Eén defect kanaalbestand legde 8,5 miljoen Windows-machines plat, zette vluchten aan de grond en bevroor handelsdesks. Onder DORA is de vraag niet langer 'wiens fout?' maar 'waar was uw simulatie?'
Op 19 juli 2024 maakte een defecte contentupdate in een veelgebruikte endpoint-beveiligingsagent ongeveer 8,5 miljoen Windows-systemen binnen enkele uren onopstartbaar. Airlines legden hun vloten stil, ziekenhuizen keerden terug naar papier, en financiële instellingen ontdekten dat één bestand van een derde partij kon doen wat geen enkele aanvaller was gelukt. Geen tegenstander, geen malware, geen inbreuk — dat is precies wat het maakt tot de helderste weerbaarheids-casestudy van het decennium.
Het incident
Eén leverancier, één kanaalbestand, één wereldwijde uitrol. De update bereikte elke machine die de agent uitvoerde op effectief hetzelfde moment, en de faalwijze was totaal: blauw scherm, opstartstroom, handmatig herstel per apparaat. Schaal veranderde een softwaredefect in infrastructureel meteorologisch verschijnsel.
De regelgevende lezing
De EU Digital Operational Resilience Act biedt geen troost bij de afwezigheid van een aanvaller. De kern van zijn eis aan financiële entiteiten is dat ICT-verstoring, kwaadaardig of niet, wordt verwacht, weerstaan en hersteld. Drie van zijn pijlers zijn rechtstreeks in het geding: ICT-risico van derden (het defecte onderdeel bevond zich diep in de toeleveringsketen van vrijwel elke instelling, vaak onder het niveau van contractuele zichtbaarheid), digitaal veerbaarheidstesten (scenariotests moeten ernstige maar plausibele verstoringen dekken; gelijktijdig falen van een endpoint-agent was plausibel, ernstig en vrijwel nergens gesimuleerd), en incidentrapportage (instellingen hadden uren, niet dagen, om hun eigen blootstelling te begrijpen en te classificeren).
Wat berekening had veranderd
De afhankelijkheid was kenbaar: een volledig activainventaris toont dezelfde agent op elk endpoint, één punt van gecorreleerde uitval. De blastradius was berekenbaar: een Monte-Carlo-simulatie over die inventaris, het soort dat DORA-MAST uitvoert voor financiële entiteiten en cVaR voor elke sector, berekent het scenario "vertrouwde agent valt overal tegelijk uit" in termen van financieel verlies, waardoor een vage zorg een getal op bestuursniveau wordt. En herstel gaat sneller met beschikbaar bewijs: instellingen die precies wisten welke machines welke agentversie uitvoerden, herstelden in uren; zij die hun omgeving reconstrueerden vanuit spreadsheets, deden er dagen over. Geautomatiseerde bewijsverzameling houdt dat antwoord actueel.
Voorspellen, simuleren, vooraf remediëren: niets hiervan vereiste helderziendheid. Het vereiste een inventaris, een model en de wil om het ongelukkige pad te berekenen voordat men het beleefde.