Коли в п’ятницю екрани комп’ютерів по всьому світу стали синіми, авіарейси були припинені, реєстрація в готелях стала неможливою, а доставка товарів призупинена. Підприємці вдалися до паперу та ручки. І початкові підозри були спрямовані на якусь кібертерористичну атаку. Однак реальність виявилася набагато більш приземленою: невдале оновлення програмного забезпечення від компанії з кібербезпеки CrowdStrike.
«У цьому випадку це було оновлення вмісту», — сказав Нік Хаятт, директор відділу аналізу загроз охоронної фірми Blackpoint Cyber.
І оскільки CrowdStrike має таку широку клієнтську базу, це оновлення контенту відчули в усьому світі.
«Одна помилка призвела до катастрофічних наслідків. Це чудовий приклад того, наскільки тісно пов’язане з ІТ наше сучасне суспільство – від кав’ярень до лікарень і аеропортів – така помилка має величезні наслідки», – сказав Хаятт.
У цьому випадку оновлення вмісту було пов’язано з програмою відстеження CrowdStrike Falcon. За словами Хаятта, Falcon має глибокі зв’язки для моніторингу зловмисного програмного забезпечення та іншої зловмисної поведінки на кінцевих точках, у цьому випадку ноутбуках, настільних комп’ютерах і серверах. Falcon автоматично оновлюється з урахуванням нових загроз.
«Код із помилками було випущено через функцію автоматичного оновлення, і ось ми тут», — сказав Хаятт. Функція автоматичного оновлення є стандартною для багатьох програмних програм і не є унікальною для CrowdStrike. «Це лише через те, що робить CrowdStrike, ефект тут руйнівний», — додав Хаятт.
19 липня 2024 року в Анкарі, Туреччина, на комп’ютерних моніторах з’явилися помилки «синій екран смерті» через глобальний збій зв’язку, спричинений CrowdStrike, яка надає послуги кібербезпеки американській технологічній компанії Microsoft.
Харун Озалп | Анадолу | Getty Images
Незважаючи на те, що CrowdStrike швидко виявив проблему, і багато систем запрацювали протягом кількох годин, глобальний каскад пошкоджень нелегко усунути для організацій зі складними системами.
«Ми думаємо про три-п’ять днів, перш ніж все буде вирішено», — сказав Ерік О’Ніл, колишній агент ФБР із боротьби з тероризмом і контррозвідкою та експерт з кібербезпеки. «Це багато простоїв для організацій».
Не допомогло, сказав О’Ніл, те, що збій стався в літню п’ятницю, коли багато офісів були відключені, а ІТ не вистачало, щоб допомогти вирішити проблему.
Оновлення програмного забезпечення слід випускати поступово
Одним із уроків глобального збою ІТ, сказав О’Ніл, є те, що оновлення CrowdStrike слід було розгортати поступово.
«Те, що зробив Crowdstrike, — це випустив свої оновлення для всіх одразу. Це не найкраща ідея. Надішліть його групі та протестуйте. Є рівні контролю якості, які воно має пройти», — сказав О’Ніл.
«Це слід було протестувати в пісочницях, у багатьох середовищах, перш ніж вийти», — сказав Пітер Евері, віце-президент із безпеки та відповідності Visual Edge IT.
Він очікує, що потрібні додаткові запобіжні заходи, щоб уникнути майбутніх інцидентів, які повторюють подібні збої.
«Вам потрібні правильні системи стримувань і противаг у компаніях. Це могла бути одна людина, яка вирішила проштовхнути це оновлення, або хтось вибрав не той файл для запуску», — сказав Евері.
ІТ-індустрія називає це єдиною точкою збою — помилкою в одній частині системи, яка створює технічну катастрофу в галузях, підприємствах і взаємопов’язаних мережах зв’язку. величезний ефект доміно.
Вимагайте резервування в ІТ-системах
П’ятнична подія може спонукати компанії та окремих осіб підвищити рівень кіберготовності.
«Ширшою картиною є те, наскільки крихким є світ. Це не лише кібернетична чи технічна проблема. Є багато різних явищ, які можуть спричинити збої, наприклад сонячні спалахи, які можуть вивести з ладу наші комунікації та електроніку», — сказав Евері.
Зрештою, крах у п’ятницю був не звинуваченням проти Crowdstrike чи Microsoft, а ставленням компаній до кібербезпеки, сказав Джавад Абед, доцент кафедри інформаційних систем у бізнес-школі Джонса Хопкінса Кері. «Власники бізнесу повинні перестати розглядати послуги кібербезпеки лише як витрати, а натомість як значну інвестицію в майбутнє своєї компанії», — сказав Абед.
Компанії повинні зробити це шляхом створення резервування у своїх системах.
«Одна точка відмови не може зупинити бізнес, і це зупинило», — сказав Абед. «Ви не можете покладатися лише на один інструмент кібербезпеки, Cybersecurity 101», — сказав Абед.
Хоча створення резервування в корпоративних системах коштує дорого, те, що сталося в п’ятницю, коштує дорожче.
«Я сподіваюся, що це тривожний дзвінок, і я сподіваюся, що це призведе до певних змін у мисленні власників бізнесу та організацій, щоб переглянути свої стратегії кібербезпеки», — сказав Абед.
Що робити з кодом «рівня ядра».
На макрорівні справедливо покласти певну системну відповідальність на ІТ-світ підприємства, який часто розглядає кібербезпеку, безпеку даних і ланцюжок поставок технологій як «приємне, що є», а не як необхідне, і загалом бракує лідерства в кібербезпеки в організаціях, сказав Ніколас Різ, колишній співробітник Департаменту внутрішньої безпеки та викладач Центру глобальних питань SPS Університету Нью-Йорка.
На мікрорівні Різ сказав, що код, який спричинив цей збій, був кодом рівня ядра, що впливає на всі аспекти комунікації комп’ютерного обладнання та програмного забезпечення. «Код основного рівня повинен отримати найвищий рівень перевірки», — сказав Різ, а затвердження та впровадження — це повністю окремі процеси з підзвітністю.
Це проблема, яка триватиме для всієї екосистеми, заповненої сторонніми продуктами, усі з уразливими місцями.
«Як ми дивимося на екосистему сторонніх постачальників і бачимо, де буде наступна вразливість? Це майже неможливо, але ми повинні спробувати», — сказав Різ. «Це не можливо, але впевненість, доки ми не розглянемо кількість потенційних вразливостей. Нам потрібно зосередитися на резервному копіюванні та резервуванні та інвестувати в це, але компанії кажуть, що вони не можуть дозволити собі платити за речі, які можуть не статися ніколи. Це важка справа”, – сказав він.
&w=120&resize=120,86&ssl=1)
