Het is 19 juli om 4:09 UTC als beveiligingsbedrijf Crowdstrike een softwareupdate uitbrengt. Deze update veroorzaakt een fout in de systemen die de update uitvoeren. Om 5:27 UTC wordt het probleem herkend en wordt de update teruggedraaid. Maar dan zijn al miljoenen systemen in de problemen. In minder dan anderhalf uur staat de wereld in brand. Uiteindelijk blijkane naar schatting 8,5 miljoen Windows-systemen geraakt te zijn, wat overigens nog geen 1% van alle Windows-systemen wereldwijd is.
Krap anderhalve maand verder is er rust voor contemplatie. Wat betekent dit incident voor Crowdstrike en zijn klanten? Was het bedrijf nalatig? Gaat het failliet aan schadeclaims? En wat kun je als organisatie zijnde doen om te voorkomen dat jouw eigen bedrijfsvoering plat komt te liggen als gevolg van een incident bij de leverancier? In dit artikel ga ik graag op beide aspecten in.
Schade en schadevergoeding
Het eerste aspect is gerelateerd aan schade, en dan met name de indekking daartegen. CrowdStrike was (en is volgens mij nog steeds) een gerenommeerd bedrijf, geroemd om de kwaliteit van hun technici en daarmee hun producten. Een veilige haven voor klanten dus.
Maar naast technici en producten zijn er diverse andere zaken die een goede, solide dienst maken. Een onderdeel daarvan zijn de voorwaarden waaronder de dienst wordt geleverd en, nog belangrijker, de voorwaarden die van toepassing zijn als de dienst niet of niet goed wordt geleverd. Amerika is niet mals als het gaat om schadevergoedingen – je kunt er rijk van worden. En dus ook arm. Zeker als er bij grote groepen klanten iets misgaat, kunnen schadeclaims zo hoog oplopen dat een faillissement een reële optie wordt. Daarmee zijn de wetten die bedoeld zijn om klanten te steunen, een risico geworden voor leveranciers.
Bedrijven beschermen zichzelf veelal via hun algemene voorwaarden. Die hebben ze namelijk wel zelf in de hand. Dus heeft CrowdStrike standaard voorwaarden die schadeloosstelling beperken tot de mogelijkheid om een nieuw of vervangend product te krijgen, dan wel je geld terug te krijgen voor de aanschaf van het product (lees: de gekochte licentie). Alle schade die het ondeugdelijke product heeft veroorzaakt, is uitgesloten van schadevergoeding.
Veruit de meeste klanten van CrowdStrike zijn gecontracteerd onder deze voorwaarden. Een enkel groot bedrijf heeft misschien aangepaste voorwaarden afgedwongen, maar dan nog zal die aanpassing beperkt zijn. Het is vervolgens te kort door de bocht om die voorwaarden van CrowdStrike “slecht” te noemen of te laten getuigen van “een slechte handelswijze”. Het is immers helemaal niet de intentie van CrowdStrike om zich te ontdoen van schadevergoedingen, het is primair een kwestie van overleven op het moment dat het mis gaat. Want als het mis gaat, dan wil je als leverancier je klanten helpen. En dat kan niet als je failliet bent door de schadeclaims.
Quasisystemische dynamiek
Bovenstaand aspect is in mijn ogen een typisch voorbeeld waar samenwerking tussen de markt (CrowdStrike en soortgelijke leveranciers), klanten en overheid (wetgever) een perversiteit vertoont die voortkomt uit goede bedoelingen. Ik noem het quasisystemische dynamiek. Immers, de wetgever probeert de klant te beschermen, de markt komt daardoor in de verdediging, met als resultaat een klant die nagenoeg niet beschermd is.
Die omzeiling van goedbedoelde wetgeving, blijkt uiteindelijk nog onbedoeld functioneel ook, want het zorgt voor continuïteit van de leverancier die in voorkomende situaties in ieder geval nog in staat blijft om zijn klanten te ondersteunen met oplossingen. Een faillissement in een periode van een global incident zou de ramp alleen maar vergroten.
