Han Dieperink: One Crowdstrike, you’re out
Han Dieperink: One Crowdstrike, you’re out
Door Han Dieperink, geschreven op persoonlijke titel
Afgelopen week gingen wereldwijd vele computers plat als gevolg van een probleem op het gebied van cybersecurity. Dit keer geen bedreiging in de vorm van een DDos-aanval, ransomware, social engineering, phishing, of welke andere hacker-activiteit dan ook. Het was een menselijke fout in de cybersecuritysoftware, software die zo’n probleem juist moet voorkomen.
Opnieuw blijkt de mens de zwakste schakel als het gaat om digitale veiligheid. In onze sterk verbonden wereld kan zo’n relatief kleine menselijke fout snel viraal gaan en veel schade veroorzaken. De komst van AI gaat cybersecurity helpen de menselijke factor uit te schakelen. Maar ook de hacker kan bij aanvallen gebruik maken van AI. Opnieuw blijkt dat de cybersecurityrisico’s, en met name de gevolgen daarvan, simpelweg te groot zijn om uit te besteden.
De geschiedenis van cybersecurity
Het eerste computervirus kreeg de naam Brain en kon vanaf 19 januari 1986 IBM PC’s (inclusief de compatibles) besmetten. Niet via internet, maar via een floppydisk kon Brain zich verspreiden. Een jaar later kwam de eerste antivirussoftware uit (anti4us en Flushot Plus) en ontstond het begrip cybersecurity.
Tegenwoordig omvat cybersecurity veel meer dan alleen antivirussoftware. Het is het geheel aan maatregelen, methodes, strategieën en gereedschap om informatie op computers en andere systemen te beschermen. Het uiteindelijke doel is de bescherming van de gebruiker in de voortdurende race met steeds professionelere hackers.
Voordat de eerste IBM-compatible PC’s op de markt kwamen, was de systeemsoftware gecentraliseerd in de mainframe. Dit is een gesloten omgeving waarin derden via terminals wel met de computer kunnen werken, maar niet aan de operating system (OS) kunnen sleutelen. Bij de client-server opstelling zat de rekenkracht lokaal, ook omdat de netwerken nog onvoldoende snel waren.
Zo’n systeem is extreem kwetsbaar voor virussen, met name omdat niet iedere gebruiker up-to-date software gebruikt. Met de komst van de cloud is het veel lastiger geworden. Feitelijk zijn we daarmee weer terug bij het concept van de mainframe. In de cloud is een virus nog wel buiten de deur te houden, maar er is malware dat in de cloud kan overleven. In de basis is de cloud immers niet meer dan een simpele kopie van alle uploads.
De vlam in de pan
Om te voorkomen dat gebruikers niet of te laat hun updates draaien, zijn veel software-updates tegenwoordig geautomatiseerd. Zo kon het gebeuren dat een menselijke fout in een update van Crowdstrike op zoveel plekken tegelijkertijd problemen veroorzaakte. Tienduizenden vliegtuigen bleven aan de grond, behandelingen in ziekenhuizen werden afgebroken en televisiezenders stopten hun programma’s.
Voor zover bekend is het de eerste keer dat cybersecuritysoftware zo’n groot probleem heeft veroorzaakt. Windows-gebruikers (68% van de markt) zagen weer eens het vroeger zo bekende blauwe scherm. Bij concurrenten Apple en Linux was er niets aan de hand. De oplossing is relatief simpel, maar wel omslachtig: verwijder de update (genaamd C-00000291*.sys) en start de PC handmatig opnieuw op.
Bij bedrijven met veel PC’s kan dit lange tijd in beslag nemen. Het gaat bij elkaar immers om miljoenen PC’s. Dat brengt veel extra werk voor IT’ers. Crowdstrike claimt dat het 29.000 klanten heeft, waarvan de helft van de Fortune 500. Elon Musk heeft inmiddels Crowdstrike laten verwijderen van alle systemen bij Tesla. Het is opvallend dat het aandeel Crowdstrike vrijdag maar 11% daalde, gelet op miljardenschade die veroorzaakt is.
Hoe is dit in de toekomst te voorkomen?
Nu is Crowdstrike geen klein bedrijf, maar dat één softwarebedrijf in staat is om zoveel activiteiten wereldwijd voor langere tijd stil te leggen, zal automatisch de vraag oproepen of dit niet beter kan. Microsoft is met haar Defender cybersecuritysoftware groter dan Crowdstrike, maar Defender zelf werd eerder dit jaar al eens gehackt.
De fout van Crowdstrike was eenvoudig te voorkomen geweest door de update even (dubbel) te testen, maar dat is niet gedaan. Dat komt doordat dit soort bedrijven zo snel mogelijk updates wil installeren op het moment dat er een nieuw virus is ontdekt. Verder is de markt voor cybersecuritysoftware sterk geconcentreerd. In combinatie met de kennelijk gebrekkige kwaliteitscontroles maakt het cybersecuritybedrijven kwetsbaar.
Veel bedrijven zijn afgelopen week geconfronteerd met het risico van outsourcing van systemen die essentieel zijn voor het draaien van de onderneming, vooral systemen met automatische updates. Bedrijven zullen minder afhankelijk willen zijn van één leverancier en ook met de eigen IT-afdeling meer zelf willen doen. Mogelijk kiezen ze in de toekomst zelfs voor een back-up in een cloud van een andere leverancier.
De risico’s van een oligopolie
Vijftien cybersecurity-bedrijven hebben in totaal 62% van de markt in handen. Drie bedrijven (Microsoft, Crowdstrike en Trellix) hebben samen meer dan de helft van de markt in handen. Overheden zullen als gevolg van de ontwikkelingen vorige week wel maatregelen gaan nemen om zulke grote problemen in de toekomst te voorkomen, met name bij kritische sectoren als de gezondheidszorg, financiële dienstverlening, transport en energie. Een daarvan zou kunnen zijn dat de markt minder geconcentreerd zou moeten zijn dan nu.
Dat zou ook meegenomen kunnen worden in de discussie over de marktmacht van de BigTech-bedrijven in de Verenigde Staten. Ook de cloud bestaat feitelijk uit drie bedrijven: Microsoft, Amazon en Google. Aangezien cyberwarfare een zaak van nationale veiligheid is, zouden er veel meer regels en procedures voor cybersecuritybedrijven kunnen komen. Gelet op de omvang van de schade kan die een impact hebben op de economische groei.
Op zich is dit een eenmalig incident en daar kan de beurs goed doorheen kijken. Het past echter wel in een patroon van meer cyberaanvallen. Er ontstaat een behoefte aan meer robuuste systemen, door die bijvoorbeeld dubbel uit te voeren (een kans voor de cloud-aanbieders) of door meer procedures te verplichten (meer overheidsbemoeienis) die de winstmarges kunnen drukken.
De meeste gebruikers hebben geen alternatief voor Microsoft als besturingssysteem, maar wel op het gebied van cybersecurity. Sommige beleggers zien cybersecurity als een beleggingsthema, maar daarvoor is het veel te smal. Cybersecurity zal steeds meer een geïntegreerd onderdeel van de software worden, waardoor ook zo’n thema veel minder als een pure play kan worden gezien. Dat terwijl de verwachtingen over de groei van de markt hooggespannen zijn, waardoor dit vaak al verdisconteerd is in de waardering.