Door een foutieve update van beveiligingsbedrijf CrowdStrike werden onder meer ziekenhuizen, banken en vliegvelden onlangs hard getroffen. Cybersecurity-expert Dave Maasland van ESET Nederland benoemt naar aanleiding daarvan de massale afhankelijkheid van softwareleveranciers als probleem.
CrowdStrike zelf legde uit dat de update die voor technische problemen zorgde computers juist veiliger had moeten maken. “Het was echt een update om aanvallers nog beter op te kunnen sporen. Dat maakt het nog ironischer”, zegt Maasland tegen BNR. Het probleem zit volgens hem vooral in antivirusbedrijven die toegang hebben computersystemen. “Ze hebben een enorm diepe toegang tot je systeem. Dat is logisch, want je wil zo goed mogelijk overal die virussen op kunnen sporen en eruit kunnen trappen.”
Beperkte verdeling
Het nadeel ervan is dat de markt voor dit soort bedrijven erg beperkt verdeeld is. “Als je kijkt naar de markt, dan zie je dat de top 8-leveranciers ongeveer 73 procent van de markt in handen heeft. Daar zal de discussie over gaan.” Een eenduidige oorzaak voor de fout is nog altijd niet gevonden. Wel gaan er volgens Maasland meerdere theorieën rond. “Het kan zijn dat er handmatig iets verkeerd is gegaan in het proces of dat het nadat het de wereld is ingestuurd het op de een of andere manier corrupt is geraakt. We weten het nog steeds niet zeker. Wat we wel weten is dat de update een soort Mentos was en Windows de colafles. Waardoor dat uiteindelijk voor de problemen zorgden.”
Wat Maasland betreft, moet er geleerd worden van de gebeurtenis. “De concentratie van dat soort leveranciers en hoe we daarmee omgaan met de kwetsbaarheden die het oplevert, dat is de les. Juist nu mogen we geen gebrek aan verbeelding tonen. Dit incident laat zien welke zwakheden we hebben.” Volgens Maasland moet dit gezien worden tegen de achtergrond van hybride oorlog, geopolitieke spanningen, afhankelijkheid van IT en nieuwe technologieën die opkomen. “Het vraagt wat mij betreft dat we goed strategisch nadenken over hoe we hiermee omgaan.”
Politiek in actie
Op politiek vlak is de afhankelijkheid van grote leveranciers inmiddels een punt van aandacht. GroenLinks-PvdA en Nieuw Sociaal Contract presenteerden onlangs een plan voor een Nederlandse cloud om de overheid van het Microsoft-infuus te krijgen. Overheidsorganisaties kiezen er volgens de twee partijen steeds vaker voor om hun IT over te zetten naar de cloud. “Dat daarmee stilletjes steeds meer macht naar Amerikaanse Big Tech verschuift, lijkt niemand op te vallen. Toch is het reden tot zorg.”
Lees ook:
