In juli 2024 heeft CrowdStrike onbewust en onbedoeld een blackout van ongekende omvang veroorzaakt. De totale veroorzaakte schade is nog steeds lastig in geld uit te drukken. Het wordt wel steeds duidelijker dat grotere organisaties mede hierdoor anders met leveranciers omgaan.
Het is complex
Het is complexAls je wil weten wat er door CrowdStrike kapot is gegaan en daarna veranderd is aan processen kan dat maar moeilijk in kaart brengen. Je kunt onmogelijk alle klanten van het bedrijf een enquête sturen. Een deel van de klanten zal niet reageren en evenzo is onbekend wie allemaal klant zijn. Een vragenlijst tot alleen die groep beperken heeft ook als nadeel dat je de scope van het onderzoek te veel beperkt.
Kortom het is complex. Adaptavist heeft een extern bureau de opdracht gegeven in het brede veld van organisaties die zaken doen met bedrijven als CrowdStrike, uit te zoeken of en wat er is veranderd.
EU dus NIS2
Deze brede scope heeft geleid tot onderzoek gebaseerd op het respons van 400 organisaties met een omzet van meer dan $10 miljoen in Amerika, Engeland en Duitsland. Dat Duitsland is meegenomen is goed, het land maakt deel uit van de EU en heeft bedrijven daar hebben dus rekening te houden met NIS2 en andere regelgeving die we ook in Nederland vaak de revue zien passeren.
CrowdStrike heeft meer veroorzaakt dan een blackout en daardoor schade, zoveel maakt het onderzoek in ieder geval duidelijk. Op grote schaal is men zich bewust van de kwetsbaarheid van de keten waar men deel van uitmaakt. Voor iedereen die iets doet met NIS2 is dat een punt om verder naar te kijken.
Ander punt is dat het gros zich bewust lijkt te zijn van het risico dat hoort bij zaken doen met 1 partij. Dat kan weliswaar ook gelinkt worden aan NIS2, maar iets anders is belangrijker.
Het blijkt dat slechts 1 op de 6 partijen die meegedaan hebben aan de enquêtes niets aan de processen of procedures veranderen als gevolg van die blackout. Elke derde deelnemer geeft aan meer zelf te gaan doen en daar ook personeel voor werft of inzet. Dit heeft dus direct gevolgen voor het grote aantal externe ontwikkelaars dat gewend is deze doelgroep van grotere IT gebruikers te bedienen.
Relevant voor MSP’s
Om niet langer alleen afhankelijk te zijn van een partij heeft 1 op de 3 ook besloten voor een multi-vendor policy te gaan. Dat is iets waar MSP’s met grotere klanten ook mee te maken gaan krijgen. Dat er meer belangstelling is ontstaan voor open-source software is interessant te lezen. Net als bij het vorige punt iets voor MSP’s.
Hoewel de schrijvers van deze rapportage bij Adaptavist nergens NIS2 of de EU noemen en ook het begrip MSP niet hanteren is het voor die groep bovengemiddeld interessant en relevant. Afhankelijkheid van een software vendor kan, zoals overtuigend door CrowdStrike aangetoond, tot grote problemen leiden. Het zijn ook het type issues dat NIS2 wil voorkomen.
Tenslotte: Adaptavist staat vooral stil bij “a striking loss of confidence in traditional single-vendor approachesâ€. Dit artikel gaat verder niet op in, maar het is wel een statement dat aan het denken zet.
