

Op 19 juli kwamen er berichten binnen over een enorme storing in Windows-systemen die zich over meerdere sectoren verspreidde. Eindpunten waren down en konden niet goed opnieuw worden opgestart, wat leidde tot de grootste IT-storing in de geschiedenis. Het probleem kwam voort uit een logische fout in een update van de beveiligingssoftware van CrowdStrike, die 8.5 miljoen systemen downde, Volgens Microsoft. Herstel was een complex, handmatig proces. Naast de geannuleerde vluchten, leden ook bankklanten en patiënten in de gezondheidszorg, omdat de storing financiële transacties beïnvloedde en zelfs vertraagde chirurgische ingrepen.

"Het recente incident onderstreept hoe de groeiende afhankelijkheid van onderling verbonden IT-systemen het risicooppervlak heeft vergroot", aldus Mark E. Green, voorzitter van de House Homeland Security Committee, die op 24 september getuigenissen van CrowdStrike zal horen. Het is moeilijker dan ooit om risico's in de toeleveringsketen te beheren, niet alleen gezien de omvang van die ketens, maar ook de complexiteit van de softwareproducten en -processen die ze leveren.

"Ik zei het toch", zegt de GAO

De Amerikaanse Government Accountability Office zegt niet graag dat ze u dat verteld hebben, maar wil u er ook aan herinneren dat ze dat wel hebben gedaan. In een blogpost Na het incident wees het bedrijf op sterke overeenkomsten tussen deze onbedoelde fout en de cyberaanval die SolarWinds en haar klanten in 2020 trof.

Sinds mei 2010 heeft de GAO 1610 aanbevelingen gedaan die vier cybersecurity-uitdagingsgebieden bestrijken. Een daarvan, het opstellen van een uitgebreide cybersecuritystrategie en het uitvoeren van effectief toezicht, is het primaire aandachtsgebied voor supply chain-risico. In een rapport van juni over overheidsinspanningen om cyberrisico's te beperken, zei de GAO dat agentschappen er niet in zijn geslaagd 43% van de aanbevelingen op dit gebied te implementeren.

Het beheren van een geconsolideerde toeleveringsketen

"De federale overheid moet maatregelen nemen om effectief toezicht te houden, inclusief het monitoren van de wereldwijde toeleveringsketen", voegde de GAO toe in zijn rapport. Maar hoe implementeer je effectief toezicht op een machtig bedrijf dat het leeuwendeel van de markt controleert?

Dan Geer, die bijdroeg aan het X Windows-systeem en Kerberos en nu senior fellow is bij In-Q-Tel, onderzocht in zijn beroemde rapport uit 2003 hoe technologische monoculturen de beveiliging beïnvloeden Cyberonveiligheid: de kosten van een monopolieHet raakte zo'n gevoelige snaar in de corporate tech-wereld dat hij de dag na de publicatie werd ontslagen.

21 jaar later en een week na de storing van CrowdStrike, herinnerde ons eraan van het probleem:

"We weten dat beschermende redundantie niet zomaar ontstaat, en we weten dat een triljoen apparaten allemaal geen enkele bescherming bieden, maar juist het tegenovergestelde", zei hij. "We weten dat de bron van risico afhankelijkheid is, en we weten dat het totale risico evenredig is aan de totale afhankelijkheid."

Zoals Geer aangeeft, is marktconsolidatie die miljarden apparaten produceert die allemaal hetzelfde zijn een economische trend. Windows heeft meer dan 70% van de desktop OS-markt en twee bedrijven—Microsoft en CrowdStrike—bezitten samen 44% van de endpoint protection-markt.

Deze trend is sinds 2003 niet meer teruggedraaid. En dat zal in de toekomst ook niet gebeuren. Er zijn veel redenen waarom bedrijven dezelfde software kiezen als hun collega's, variërend van beschikbaarheid (het aantal beschikbare oplossingen consolideert in de loop van de tijd) tot risicomijdend (niemand is ooit ontslagen omdat hij IBM kocht) en beheerbaarheid (het is makkelijker om een vloot van duizend Windows-machines te beheren en te ondersteunen dan een scala aan verschillende endpoint-besturingssystemen).

