Iets meer dan een jaar voordat de systemen van Microsoft op vrijdag crashten, wat wereldwijde chaos veroorzaakte in de bank-, luchtvaart- en hulpdienstensector, verzette het bedrijf zich tegen toezichthouders die onderzoek deden naar de risico’s van een handvol clouddienstverleners die de technologische infrastructuur van de wereld beheren, zo blijkt uit documenten die we hebben ingezien.
“Regelgevers moeten zorgvuldig elke interventie vermijden die de concurrerende aanbiedingen zou kunnen verstoren die de explosieve innovatie en groei hebben bevorderd die aan de cloud kan worden toegeschreven”, schreef het bedrijf in reactie op het onderzoek van de Federal Trade Commission uit 2023 naar de beveiligingspraktijken en interoperabiliteitsprotocollen van cloudcomputingbedrijven.
Het agentschap vroeg zich af of deze bedrijven ‘voldoende middelen investeren in onderzoek en ontwikkeling’ van systemen waarop de economie en de overheid vertrouwen.
Microsoft wijt de wereldwijde clouduitval van deze week aan een update van CrowdStrike, een cybersecuritybedrijf waarvan de software beschermt tegen hacks. Het debacle komt twee dagen nadat federale agentschappen nieuwe richtlijnen uitbrachten die extra alarmen lieten horen dat Big Tech’s consolidatie van cloudservices consumenten ernstig in gevaar zou kunnen brengen. Het komt ook een dag nadat Microsoft’s cloudservices een aparte uitval ondervonden in bepaalde delen van de Verenigde Staten.
“Dit is een storing die veroorzaakt is door CrowdStrike. Het zou onjuist zijn om dit te melden als een storing van Microsoft”, aldus het bedrijf in een verklaring. “Een update van CrowdStrike was verantwoordelijk voor het uitvallen van een aantal IT-systemen wereldwijd. We ondersteunen klanten actief om hen te helpen herstellen.”
CrowdStrike heeft niet gereageerd op een verzoek om commentaar.
“Tegenwoordig resulteert een enkele storing maar al te vaak in een systeembrede uitval, die gevolgen heeft voor sectoren als gezondheidszorg, luchtvaartmaatschappijen, banken en autodealers”, aldus Lina Khan, voorzitter van de Federal Trade Commission, wiens agentschap het onderzoek naar de cloud computing-industrie leidde. “Miljoenen mensen en bedrijven betalen de prijs. Deze incidenten laten zien hoe concentratie kwetsbare systemen kan creëren.”
De kern van het probleem, zeggen toezichthouders en onderzoekers, is de consolidatie van clouddiensten door Big Tech, een technologie waarmee consumenten computerinformatie in enorme datacenters kunnen opslaan in plaats van op locatie. Slechts drie bedrijven — Amazon, Microsoft en Google — controleren 65 procent van de cloudmarkt, volgens een rapport dat op 18 juli is uitgebracht door CloudZero, een platform voor kostenbeheer.
Microsoft en CrowdStrike domineren ook de end point security-markt, die cybersecurity garandeert voor apparaten zoals desktops, laptops en mobiele apparaten. In 2022 hadden de twee bedrijven meer dan 30 procent van de markt in handen.
Deze consolidatie zorgde ervoor dat een simpele fout vrijdag een uit de hand liep.
“We hadden deze opeenvolgende mislukking van al deze bedrijven, banken, de London Stock Exchange, al deze luchtvaartmaatschappijen moesten aan de grond blijven, vanwege deze ene fout,” zei Zane Griffin Talley Cooper, een onderzoeker aan de University of Pennsylvania die digitale infrastructuur bestudeert. “En dat komt omdat het internet zo gecentraliseerd is geraakt in de handen van vier of vijf grote bedrijven.”
“Met dat model zullen catastrofale mislukkingen als deze steeds vaker voorkomen”, voegde hij toe.
In maart 2023 kondigde de Federal Trade Commission een uitgebreid onderzoek aan naar de bedrijfspraktijken van cloudproviders. Het agentschap keek naar “marktmacht, bedrijfspraktijken die de concurrentie beïnvloeden en mogelijke veiligheidsrisico’s” en vroeg om opmerkingen van bedrijven en het publiek.
In zijn reactie op het onderzoek van de Federal Trade Commission beweerde Microsoft dat de markt voor clouddiensten nog steeds robuust is en waarschuwde het dat regelgevingen van invloed kunnen zijn op ‘miljarden dollars’ aan investeringen.
Het bedrijf gaf ook aan dat de tussenkomst van de Federal Trade Commission “het risico met zich mee zou brengen dat dit de kwaliteit van deze oplossingen en het tempo van innovatie zou beïnvloeden, en uiteindelijk Amerikaanse bedrijven op het wereldtoneel zou benadelen”, schreef Microsoft.
Public Citizen, een non-profitorganisatie die zich inzet voor consumentenbelangen, waarschuwde de Federal Trade Commission in 2023 dat de marktdominantie van Amazon, Microsoft en Google in de clouddienstensector een bedreiging vormt voor de economie.
“De afhankelijkheid van één enkel punt van een cloudprovider is een structurele zwakte voor de hele economie en kan in de toekomst mogelijk meer schade voor de consument veroorzaken”, schreef de groep in juni 2023.
Woensdag — slechts twee dagen voor de wereldwijde storing — waarschuwden het ministerie van Financiën, samen met het Consumer Financial Protection Bureau en andere federale instanties, dat de grote afhankelijkheid van de sector van een klein handjevol aanbieders van clouddiensten de sector kwetsbaar maakte voor wijdverbreide storingen en verstoringen.
Het ministerie van Financiën publiceerde ook een reeks richtlijnen voor banken en financiële instellingen, na het rapport van februari vorig jaar dat alarm sloeg over de potentiële risico’s van de sterk geconsolideerde markt. Het rapport adviseerde dat een mislukking zoals die van vrijdag “meerdere financiële instellingen of Amerikaanse consumenten zou kunnen treffen”, en adviseerde aanvullend toezicht, zoals het inspecteren van externe dienstverleners.
De chef van het Consumer Financial Protection Bureau, Rohit Chopra, zei vrijdag dat de mislukkingen slechts een glimp zijn van de ravage die dit soort storingen in de financiële sector kunnen aanrichten. Zijn agentschap heeft gewaarschuwd dat dergelijke gebeurtenissen in de toekomst nog meer “delen van de betalingsinfrastructuur kunnen bevriezen of andere kritieke diensten tot stilstand kunnen brengen.”
“Er zijn slechts een handvol grote cloudbedrijven waar nu zoveel van de economie op rust”, zei Chopra op CNBC. “We krijgen een voorproefje van enkele van de mogelijke effecten van een echte afhankelijkheid van sectoren in de economie die vertrouwen op een handvol cloudbedrijven en andere belangrijke systemen.”
De stroomuitval van vrijdag was volgens hem slechts een voorproefje van wat er mis kan gaan in extreme gevallen van bedrijfsconsolidatie en deregulering.
De eerste berichten over de storing kwamen vrijdagochtend vroeg naar boven, toen computers die op Microsofts Windows-besturingssysteem draaiden, allemaal tegelijk uitvielen. Het probleem was terug te voeren op een systeemupdate die werd gepusht door een bedrijf genaamd CrowdStrike, een cybersecurityprovider die wordt gebruikt om te beschermen tegen hackers in een breed scala aan sectoren, van luchtvaartmaatschappijen tot banken — en die eerder bekend was vanwege zijn betrokkenheid bij het onderzoek in 2016 naar de Russische hack van het Democratisch Nationaal Comité.
CrowdStrike liet al snel weten dat het probleem met de update was geïdentificeerd en dat het met een oplossing was begonnen. Het bedrijf voegde er echter wel aan toe dat het uren zou kunnen duren voordat de oplossing beschikbaar is.
“We zijn ons bewust van dit probleem en werken nauw samen met CrowdStrike en de rest van de sector om klanten technische begeleiding en ondersteuning te bieden om hun systemen veilig weer online te krijgen”, aldus Satya Nadella, CEO van Microsoft, op X.
Microsoft, een van de eerste pioniers op het gebied van cloud computing-software, beheert maar liefst 85 procent van de productiviteitssoftware van de overheid en zelfs nog meer van het besturingssysteem.
