CrowdStrike, het bedrijf dat gisteren door een haperende update wereldwijd luchthavens, banken en ziekenhuizen platlegde, blijkt al eerder problemen te hebben gehad met updates, al bleef dat grotendeels onopgemerkt.
Gebruikers van Debian en Rocky Linux kregen enkele maanden terug te maken met aanzienlijke verstoringen als gevolg van CrowdStrike-updates.
In april zorgde een CrowdStrike-update ervoor dat alle Debian Linux-servers in een niet nader genoemd techlab tegelijkertijd crashten en weigerden op te starten. De update bleek niet compatibel met de nieuwste stabiele versie van Debian, hoewel de specifieke Linux-configuratie zogenaamd werd ondersteund.
Een teamlid dat bij het incident betrokken was, uitte zijn ongenoegen over de trage reactie van CrowdStrike. Het kostte hen weken om de oorzaak te achterhalen, namelijk dat de Debian Linux-configuratie niet was opgenomen in hun testprogramma.
CrowdStrike-gebruikers meldden ook vergelijkbare problemen na het upgraden naar RockyLinux 9.4, waarbij hun servers crashten vanwege een kernelbug. Ook nu weer erkende Crowdstrike dat er onvoldoende aandacht was gegeven aan compatibiliteitsproblemen tussen verschillende besturingssystemen.
Het is ook niet duidelijk waarom CrowdStrike de update voor Windows in een keer wereldwijd uitrolde en niet in fasen, wat veel problemen had kunnen voorkomen.
De gevolgen van de storing waren het grootst op internationale luchthavens, waaronder Schiphol. Ruim 200 vluchten zijn geannuleerd. 150 vluchten zijn vertrokken met vertraging. Volgens de ANVR is de schade voor de reisbranche ‘enorm’. In de provincie Utrecht en de regio’s Amersfoort en Almere reden geen bussen, omdat de buschauffeurs geen contact meer konden leggen met de alarmcentrale van regiovervoerder Keolis. Het Scheperziekenhuis in Emmen, Ziekenhuis Slingeland in de Achterhoek en ziekenhuis Nij Smellinghe in Drachten konden een paar uur lang nauwelijks patiënten behandelen.
CrowdStrike lijkt zich te hebben ingedekt dit soort incidenten. De voorwaarden voor CrowdStrikes Falcon-beveiligingssoftware – die wordt gebruikt door bedrijven en overheidsinstanties over de hele wereld – beperken de aansprakelijkheid tot wat heet ‘betaalde vergoedingen’. Bedrijven die claims indienen kunnen daardoor niet de volledige schade vergoed krijgen, maar alleen wat zij aan CrowdStrike betaalden.
Grotere bedrijven die de software van CrowdStrike gebruiken – zoals sommige van de getroffen luchtvaartmaatschappijen of ziekenhuisketens – hebben mogelijk onderhandeld over contracten met andere voorwaarden. Vermoedelijk zal de meeste schade worden afgewikkeld met cyberverzekeraars.
De reputatieschade zal het bedrijf echter geen goed doen. Ook zullen aandeelhouders naar verwachting rechtszaken tegen het bedrijf beginnen. Beurswaakhond SEC gaat zich er ook mee bemoeien. Het bedrijf, dat beursgenoteerd is, zal de komende dagen een zogeheten 8-K-rapport moeten indienen bij de SEC waarin wordt uiteengezet wat er mis is gegaan met de Falcon-update.