Grote bedrijven doen ongetwijfeld hun best om de beste cybersecuritypraktijken te volgen, maar er gebeuren fouten. De Cyber Safety Review Board van de Amerikaanse overheid gevonden dat de beveiligingscultuur van Microsoft “ontoereikend was en een revisie nodig had” nadat cybercriminelen de systemen hadden gehackt en een cryptografische sleutel hadden gecompromitteerd die hen toegang gaf tot de accounts van senior executives. CrowdStrike, terwijl passend bescheiden zolang het kost niet teveel, een buggy update uitgebracht die niet werd opgemerkt.

Microsoft en CrowdStrike hielden op 10 september een besloten vergadering om te bespreken hoe ze kunnen voorkomen dat dit soort dingen opnieuw gebeuren. Ze bespraken maatregelen zoals minder vertrouwen op de kernelmodus, waarbij buggy software de extreme schade kan veroorzaken die in juli werd gezien. Zoals CrowdStrike legt uit, waarvoor Microsoft nog wat werk moet verrichten.

CrowdStrike zei ook dat het nu andere maatregelen zou nemen, zoals het gebruik van canary-releases (een basisbeste praktijk voor grootschalige implementatie) om de schade aan een kleiner aantal machines te beperken.

Hoewel het prijzenswaardig is dat zulke grote bedrijven nu van deze lessen leren, is het zorgelijk dat ze dit op kosten van hun klanten doen.

Wat klanten eraan kunnen doen

Het is belangrijk om de controles op het leveranciersbeheer te volgen, zoals die in ISO 27001 Bijlage A 5.22, maar zoals ISMS.online zegt, is het belangrijk om pragmatisch te zijn over hoeveel invloed je kunt hebben op een grote leverancier.

Niettemin heeft ISO 27001 veel te bieden met betrekking tot paraatheid voor incidentrespons. Het begint met het plannen van risico's door middel van grondige beoordeling, zoals uiteengezet in ISO 27001 artikel 6Het biedt ook waardevolle begeleiding bij Controle 5.30, waarmee organisaties voorbereid zijn op bedrijfscontinuïteit in geval van een probleem.

Deze maatregelen beschermen een bedrijf misschien niet tegen een ernstig incident hogerop in de toeleveringsketen, maar ze kunnen wel helpen de impact van dergelijke gebeurtenissen verderop in de toeleveringsketen te minimaliseren. Zo kunnen we de dienstverlening aan klanten en zakenpartners op peil houden.

Danny Bradbury

Danny Bradbury is sinds 1989 een printjournalist gespecialiseerd in technologie en sinds 1994 freelanceschrijver. Hij heeft geschreven voor nationale publicaties aan beide zijden van de Atlantische Oceaan en heeft prijzen gewonnen voor zijn onderzoeksjournalistieke werk op het gebied van cyberbeveiliging.

Lees meer van Danny Bradbury

Cyber security 15 januari 2026

Van perimeterbeveiliging naar identiteit als beveiliging.

Je kunt tegenwoordig geen beveiligingsevenement bekijken zonder de term 'zero trust' tegen te komen. Het is inderdaad een modewoord, maar...

Danny Bradbury

Cyber security 18 December 2025

Hoe navigeer je door het doolhof van AI-compliance in de VS? Banner

Hoe navigeer je door het doolhof van AI-regelgeving in de VS?

Als het om regelgeving gaat, is de term 'Verenigde Staten' een contradictie. De wetten van de staten zijn allesbehalve uniform, en elke jurisdictie hanteert eigen regels...

Danny Bradbury

Cyber security 20 November 2025

Wat de Salesforce-inbreuken ons leren over gedeelde verantwoordelijkheid

2025 was geen goed jaar voor Salesforce-klanten. Een louche criminele organisatie voerde een reeks aanvallen uit op haar klanten, met uiteindelijk gevolgen voor...

Danny Bradbury