Toch heeft de Big Tech-gigant een geschiedenis van het terugdringen van cyberbeveiligingsmaatregelen. In 2016 publiceerden de Federal Reserve, het Office of the Comptroller of the Currency en de Federal Deposit Insurance Corporation een gezamenlijke regelgevingskennisgeving over de noodzaak van strengere regelgeving voor “verbeterde cyberrisicobeheernormen voor grote en onderling verbonden entiteiten.”
De voorgestelde regel zou “aanzienlijke gevolgen hebben, niet alleen voor de financiële dienstverlening, maar ook voor derden zoals Microsoft”, schreef het bedrijf in een commentaarbrief. Het uitte ook zorgen over de nieuwe regels en voegde toe dat cloud service providers betere service en cybersecurity bieden dan traditionele on-site opslagcentra.
De regel werd in maart 2019 ingetrokken.
Agentschappen en het Congres hebben herhaaldelijk geprobeerd om de regelgeving voor cybersecurity te versterken, maar dat is niet gelukt. In de afgelopen drie jaar hebben wetgevers minstens vier wetgevende initiatieven geïntroduceerd om deze zorgen aan te pakken, maar tot nu toe is er nog geen enkele aangenomen.
In februari kondigde het federale Cybersecurity and Infrastructure Security Agency ook aan dat er een nieuwe taskforce zou komen die verantwoordelijk is voor het beheer van risico’s voor de wereldwijde toeleveringsketen van informatie- en communicatietechnologie. Deze risico’s zijn van cruciaal belang voor de bescherming van computerhardware, -software en -applicaties.
De bedrijven zelf waren zich kennelijk bewust van de potentiële dreiging die ontstond door een te grote afhankelijkheid van cloudgebaseerde systemen.
In een commentaarbrief uit 2023 aan het Consumer Financial Protection Bureau over een voorgestelde regelgeving om de beperkingen op persoonsgegevens aan te scherpen, betoogde CrowdStrike, het cyberbeveiligingsbedrijf dat verantwoordelijk was voor het datalek van vrijdag, dat het grootste risico voor cyberbeveiliging niet de problemen met de softwaretoeleveringsketen waren, maar hackers.
“Wij zijn van mening dat de grootste bedreiging voor gegevens wellicht afkomstig is van kwaadwillenden die onrechtmatig te werk gaan, wat leidt tot datalekken, cyberaanvallen, exploits, ransomware-aanvallen en andere vormen van blootstelling van consumentengegevens”, schreef CrowdStrike.
CrowdStrike gaf in hun meest recente jaarlijkse 10-K-rapport uiting aan hun zorgen over de gevaren van hackers en de daaruit voortvloeiende systeemstoringen. Het bedrijf vertelde investeerders dat de “consolidatie van siloed products” een zorg was omdat “het integreren en onderhouden van talloze producten, data en infrastructuren in zeer gedistribueerde bedrijfsomgevingen” “blinde vlekken creëerde die hackers kunnen misbruiken.”
Microsoft heeft in zijn jaarverslag voor aandeelhouders van 2023 ook aangegeven dat “het bieden van [their] Klanten met meer diensten en oplossingen in de cloud hechten veel waarde aan de veerkracht van [their] systemen.”
Maar de bedrijven hebben er alles aan gedaan om te voorkomen dat toezichthouders maatregelen namen om deze risico’s aan te pakken.
Microsoft is een van de grootste lobbyuitgevers van het land en behoort tot de top honderd van bedrijven. Tot nu toe heeft het bedrijf dit jaar meer dan $ 5 miljoen uitgegeven aan campagnedonaties en lobbyen bij wetgevers en toezichthouders. Microsoft lobbyde bij het Congres, de Federal Trade Commission, het ministerie van Financiën, het Executive Office of the White House en andere toezichthouders over “beleidskwesties in cloud computing”, naast andere kwesties, zo blijkt uit openbaarmakingen.
“Wat we echt nodig hebben”, aldus Cooper, onderzoeker aan de Universiteit van Pennsylvania, “is dat toezichthouders dit cloudconsortium van vier of vijf bedrijven opsplitsen en het beheer van de internetbackbone verdelen over een groot aantal verschillende bedrijven.”
Bron: jacobin.com
