Het ging razendsnel. Toen cyberveiligheidsbedrijf Crowdstrike vorige week een verkeerde update doorvoerde aan zijn beveiligingssoftware, stond een groot deel van de digitale wereld een paar uur stil. Sommige banken konden geen overboekingen doen, enkele tv-zenders gingen op zwart, haventerminals stonden stil, op vliegvelden wereldwijd ontstonden lange rijen en konden honderden vluchten niet opstijgen. Een ogenschijnlijk klein foutje had direct wereldwijde rimpeleffecten, veroorzaakte een dag vol ongemak. Gelukkig bleef paniek grotendeels uit, maar het is te hopen dat overheden, IT-afdelingen van bedrijven en burgers deze gebeurtenis aangrijpen als leerzame rampenoefening. Want dat blijkt hard nodig.
Wat gebeurde er precies? Crowdstrike, een leverancier van beveiligingssoftware voor systemen van techreus Microsoft, voerde een update uit die waarschijnlijk niet goed getest was. Omdat Microsoft vrijwel monopolist is op het gebied van bepaalde computersystemen, was het resultaat dat naar schatting van analisten 8,5 miljoen computers niet goed meer functioneerden. In plaats van het gebruikelijke opstartscherm kregen gebruikers van Microsoft Windows een blue screen of death waardoor ze hun computers niet konden gebruiken. Het zou volgens sommige cyberonderzoekers goed kunnen dat dit de grootste computerstoring ooit was.
Wat op veel plekken vooral bleek, was dat er vrijwel geen alternatieven voorhanden zijn voor de Microsoft-systemen. Er hoeven maar een paar cruciale computers met Windows uit te vallen om een hele luchthaven of haventerminal lam te leggen. Nou valt deze specifieke storing waarschijnlijk te wijten aan slordigheid van een paar mensen bij Crowdstrike, maar de enorme impact laat zien dat op veel meer plekken te weinig is nagedacht over het draaiend houden van vitale digitale processen.
Allereerst is deze gebeurtenis een zoveelste teken dat het ronduit gevaarlijk is om zo afhankelijk te zijn van een handjevol grote techreuzen voor kritieke infrastructuur. Het blijkt voor mededingingsautoriteiten al jaren extreem ingewikkeld om de vorming van vooral Amerikaanse monopolisten en oligopolisten te stoppen in de digitale economie. Dit levert grote kwetsbaarheden op. Nu ging het om een menselijke vergissing, maar ook kwaadwillenden kunnen de afhankelijkheid van enkele leveranciers uitbuiten: de Crowdstrike-storing biedt helaas óók een blauwdruk voor potentiële cyberaanvallen. Nu was de schade vrij snel hersteld, maar de ervaring van eerdere cyberaanvallen leert dat dit geen gegeven is. Bij een grootschalige aanval met gijzelsoftware NotPetya in 2018 kwamen haventerminals en postbedrijven ruim een week stil te liggen.
Daarnaast wezen autoriteiten zoals het Nationaal Cyber Security Centrum (NCSC) terecht op gebrekkige voorbereiding bij Nederlandse bedrijven en instellingen. Draaiboeken zijn hard nodig. „Soms is de kennis om geautomatiseerde processen over te nemen er ook niet meer,” constateerde Hielke Bontius van het NCSC in NRC . Efficiëntie, frictieloosheid en digitalisering kunnen processen goedkoper en sneller maken, maar soms ook veel kwetsbaarder voor verstoring. Handmatig inchecken en papieren instapkaarten bleken op veel luchthavens de snelste uitweg. Sommige maatschappijen gaven passagiers een papiertje mee met daarop hun persoonsgegevens en stoelnummer geschreven. Best handig om wat ouderwetse technologie achter de hand te houden in het geval de nieuwere opties uitvallen. Om in IT-termen te blijven: redundantie loont, er moeten altijd omwegen zijn.
De Crowdstrike-storing legde ook een ander teer punt bloot. Waar is het menselijke oordeelsvermogen, de autonomie om digitale systemen te overrulen? Een voorbeeld bij de Utrechtse busmaatschappij Syntus roept daarover vragen op. Volgens Syntus konden buschauffeurs geen contact krijgen met de verkeersleiding. „Om veiligheidsredenen” reden de bussen daarom niet. Dat roept de vraag op of hier niet te veel menselijke beslissingsbevoegdheid en improvisatievermogen is verdwenen. Is het echt nodig om zó risicomijdend te zijn, kunnen chauffeurs niet méér worden vertrouwd? Digitale systemen zijn handig, maar moeten het normale menselijke oordeelsvermogen niet in de weg gaan staan.
Dus: minder afhankelijkheid van monopolisten, meer analoge alternatieven, en meer inzetten op improvisatievermogen bij professionals en burgers om zélf te handelen in het geval van ‘computer says no’. Het is te hopen dat de Crowdstrike-storing wordt benut om een grotere cyberramp te voorkomen. Dan was deze enorme digitale brandoefening niet voor niets.