Schuld en nalatigheid
Gerelateerd aan schade en schadevergoeding, bestaat het begrip schuld of nalatigheid. Je zou kunnen beargumenteren dat nalatigheid bestraft moet worden. Maar wat is dan nalatigheid? Als een bedrijf als CrowdStrike jarenlang producten en updates verspreidt die goed werken, daarvoor blijkbaar goede processen heeft en die goed uitvoert, maar vervolgens een keer een fout maakt met grote impact, is dat dan nalatigheid?
Juridisch is het dat misschien. En niet meer dan misschien; dat wordt voer voor advocaten. Maar zelfs als deze fout wordt gezien als nalatigheid, is het dan aantoonbaar dat de impact een causaal verband heeft met die nalatigheid? Het is mijns inziens goed te beargumenteren dat er sprake is van een nalatigheid bij de klant, die veel groter is dan de eventuele nalatigheid van de leverancier. Die stelling werk ik graag nader uit in het tweede aspect dat ik in dit artikel belicht.
Business-continuïteit
Dit tweede aspect is de operationele reactie op de impact van het CrowdStrike-incident. En daarmee bedoel ik niet de IT-afdeling die in samenwerking met CrowdStrike al die computers weer aan de praat moest krijgen. Ik doel op de business-operatie.
In de berichtgeving viel het me op dat de klanten van CrowdStrike na het incident in twee categorieën uiteenvielen: sommige organisaties konden hun eigen operatie en dienstverlening niet vervolgen en sommige organisaties konden dat (met veel kunst- en vliegwerk) wel. Daartussen zit een grijs gebied, want het is van buiten niet altijd haarzuiver te beoordelen of de core business van een organisatie wel of niet doorging tijdens deze crisis:
- Ziekenhuis Emmen schrapte alle operaties en de spoedeisende hulp ging dicht. Ziekenhuis Slingeland schaalde de zorg maximaal af, maar spoedeisende operatie vonden doorgang. Ziekenhuis Drachten ervoer problemen, maar kon rond 13:00 uur weer open.
- De site van het UWV ging uit de lucht en medewerkers hadden geen toegang meer tot dossiers.
- Op het Nederlandse spoor werden door NS geen noemenswaardige problemen gemeld. In de UK daarentegen werden veel vertragingen gemeld.
- Schiphol maakte zich op voor een rommelige dag en ook Eindhoven Airport had last, maar ging wel door, zij het met veel handmatig werk en daardoor vertraging. Op Heathrow waren weinig problemen.
- KLM staakt een groot deel van de vluchten. Daarentegen meldt Lufthansa nauwelijks impact te ervaren.
- Waar in Amerika problemen zijn met de bereikbaarheid van 911, is in Nederland 112 gewoon bereikbaar.
Wat maakt nou het verschil tussen deze organisaties?
Mijns inziens is het goed ondernemerschap om een Business Continuity Plan (BCP) te hebben voor dit soort calamiteiten. Niet zozeer om je leverancier te ontzien van latere claims na een blunder zoals deze, maar vooral omdat je een verantwoordelijkheid hebt naar je eigen klanten om de service die je biedt, te continueren.
Uit de voorbeelden hierboven blijkt dat sommige organisaties terug moesten vallen op handmatig werken. Heel vervelend en een aanslag op personeel en kosten en service, maar blijkbaar een soort van werkbaar. Andere organisaties lagen echt plat omdat ze niet meer kunnen werken. De vraag is in hoeverre dat aan CrowdStrike ligt. Ik denk dat het beter is voor de wereld om minder afhankelijk te zijn van je leverancier, dan een mogelijkheid te hebben om een claim neer te leggen bij je leverancier. Zorg dus voor een goed BCP, test dat, oefen dat!
