Houd de processen op orde, monitor continu en blijf in controle
Op 19 juli 2024 veroorzaakte bij CrowdStrike een menselijke updatefout van antivirussoftware voor wereldwijde storingen van computersystemen en grote problemen bij bijvoorbeeld ziekenhuizen en luchthavens. TriOpSys, onderdeel van ICT Group, kijkt terug op het incident en de oplossingsgerichte aanpak in de eerste uren erna. “Ook wij leren hier weer van”.
Het incident bij Crowdstrike toonde aan dat zelfs de meest betrouwbare systemen en leveranciers gevoelig blijven voor een storing. Waar het dan om gaat is dat je als organisatie hierop voorbereid bent. De nodige maatregelen hebt bepaald en gecheckt en ervoor zorgt dat je zo snel mogelijk weer in de lucht bent na de storing. Wat zijn de vraagstukken die hierbij spelen en welke oplossingen zijn het meest effectief?
Binnen enkele uren weer up-and-running
Kevin van der Sluijs, Operationeel Manager Beheer- en Onderhoudsdiensten, en Marc Schilderman, BU-manager Public Safety & Security bij TriOpSys waren direct betrokken bij de storing en de oplossing ervan. Kevin: “Een van onze expertises is de 24/7 monitoring en beveiliging van de systemen van onze klanten op cyber aanvallen van buitenaf. Je moet je voorstellen dat een klant van ons soms wel tienduizenden aanvallen per dag heeft te doorstaan. Daar zijn wij volledig op ingericht, omdat wij over hun systemen niet alleen adviseren, maar ze ook bouwen en beheren. Pragmatisch, alles in één hand is juist onze kracht.”
“Als SOC 2 gecertificeerd bedrijf beschikken we over meer dan 50 controlemechanismen”
De storing door CrowdStrike kwam als het ware van binnenuit. Het gaat hier om zeer diep gelegen lagen van de Windows besturingssystemen van Microsoft. Marc: “Dat ligt technisch heel gevoelig. Maar, en dat was voor ons een positieve uitkomst van de hele storing, onze procedures en processen werkten ook nu perfect. Dankzij onze 24/7 monitoring was voor ons al heel snel duidelijk dat er wat mis was en CrowdStrike communiceerde hierover ook snel. Wij konden daardoor de problemen voor onze klanten vrijwel realtime oplossen en waren zij binnen enkele uren weer up-and-running. Bij klanten in het missiekritische domein is dit soms zelfs letterlijk van levensbelang.”
Meer dan 50 controlemechanismen
Wat zijn nu de leermomenten van een incident van deze omvang? Kevin kan er zo een aantal noemen: “Natuurlijk hebben wij intern ook geëvalueerd over wat er gebeurd is en of dat voorkomen had kunnen worden. Uiteindelijk is er altijd een afhankelijkheid en die kun je niet 100% uitsluiten. In ieder geval onderzoeken we ook andere systemen dan CrowdStrike, zodat we ervan leren, nieuwe risico’s signaleren en ons hierop kunnen voorbereiden. Daarnaast evalueren we ook wat er juist wel goed is gegaan. Als SOC 2 gecertificeerd bedrijf beschikken we over meer dan 50 controlemechanismen, wat veel verder gaat dan onze ISO 27001 certificering. Wij doorlopen bijvoorbeeld periodiek al onze risico gebaseerde scenario’s, zodat wij zo goed mogelijk voorbereid zijn. De storing met CrowdStrike heeft ons geleerd, bevestigd, dat wij onze zaken onder controle hebben en heel snel kunnen reageren.”
Goede voorbereiding
Alles begint met een goede voorbereiding. Marc is daar heel duidelijk over: “Waar het uiteindelijk om gaat is hoe je bent voorbereid en hoe je alles preventief hebt ingericht. Dit werd maar weer bevestigd tijdens het incident met CrowdStrike. Om organisaties onder meer inzicht te geven in hoe goed zij voorbereidt zijn op incidenten hebben we de ICT Health Scan ontwikkeld. Met de scan brengen wij de hele IT-omgeving van klanten in kaart en adviseren we over risico’s, kwetsbaarheden, processen en beheer. In een adviesrapport zetten we alles op een rij, maar wij zorgen ook voor de follow-up.
We bouwen, monitoren en beheren wat we adviseren. Daarom bieden we ook tools als DRaaS, Disaster Recovery as a Service, een schaduwomgeving waarmee we klanten razendsnel kunnen helpen in het geval van calamiteiten. Daarnaast laten we de applicaties en IT-omgevingen die we beheren, maar ook onze eigen systemen, regelmatig ‘pentesten’ door een externe partner.”
Klanten vertrouwen op onze aanpak
Hoe hebben klanten gereageerd op de storing en hoe die is opgelost? Kevin: “Onze klanten wilden natuurlijk weten wat er fout ging met CrowdStrike en hoe dat kwam, maar ze beoordelen je vooral op de manier waarop je het hebt aangepakt. Je moet je processen op orde hebben, continu monitoren en in controle blijven. Dat zijn de drie belangrijkste maatregelen voor een optimale dienstverlening. Weten wat je moet doen als je down gaat, want hoe goed je ook voorbereid bent, je weet dat het kan gebeuren. Wat dat betreft zijn onze klanten er allemaal van uitgegaan dat hun ICT-infrastructuur bij ons in vertrouwde handen is.”
Marc kijkt met alle vertrouwen uit naar de toekomst: “Goede voorbereiding, heldere afspraken, open communicatie en direct handelen vormen de kern van onze dienstverlening. Dat maakt TriOpSys zo sterk. We kijken ernaar uit om dit ook voor de klanten van ICT Group te leveren en hun cyber security over de hele linie naar een zo hoog mogelijk niveau te tillen. Een menselijke fout als bij CrowdStrike zullen we nooit kunnen voorkomen, maar de impact ervan kunnen we wel minimaliseren en dat is onze missie.”
Over TriOpSys & ICT Group
ICT Group kondigde begin 2024 de overname aan van TriOpSys. Dit bedrijf heeft in 25 jaar een enorme staat van dienst opgebouwd op het gebied van cyber security voor Public Safety & Security, Defence & Aerospace en Traffic Management. Deze ervaring biedt grote toegevoegde waarde voor de cyber security propositie van ICT Group.