IT-storingen voorkomen: het belang van regie en verantwoordelijkheid voor organisaties

In het artikel 'Kwetsbaarheid IT-beveiliging onder vergrootglas na wereldwijde storing' (FD, 19 juli) wordt de vraag gesteld hoe het mogelijk was dat één procent van de Windows-computers een blauw scherm kregen. Hierdoor kregen duizenden bedrijven en instellingen waaronder luchthavens en ziekenhuizen te maken met uitval van computersystemen. Het was snel duidelijk dat de fout bij cybersecurityleverancier CrowdStrike vandaan kwam. Een update, die regelmatig worden uitgevoerd, pakte verkeerd uit. Een van de opgevoerde experts laat in het artikel weten dat 'dit soort systeemrisico's, waarbij grote leveranciers een foutje maken, bij alle leveranciers kunnen voorkomen'.

Dat we deze situatie min of meer als een voldongen feit moeten accepteren, gaat mij een stap te ver. Bij de opkomst van cloud computing en het afnemen van software als een dienst, hebben organisaties veel vertrouwen geplaatst in de handen van hun leveranciers. Updates worden automatisch gepushed naar de servers van het bedrijf en de werkstations van de medewerkers. Zo ben je immers altijd veilig en maak je gebruik van de nieuwste versie van de software. Tegelijkertijd bespaar je op ICT-capaciteit, die toch al zo schaars is. Bewust of onbewust hebben organisaties hun eigen verantwoordelijkheid voor een veilige en stabiele ICT-omgeving losgelaten. Zij gaan er hierbij voetstoots vanuit dat de continue verbeteringen die leveranciers doorvoeren inderdaad waarde toevoegen.

Ik twijfel er niet aan dat dit de intentie is. Maar als organisatie moet je niet lijdzaam afwachten of een update goed uitpakt. Weet je bijvoorbeeld zeker dat updates van leveranciers goed getest zijn? Ben je ervan overtuigd dat nieuwe updates geen conflict veroorzaken met andere bedrijfsapplicaties? Ik pleit ervoor dat organisaties de regie en de verantwoordelijkheid terugnemen. Misschien even wachten met de laatste innovaties. N-1 (de nieuwste versie min één) is het verstandigst zolang je niet getest hebt wat de gevolgen zijn van de update. Maak hierbij ook een risicoanalyse: is het risico van niet implementeren groter dan het risico op falende ICT dan weet je wat je te doen staat. Daarnaast kun je voorzichtbaarheid inbouwen door updates niet in één keer in de gehele organisatie uit te rollen, maar in verschillende fases. Ten slotte is het raadzaam om je niet volledig te focussen op één leverancier; zorg ervoor dat je niet te afhankelijk wordt.

Ga in ieder geval het gesprek aan met ICT-leveranciers en maak duidelijk dat je gezamenlijk black-outs als die van 19 juli wil voorkomen.