Ook onze minister van Justitie en Veiligheid onderkent het belang van een BCP, getuige zijn brief aan de Tweede Kamer van 19 juli rondom dit incident: “Nederland is een sterk gedigitaliseerd land. Dat biedt veel kansen, maar brengt ook risico’s met zich mee. Niet voor niets was een van de conclusies uit het Cybersecuritybeeld Nederland 2023 dat door verwevenheid van processen in het digitale ecosysteem iedereen gevolgen kan ervaren van een cyberincident. Deze kwetsbaarheid laat dat goed zien. Zelfs als een organisatie alle cybermaatregelen op orde heeft, kan een organisatie toch getroffen worden. Daarom is het van belang om naast de basismaatregelen ook plannen te maken voor wanneer systemen toch uitvallen. Organisaties moeten voorbereid zijn op uitval en ook veel oefenen.”
BCP als existentieel gereedschap
Het maken van en het oefenen met een BCP heeft een aantal aanvullende voordelen. Het maken van een BCP confronteert je hele organisatie met existentialistische vragen als: “Wie willen we zijn als bedrijf, wat is onze essentie en wat moeten we altijd kunnen leveren aan onze klanten, zelfs als alles misgaat?” Het doorleven van die vraag levert een waarde, omdat je in de hele organisatie de neuzen dezelfde kant op richt.
Vervolgens levert het oefenen met een BCP potentieel een verbroedering binnen je organisatie. Want als je oefent met je BCP, dan ben je met het hele team bezig met dat wat er blijkbaar echt toe doet in je bedrijf. Het geeft iedereen een extra inzicht in hoe de eigen service naar de klant wordt geleverd. Ik zou elke BCP-oefening afronden met een fijne barbecue als afsluiting van de teambuilding die je met elkaar hebt beleefd.
BCP als ecosystemisch gereedschap
Ik ben er groot voorstander van om in je BCP niet alleen te kijken naar de eigen organisatie, maar juist ook de omgeving mee te nemen. Je kunt een BCP maken dat voorziet in een werkwijze die een operationele onafhankelijkheid creëert van de falende leverancier. Maar je kunt ook denken aan een BCP waarin je de afhankelijkheid erkent en samen met die potentieel falende leverancier werkt aan een BCP waarin je realistische afspraken maakt over wat in zo’n situatie nog wél kan.
Dat kan op het eerste gezicht tegenstrijdig lijken, maar misschien houdt een alternatief BCP waarin je leverancier actief betrokken blijft, je eigen service op een hoger niveau dan een BCP dat volledig terugvalt op eigen resources. En voor de leverancier is het verhelderend om betrokken te zijn bij het BCP van zijn klant, want daaruit ontleende inzichten kunnen leiden tot nog betere producten en diensten.
Een aanpak waarin je BCP uitgaat van een ecosystemische samenwerking, met aandacht voor gezamenlijke belang, naast erkenning van ieders eigen belang, maakt het ook veel minder aantrekkelijk of voor de hand liggend om je te richten op claims en schadevergoedingen.
Afsluitend
Ik ben ervan overtuigd dat een ecosystemisch georiënteerde BCP de beste manier is waarop wij ons in deze sterk digitaliserende wereld vol afhankelijkheden en verwevenheden kunnen voorbereiden op calamiteiten. Daarmee laten we de driften achter ons om schuldigen aan te wijzen, schade te verhalen, misschien zelfs wraak te nemen. We betreden een domein waarin we ons echt verdiepen in elkaars business, reden van bestaan, toegevoegde waarde. Laat we de artikelen in algemene voorwaarden die zich nu richten op het beperken van schadevergoedingen, vervangen door artikelen die zich richten op de hulp die we elkaar gaan bieden op het moment dat het mis gaat. Hoe gaan we ons met elkaar voorbereiden op de “unhappy flow” waarvan we nog niet weten hoe die zich zal manifesteren? Iedereen die denkt “dat kan niet” of denkt “daar heb ik wel ideeën bij”, is van harte welkom om zich te melden.