CrowdStrike en Kaseya: twee namen die laten zien dat het grootste IT-risico voor de overheid niet meer alleen schuilt in een individuele hack, maar in gedeelde afhankelijkheden in de toeleveranciersketen.
Eén update, wereldwijde stilstand
In juli 2024 legde een foutieve update van beveiligingssoftware CrowdStrike luchthavens, ziekenhuizen en overheidsorganisaties wereldwijd plat. Niet door een aanval, maar door één gedeelde afhankelijkheid in de toeleveranciersketen. Drie jaar eerder trof de aanval op Kaseya VSA al duizenden organisaties tegelijk.
Dit zijn geen exotische randgevallen. Het zijn voorboden. Als grote delen van de overheidskolom op dezelfde infrastructuur draaien, wordt een kwetsbaarheid in één product een kwetsbaarheid van de hele overheid.
Twee gezichten van concentratierisico
Het concentratierisico heeft twee gezichten. Het eerste is direct: als één cloudleverancier uitvalt of wordt aangevallen, worden alle organisaties die daarvan afhankelijk zijn tegelijk geraakt. Het tweede is subtieler: zelfs organisaties die zelf niet worden aangevallen, kunnen worden meegesleurd via een gemeenschappelijke leverancier of component.
Beide vormen vragen om actieve risicospreiding. Niet alleen in de keuze van cloudprovider, maar door de hele toeleveranciersketen heen. Dat klinkt logisch, maar in de praktijk weten veel overheidsorganisaties niet wie hun sub-processors zijn, laat staan welke gedeelde componenten er tussen hun leveranciers zitten.
Wat te doen?
Risicospreiding begint met overzicht. Welke leveranciers zitten er in jouw keten, en welke gedeelde componenten gebruiken zij? Vervolgens hoort change-of-control standaard in elk contract, niet alleen voor je hoofdleverancier maar ook bij gevoelige sub-processors. En tot slot: oefen. Plan minimaal tweemaal per jaar een oefening waarbij kritieke systemen gesimuleerd worden uitgeschakeld. Hoe lang functioneert de organisatie zonder het primaire systeem? Oefening is de enige manier om papieren continuïteitsplannen te toetsen aan de werkelijkheid.
Dit blog is onderdeel van de Intermax-whitepaper Digitale autonomie voor de overheid (2026). Het volledige whitepaper is hier te downloaden.