(снимка: CC0 Public Domain)
Миналогодишния глобален срив на компютърните системи под Windows, причинен от проблем със защитния софтуер CrowdStrike, засегна най-малко 750 болници в САЩ. Задълбочено проучване хвърля светлина върху мащаба на пораженията.
Точно преди една година бъгава актуализация на софтуера от компанията за киберсигурност CrowdStrike деактивира милиони компютри по света и ги постави в цикъл на постоянни рестартирания. Прекъсването беше сравнимо по ефект с една от най-големите кибератаки в историята, като щетите се оценяват на милиарди долари. Стотици болници и техните пациенти бяха сред жертвите, припомня Wired.
През юли 2024 г. глобално прекъсване след актуализация на CrowdStrike засегна 8,5 милиона компютъра с Windows. Microsoft косвено обвини регулаторите в ЕС за прекъсването – компанията беше принудена да отвори ядрото на операционната система преди 15 години, включително за разработчици от трети страни, което означаваше преработка на механизма за достъп до ядрото.
Самата CrowdStrike обясни провала с грешка в софтуера за тестване на актуализации. По-късно разработчикът обяви, че ще позволи по-гъвкаво управление на актуализациите на Falcon Sensor, който е причинил прекъсването.
Реална картина или псевдонаука
Група експерти по киберсигурност в областта на медицината проведоха проучване, оценявайки пораженията от срива не в долари, а в щети, причинени на болници и пациенти в Съединените щати. Изследователите от Калифорнийския университет в Сан Диего (UCSD) публикуваха статия в списанието на Американската медицинска асоциация (JAMA Network Open), която за първи път оценява броя на засегнатите медицински заведения и посочва кои услуги в болниците са претърпели срив.
CrowdStrike остро критикува проучването, наричайки данните „псевдонаука”. Компанията подчертава, че изследователите не са проверили дали проблемните мрежи са използвали засегнатия от актуализацията Windows и софтуера на CrowdStrike. Например, в същия ден е възникнал мащабен срив на Microsoft Azure, който е могъл да засегне и много болници.
CrowdStrike обаче не отрича тежките последици от срива и се извинява на всички засегнати. В отговор Калифорнийският университет в Сан Диего заяви, че поддържа заключенията си – сривът на Azure е засегнал главно централната част на Съединените щати, а други видове смущения са наблюдавани в цялата страна и са започнали точно когато неправилната актуализация на CrowdStrike е причинила срива.
Нещата са дори още по-лоши
Изследователите са уверени, че нещата са дори по-лоши, тъй като са проучили само около една трета от над 6000 болници в САЩ, а истинският брой на засегнатите институции може да е много по-висок. Проучването е част от по-голям проект за сканиране на интернет, наречен Ransomwhere?, който идентифицира смущения в работата на медицинските заведения, свързани с рансъмуер.
Като част от проекта, американските болници вече са били проверени с помощта на инструментите на ZMap и Censys към момента на срива. Оказва се, че поне 759 от 2242-те проучени болници в САЩ са имали някакъв проблем, поради прекъсвания в мрежите им в злополучния ден.
Например, 202 болници са имали смущения в услугите, пряко свързани с пациентите – портали за персонала (включително за преглед на медицински досиета), системи за наблюдение на плода, инструменти за дистанционно обслужване на пациентите, услуги за сигурно прехвърляне на документи и др. Посочва се случай на инсулт, при който прехвърлянето на данни от компютърна томография към лекар е било значително затруднено.
Оказва се също, че 212 болници са претърпели сривове в работата на важни системи – от платформи за планиране на персонала до системи за фактуриране и инструменти за управление на времето за чакане на пациентите.
Що се отнася до релевантните на изследването „услуги”, сривове са наблюдавани в 62 болници. Най-много сривове (в 287 болници) попадат в категорията „други”, която включва офлайн услуги. Отбелязва се, че няма статистика за това как някой би могъл да бъде погрешно диагностициран или да му бъдат дадени животоспасяващи антибиотици в неподходящ момент.
Поуки
Още миналата година се появиха информации, че актуализация на софтуера на CrowdStrike е оказала негативно влияние върху дейността на лечебните заведения, но сега става въпрос за по-мащабно проучване. В него учените се опитват да измерят приблизително продължителността на прекъсването на болничните услуги.
Около 58% от услугите са били възстановени и работещи в рамките на шест часа, а 8% – поне след 48 часа. Това е много по-малко от прекъсването от реални кибератаки, но забавяне от няколко часа или дори минути може да увеличи смъртността на пациентите, смятат експертите.
Екипът от Калифорнийския университет в Сан Диего подчертава, че основната цел на проучването е да покаже, че с правилните инструменти е възможно да се проследяват щетите и да се извлекат поуки от масовите повреди в медицинските мрежи. Резултатът може да бъде по-задълбочено разбиране за това как да се предотвратят или защитят болниците от подобни ситуации в бъдеще.
