Hoe CrowdStrike de wereld liet crashen en daarna zichzelf

De storing begint vroeg in de ochtend in Sydney. Computerschermen bij Qantas Airways flikkeren aan en uit en springen vervolgens op de gevreesde Blue Screen of Death. Binnen enkele uren verspreidt de storing zich over de hele wereld. Luchthavens van Schiphol tot JFK moeten vluchten annuleren. Ziekenhuizen schrappen operaties. Banken kunnen geen transacties verwerken. En overal ter wereld staren gefrustreerde gebruikers naar blauwe schermen die weigeren op te starten.

Kurtz's mediaoptreden
Pas uren na het begin van de crisis verschijnt CEO George Kurtz op CNBC News. Zijn optreden werd alom bekritiseerd als te laat en te technisch. ‘Zelfs ChatGPT is overtuigender,’ sneren PR-experts over zijn excuses. Kurtz belooft 'volledige transparantie', maar zijn woorden missen de empathie die op dat moment nodig is.

Als de interviewer doorvraagt (zie video) krijgt het een pijnlijke wending: “U zegt in uw verklaring dat één enkele update in staat is geweest het wereldwijde vliegverkeer, banktransacties en omroepen plat te leggen. Hoe is dat mogelijk? Is er geen backup-systeem? Hoe kan het dat één softwarebug zoveel schade kan aanrichten?” 

Kurtz hapert. Z'n mond wordt droog terwijl hij zoekt naar woorden. Het wordt duidelijk dat Kurtz niet het volledige verhaal vertelt. Of erger nog, dat hij zelf niet precies weet hoe het zover heeft kunnen komen. Zijn houding is niet congruent met zijn verhaal, dat maakt hem ongeloofwaardig.

Lessen in crisismanagement
Voor communicatieprofessionals biedt het debacle een masterclass in hoe het niet moet. Snelheid, empathie en transparantie blijken opnieuw cruciaal - precies de elementen die in CrowdStrike's aanpak ontbreken.

De trage reactie van het bedrijf creëerde al snel een informatievacuüm dat werd gevuld met speculaties en angst. Zelfs als niet alle feiten boven water zijn, moet een woordvoerder in staat zijn het proces uit te leggen. Dat wil zeggen: aangeven dat er grondig onderzoek plaatsvindt naar de oorzaken, dat er intern maatregelen worden genomen, etc. Een 'holding statement' had kunnen helpen om de onrust te temperen.

Kurtz's technocratische benadering in zijn publieke verklaring miste uiteindelijk de human touch die zo cruciaal is tijdens een crisis van deze omvang. Een oprechte boodschap, waarin Kurtz begrip toont voor de impact voor gebruikers en verantwoordelijkheid neemt voor de fout, zou beter zijn ontvangen. 

In de dagen die volgen, blijven Kurtz en CrowdStrike worstelen met publieke optredens. In een poging de PR-schade te beperken, komt CrowdStrike met een gebaar dat al snel symbool staat voor hoe ver ze de plank misslaan: een $10 Uber Eats-cadeaubon voor getroffen klanten. Social media ontploft van verontwaardiging. Er ontstaat een typisch beeld van een CEO die de ernst van de situatie onderschat.

De weg naar herstel
Voor CrowdStrike is de weg naar herstel lang en onzeker. Het Amerikaanse Congres roept Kurtz op om te getuigen. Aandeelhouders zien de beurswaarde met meer dan 10% kelderen. Juristen bereiden zich voor op een stortvloed aan rechtszaken.

De crisis heeft laten zien hoe één foutje in een update kan uitgroeien tot een mondiale crisis. En hoe cruciaal effectieve communicatie is in het beperken van de schade.

Keerpunt of niet?
Terwijl Kurtz zich voorbereidt op zijn getuigenis, zijn er veel vragen. Is dit een wake-upcall voor betere veiligheidsmaatregelen? Microsoft wijst al naar EU-regelgeving, stellend dat strengere regels nodig zijn om dit soort incidenten in de toekomst te voorkomen.

Uiteindelijk bepaalt de manier waarop CrowdStrike herstelt en de lessen die de industrie hieruit haalt, of het incident als een ongelukkige loop van omstandigheden wordt gezien of een keerpunt in cybersecurity. Zo'n fout maak je als CEO geen tweede keer.... Of wel?