Het is twee weken geleden dat Crowdstrike grote infrastructuren en bedrijven op de knieën bracht. Ik heb nagedacht over het situational awareness-aspect van dit incident. Hoewel het werd gerapporteerd als een technisch probleem, is er vanuit het oogpunt van de menselijke factor zoveel om over te praten.
Maar eerst, als ik het over situational awareness heb, gebruik ik deze definitie:
‘Het vermogen om waar te nemen en te begrijpen wat er om je heen gebeurt in relatie tot hoe de tijd verstrijkt, en vervolgens in staat te zijn toekomstige gebeurtenissen nauwkeurig op tijd te voorspellen om slechte resultaten te voorkomen’
Er valt veel te vertellen over dit incident, maar er zijn drie belangrijke invalshoeken waar ik over heb nagedacht. Laten we ze in omgekeerde volgorde bekijken vanuit het perspectief van de incident tijdlijn.
- De situational awareness van IT-teams.
De verhalen variëren van ‘we hebben het binnen een paar uur opgelost’ tot ‘we waren dagenlang ontregeld’. Hoe kan dit zo uiteenlopen?
Werd dit veroorzaakt door een vertraging in het daadwerkelijk opmerken van het probleem, het waarnemen? Of duurde het een tijdje voordat ze volledig begrepen wat er aan de hand was? Of was de oplossing ingewikkeld en waren de teams niet uitgerust om dit probleem op te lossen, niet genoeg opties, het voorspellen?
Om met dit soort incidenten om te gaan, is een uitstekende situational awareness vereist. Niet alleen om het probleem te onderkennen, maar ook om voldoende opties te hebben om het daadwerkelijk op te lossen.
Het volgende verhaal is op The Register een briljant voorbeeld van het hebben van opties - De situational awareness van de product owner.
De situational awareness van de teams die verantwoordelijk zijn voor de inzet van het product en daarmee het veroorzaken van de nieuwe attack surface.
Deze beslissing is zeker met de beste bedoelingen genomen. Gemakkelijk voldoen aan de regelgeving, gebruiksgemak, eenvoudige massa-implementatie, eerdere ervaring met veiligheidsdreigingen die een product als dit zou kunnen voorkomen… Merk je op, hoe deze beste bedoelingen worden gevoed door potentiële positieve resultaten?
Situational awareness moet ook worden gedreven door het beseffen van de potentiële negatieve gevolgen. Als ergens in het beslissingstraject, “Dit kan een verlies van 500 miljoen dollar veroorzaken”, als probleem ter sprake was gebracht, zou er waarschijnlijk een ander besluit zijn genomen.
Een uitspraak die ik de afgelopen weken veel heb gelezen; ‘niemand wordt ontslagen omdat hij Crowdstrike heeft gekocht’, dit op zichzelf schreeuwt om een gebrek aan situationeel bewustzijn, het is zelfgenoegzaamheid. - De situational awareness van de software producent.
Uit de situational awareness van de producteigenaren blijkt duidelijk dat zij deze uitkomst niet konden voorspellen. Dat betekent dat er in hun proces van waarnemen en begrijpen iets vreselijk mis was. Waren ze zich niet bewust van de complexiteit van het product, de waarneming? Hebben ze zoiets nog nooit eerder zien gebeuren, het begrijpen?
Deze twee simpele dingen zouden het voor hen onmogelijk maken om de uitkomst te voorspellen.
En ja, ik heb veel gelezen over arrogantie van hun kant, ik geloof nog steeds dat beslissingen zijn genomen met de beste bedoelingen. Maar ja, ook met een totaal gebrek aan situationeel awareness.
Mijn conclusie?
Zelfs bij een zeer technisch probleem als bij Crowdstrike valt er veel te bespreken over en te halen uit situationeel bewustzijn en de mensen die daarbij betrokken zijn.
Ik leg je graag uit hoe ik jou en jouw team kan helpen de barrières van situationeel awareness écht te begrijpen. Dit kan je in de toekomst helpen om situaties als deze idealiter te voorkomen of op zijn minst (snel) te beperken. Situationeel bewustzijn doet ertoe, in meer situaties dan dat we ons bewust van zijn.