Een ongeluk zit in een klein hoekje. Hoe klein dat hoekje kan zijn, bleek recent toen een update van CrowdStrike werd uitgerold en er na de update wereldwijd computers niet meer wilden opstarten. Ook waren er bussen die niet meer reden, vluchten die waren vertraagd of geannuleerd, operaties die moesten worden uitgesteld en kassasystemen die niet meer werkten. Direct werd duidelijk hoe afhankelijk de huidige maatschappij is van computersystemen. Ook cybercriminelen roken hun kans. Binnen een aantal uren nadat bekend werd dat het probleem werd veroorzaakt door een CrowdStrike-update nam het aantal geregistreerde domeinen gerelateerd aan deze bedrijfsnaam sterk toe. Nu inmiddels de grootste problemen zijn verholpen, resten alleen nog vragen als: Had je deze uitval van systemen als eindklant kunnen voorkomen? Wat kan je als organisatie aan voorzorgsmaatregelen nemen om dergelijke risico’s zo veel mogelijk te mitigeren? Hoe buiten cybercriminelen dit incident uit?
Never trust, always verify
Vooropgesteld: CrowdStrike is een zeer professionele organisatie met een goede reputatie op het gebied van endpointprotectie. Toch geldt, zoals bij alle organisaties, dat waar mensen werken fouten worden gemaakt. In veel gevallen worden die fouten er tijdens het testen uitgehaald. In dit geval zat er een bug in het controlesysteem waardoor de fout helaas niet werd opgemerkt. Het credo ‘never trust, always verify’ geldt ook, of beter gezegd geldt zeker, voor kritische bedrijfssystemen. Niet alleen in dit geval maar ook in het verleden is met regelmaat gebleken dat software van een grote, betrouwbare leverancier voor grote problemen kon zorgen. Hoe goed de reputatie van een leverancier ook is, wanneer het om bedrijfskritische processen gaat, wil je een update altijd eerst testen in een kleine, gecontroleerde omgeving. De vraag ‘was dit te voorkomen geweest?’ kan je daarom met ‘ja’ beantwoorden.
Daarom is het cruciaal om te weten welke systemen je kritisch operationele systemen zijn. Deze wil je over het algemeen niet ongecontroleerd aanpassen. Uiteraard wil je updates zo snel mogelijk installeren, maar wanneer je kijkt vanuit risicoperspectief en de kans op bedrijfsschade, dan is een gecontroleerde en gefaseerde uitrol van updates minstens zo belangrijk. Je wilt eerst veilig stellen dat de update naar behoren werkt en geen ongewenste bijwerkingen heeft op jouw kritische bedrijfsprocessen.
Waarborgen van bedrijfscontinuïteit
Uiteraard bestaat er altijd een kans dat er toch iets verkeerd gaat. Als organisatie is het daarom belangrijk om een business continuity plan te hebben. Net zoals er bij de meeste organisaties een calamiteitenplan is voor fysieke incidenten, wil je eenzelfde soort plan hebben voor digitale incidenten. Dat begint met het identificeren van de processen en systemen die cruciaal zijn voor de dagelijkse activiteiten van jouw organisatie. Voor deze processen en systemen doe je een risico-inventarisatie. Daarbij baseren we het risico op de kans (hoe vaak kan het gebeuren) x de impact (wat is de (financiële) schade). Wanneer de kans zeer klein is maar de impact groot, dan is het een risico waar je vooraf een noodplan voor wilt hebben gedefinieerd. Daarmee verander je de situatie van een situatie waarin overmacht de hoofdrol speelt naar een crisissituatie, waarbij je zelf in control bent. En net zoals je regelmatig een ontruimingsoefening houdt, test je ook met regelmaat je responsplan voor cyberincidenten.
Cybercriminelen zitten niet stil
Ook cybercriminelen maken dankbaar gebruik van uitzonderlijke situaties. Kort nadat bekend werd dat het om een incident ging met grote gevolgen voor veel organisaties, schoten de CrowdStrike lookalike domeinen als paddenstoelen uit de grond. Het registreren van dit soort domeinen is vaak een eerste stap van cybercriminelen in het opzetten van een phishingcampagne. Zo zien we momenteel dat er in phishingmails, maar ook telefonisch, wordt aangegeven dat er updates of extra ondersteuning worden geboden. In de praktijk blijken de cybercriminelen een ander doel na te streven, zoals het installeren van infostealers. IT-afdelingen stellen alles in het werk om de impact te minimaliseren en systemen te herstellen. In die drukte is het moeilijk om bijvoorbeeld varianten zoals Cr0wdStrike te herkennen. Wees daarom extra alert op phishing, zeker in dit soort stressvolle situaties, en vertrouw alleen de officiële CrowdStrike-kanalen.
Conclusie
Wat we kunnen leren van dit soort incidenten is dat de maatschappij zeer afhankelijk is van goed werkende IT-systemen. Om die werking te kunnen waarborgen, is het belangrijk om in kaart te hebben welke systemen voor jouw organisatie kritiek zijn en een plan klaar te hebben liggen voor als het toch fout gaat. Zorg dat je, zeker op systemen die onderdeel uitmaken van kritieke bedrijfsprocessen, voorzichtig bent met automatische updates en zorg dat je in control blijft. Test de updates bijvoorbeeld eerst in een omgeving waar je kritieke processen geen risico lopen, voordat je deze breed uitrolt. Zo zorg je voor een gecontroleerde uitrol van updates en kom je niet voor verrassingen te staan.
