Het recente incident met CrowdStrike’s Falcon platform heeft belangrijke inzichten opgeleverd op het gebied van cybersecurity en incident response strategieën. Dit incident, dat wereldwijd voor systeemcrashes zorgde, benadrukt de complexe balans tussen robuuste beveiligingsmaatregelen en operationele stabiliteit. In dit artikel worden enkele geleerde lessen verkend.

Op vrijdag 19 juli 2024 veroorzaakte een update van CrowdStrike’s Falcon platform aanzienlijke systeemstoringen. De update leidde tot de gevreesde “blue screen of death” (BSOD) op Windows 10-machines, waardoor veel computers onbruikbaar werden.
Deze storing trof verschillende sectoren, waaronder de gezondheidszorg, media, transport en detailhandel. Deze storing veroorzaakte niet alleen operationele problemen, maar legde ook kritieke infrastructuur plat, wat leidde tot grote verstoringen in bedrijfsprocessen. Hoewel de exacte technische details van de bug niet volledig openbaar zijn gemaakt, werd duidelijk dat de update niet voldoende was getest in een breed scala aan omgevingen voordat deze werd uitgerold​.

Hoe verliep het incident response proces van CrowdStrike?

CrowdStrike reageerde snel nadat het probleem werd ontdekt. Hun incident response proces omvatte de volgende stappen.

Initiële identificatie en validatie
Zodra de eerste meldingen binnenkwamen, valideerde het technische team van CrowdStrike de problemen door de rapporten te analyseren en de fout te reproduceren in hun testomgevingen.

Communicatie
CrowdStrike communiceerde snel met de getroffen klanten via verschillende kanalen, waaronder e-mails, hun website en social media. Ze gaven instructies over hoe de update kon worden teruggedraaid en hoe getroffen systemen hersteld konden worden.

Terugtrekken van de update
De problematische update werd teruggetrokken en een veilige rollback werd geïmplementeerd. Dit stelde klanten in staat om de eerdere, stabiele versie van de software te herstellen.

Herstel en onderzoek
Het team werkte aan het herstellen van de normale werking van de getroffen systemen en startte een grondig onderzoek naar de oorzaak van de fout. Dit onderzoek had tot doel de exacte oorzaak te identificeren en te voorkomen dat een dergelijk incident in de toekomst opnieuw zou gebeuren.

Welke sectoren werden het zwaarst getroffen door het incident en hoe heeft dit hun operaties beïnvloed?

In praktisch alle sectoren bracht het incident aanzienlijke operationele uitdagingen en risico’s met zich mee. Organisaties moesten noodplannen activeren en vertrouwen op back-up systemen om de impact van de storingen te minimaliseren. Het incident onderstreept de noodzaak van robuuste cybersecurity maatregelen en effectieve incident response plannen om de gevolgen van dergelijke onvoorziene gebeurtenissen te beheersen en te minimaliseren.

De gezondheidszorg was één van de meest getroffen sectoren, waar de systeemcrashes tot ernstige verstoringen in de dagelijkse operaties leidden. Medische instellingen en ziekenhuizen ervoeren uitval van computersystemen die essentieel zijn voor patiëntenzorg en administratieve processen. Deze storingen leidden tot vertragingen in de behandeling van patiënten, complicaties bij het bijhouden van medische dossiers en logistieke problemen bij de coördinatie van zorgverlening. De veiligheid van patiënten kwam hierdoor in gevaar, omdat belangrijke medische gegevens mogelijk tijdelijk onbereikbaar waren​

In de logistiek veroorzaakte het incident aanzienlijke verstoringen in logistieke en transportbedrijven. De systeemcrashes leidden tot vertragingen en onderbrekingen in de dienstverlening, waardoor de toeleveringsketen werd verstoord. Dit had een domino-effect op de levering van goederen, waarbij zowel producenten als consumenten werden getroffen door vertraagde zendingen. De efficiëntie van logistieke operaties nam af, wat leidde tot verhoogde kosten en logistieke uitdagingen voor bedrijven in deze sector​.

“Het incident biedt belangrijke lessen voor organisaties om hun cybersecurity te versterken en zich beter voor te bereiden op soortgelijke gebeurtenissen.”

– Morrison Toussaint, CISO FERM

Wat zijn de belangrijkste lessen die organisaties kunnen leren van het incident om hun eigen cybersecurity te verbeteren?

Het incident biedt belangrijke lessen voor organisaties om hun cybersecurity te versterken en zich beter voor te bereiden op soortgelijke gebeurtenissen. Cyberweerbaarheid is een belangrijk aspect. Eén van de meest cruciale lessen is het belang van grondig testen van updates voordat ze breed worden uitgerold. Dit incident benadrukt hoe essentieel het is om software-updates uitgebreid te testen in diverse IT-omgevingen. Deze situatie benadrukt het belang van een grondig testproces dat verschillende hardware- en softwareconfiguraties omvat. Organisaties moeten simulaties en verschillende testscenario’s uitvoeren om mogelijke incompatibiliteiten en bugs op te sporen die tot systeemstoringen kunnen leiden. Het is niet voldoende om updates alleen in een beperkte, gecontroleerde omgeving te testen; er moet een brede variëteit aan hardware- en softwareconfiguraties in het testproces worden opgenomen​. Het blijft een lastige taak om de software van derde partijen te testen, maar dit incident toont het belang hiervan aan.

Een ander belangrijk inzicht is de noodzaak van incident response plannen, en het effectief schrijven van die plannen. Het hebben van een gedetailleerd en goed gedocumenteerd incident response plan kan het verschil maken in hoe snel en effectief een organisatie reageert op een crisis. Dit plan moet regelmatig worden bijgewerkt en getest via simulaties en trainingen, zodat alle teamleden goed voorbereid zijn op een echt incident. Een effectief incident response plan moet duidelijke stappen bevatten voor detectie, inperking, herstel en communicatie tijdens een incident.

Regelmatige backups zijn eveneens van vitaal belang. Het incident benadrukte hoe belangrijk het is om betrouwbare en regelmatig bijgewerkte backups te hebben. Door regelmatig volledige en incrementele backups uit te voeren en deze te testen, kunnen organisaties ervoor zorgen dat ze snel kunnen herstellen van een systeemuitval of een andere ernstige verstoring. Het onderstaande drieluik helpt bij het opstellen van een goede backupstrategie.

Nadat het probleem duidelijk werd, reageerde CrowdStrike snel door de problematische update terug te draaien en instructies te geven voor herstel. Het bedrijf communiceerde via verschillende kanalen met getroffen klanten om hen te informeren over de situatie en de stappen die werden genomen om de problemen op te lossen. Dit incident onderstreepte de noodzaak van effectieve communicatieprotocollen tijdens een crisis.

Voor participanten van FERM verwijzen we graag naar de volgende links op het portal;

Sluit je aan bij FERM

Blijf alert. Installeer updates en let op phishing mails. Gebruik MFA. En – voor alle bedrijven in de Rotterdamse haven – sluit je aan bij FERM. Zodat je daarnaast ook acute dreigingsinformatie kunt ontvangen, vragen kunt stellen aan de vertrouwde community om je heen, en ondersteund kunt worden in de stappen richting NIS2.

Kijk voor meer informatie op ferm-rotterdam.nl/lid-worden
Aan deelname is altijd een kosteloze proefperiode van 3 maanden verbonden.
Ook krijg je direct en zonder voorwaarden een voucher van 500 euro voor diensten uit ons portfolio.
Besluit je na 3 maanden om participant te blijven, dan krijg je 1/3 van de fee ook direct als voucher retour.

Vind FERM ook op LinkedIn

Deel dit bericht