Hoe de overheid mensen bijstond tijdens het CrowdStrike-incident
Het was chaos op vrijdag. Wereldwijd startten computers opeens niet meer op. Zowel PC's als servers leken getroffen. Het was een wereldwijd probleem, schijnbaar ongeacht locatie. Het ontregelde banken, vliegtuigmaatschappijen en betaalsystemen. Uiteindelijk werd de oorzaak duidelijk - geen cyberaanval, maar een prolbeem met een veelgebruikte beveiligingsdienst.
Het probleem leek te liggen in een update voor het CrowdStrike Falcon programma. Computers die gebruik maken van dit programma en online waren tussen 6:09 en 7:27 Nederlandse tijd kregen een update aangeboden. Echter, werd deze update geaccepteerd, dan trad er al snel een fout op in het systeem waardoor Windows crasht met het zogenaamde Blue Screen of Death - de standaard foutmelding van Windows als er een fout optreedt in het besturingssysteem die niet meer hersteld kan worden.
CrowdStrike is een van de grootste aanbieders van cybersecuritydiensten ter wereld. Het bedrijf specialiseert in producten en oplossingen voor de commerciële sector en overheiden. Meer dan een miljard computers wereldwijd zijn aangesloten op hun diensten. En verreweg de meeste zijn zo geconfigureerd dat ze updates automatisch accepteren. Hierdoor kon de fout zich razendsnel verspreiden. Het ging specifiek om een fout in CrowdStrike Falcon, een dienst die aanvullende beveiliging biedt aan Windows Defender op computers die Windows 7 Service Pack 1 of later draaien.
In eerste instantie lijkt het probleem bij Microsoft te liggen. Het probleem doet zich immers niet voor op systemen die draaien op software van bijvoorbeeld Apple en Linux. Omdat onduidelik is wat de oorzaak is van dit probleem komen overheidsdiensten wereldwijd in actie, ook het Nationaal Cybersecurity Centrum (NCSC). In eerste instantie kan namelijk niet uitgesloten worden dat dit mogelijk het gevolg is van een cyberaanval.
Uiteindelijk meldt Google om 9:15 Nederlandse tijd dat het gaat om een fout die voortkomt uit een update van CrowdStrike. Dit wordt al snel door andere partijen bevestigd, waaronder overheidsdiensten. Hoewel het dus niet om een cyberaanval gaat, is het probleem hiermee nog niet opgelost.
Oplossingen
Hoewel het probleem hiermee geïdentificeerd was, leek een oplossing nog ver weg. Systemen die dit probleem hadden, konden namelijk niet ver genoeg opstarten om een automatische update te accepteren. Door de fout in de eerdere CrowdStrike update moesten deze computers handmatig worden opgestart in de Veilige Modus van Windows, waarbij het bestand dat de fout veroorzaakte handmatig verwijderd wordt.
Deze informatie wordt snel verspreid, in Nederland onder andere door het Digital Trust Center (DTC). In eerste instantie vooral om getroffen bedrijven gerust te stellen - het gaat immers niet om een cyberaanval - maar al snel om informatie te verspreiden over de oplossing. Deze is redelijk simpel, maar vereist wel enige technische kennis om uitgevoerd te worden.
Daar komt nog bij dat bedrijven die de BitLocker-software van Microsoft gebruiken een extra probleem hebben. Deze software gebruikt encryptie om de harde schijf van een computer te versleutelen. Echter, deze harde schijf moet worden ontgrendeld om de reparatie uit te kunnen voeren, en dat kan alleen met een sleutel van een server die door hetzelfde probleem met de CrowdStrike-update ook gecrasht is.
Hoewel het probleem redelijk snel geïdentificeerd werd, waren de naweeën nog lang voelbaar. De oplossing moest immers handmatig worden uitgevoerd. Hierdoor bleef bijvoorbeeld het Amerikaanse vliegverkeer nog lang ontregeld. Pas twee dagen later, op zondagmiddag om 14:30 Nederlandse tijd, publiceert Microsoft een eigen tool om de problemen op te lossen.
Het is nog onduidelijk wat de uiteindelijke schade is van dit incident. Wel staat vast dat het waarschijnlijk de grootste computerstoring ooit is. Maar mede dankzij overheidsinstellingen als het DTC kon het probleem snel worden vastgesteld, en informatie over een oplossing worden verspreid.