В петък екраните на компютрите станаха сини по целия свят, полетите бяха отменени, настаняването в хотелите стана невъзможно, доставките на товари спряха… Бизнесът прибягна до хартия и химикал, а първоначалните подозрения се насочиха към кибер-терористична атака. Реалността обаче се оказа много по-тривиална: неуспешна софтуерна актуализация на компанията за киберсигурност CrowdStrike.
„В случая това беше актуализация на съдържанието”, казва Ник Хаят, директор на разузнаването на заплахи в охранителната фирма Blackpoint Cyber, пред CNBC. И тъй като CrowdStrike има широка база от клиенти, актуализацията се усети по целия свят.
„Една грешка доведе до катастрофални резултати. Това е чудесен пример колко тясно е свързано с ИТ нашето съвременно общество – от кафенета до болници и летища, грешка като тази има огромни последици”, коментира Хаят.
Бъгавият Falcon
Актуализацията на съдържанието беше свързана със софтуера за наблюдение CrowdStrike Falcon. По думите на Хаят, Falcon следи за зловреден софтуер и друго злонамерено поведение на крайни точки като лаптопи, настолни компютри и сървъри. Falcon се актуализира автоматично, за да отчете нови заплахи.
„Бъгавият код беше пуснат чрез функцията за автоматично актуализиране и ето ни тук”, казва Хаят. Възможността за автоматично актуализиране е стандартна в много софтуерни приложения и не е уникална за CrowdStrike. „Но поради това, което прави CrowdStrike, последиците са катастрофални”, добави Хаят.
Въпреки че CrowdStrike бързо идентифицира проблема и в рамките на часове много системи бяха възстановени и започнаха да работят, глобалната каскада от щети не може лесно да се обърне за организации със сложни системи.
Ще изминат три до пет дни, преди проблемите да бъдат решени, смята Ерик О’Нийл, бивш агент на ФБР за борба с тероризма и контраразузнаването и експерт по киберсигурност. Това е сериозен престой за организациите.
Не помогна обстоятелството, че прекъсването се случи в един летен петък с много празни офиси и недостиг на ИТ специалисти, които да помогнат за разрешаване на проблема, казва О’Нийл.
Урок за софтуерните актуализации
Един урок от глобалното прекъсване на ИТ системите е, че актуализацията на CrowdStrike трябваше да бъде въведена постепенно. Вместо това Crowdstrike пуска своите актуализации на всички наведнъж, което не е най-добрата идея.
„Изпратете го [ъпдейтът] на една група и го тествайте. Има нива на контрол на качеството, през които трябва да премине”, казва О’Нийл.
„Трябваше да бъде тестван в пясъчни кутии, в много среди, преди да излезе”, допълва Питър Ейвъри, вицепрезидент по сигурността и съответствието във Visual Edge IT. Той смята, че са необходими повече предпазни мерки за предотвратяване на подобни инциденти в бъдеще.
„Има нужда от правилните проверки и баланси в компаниите. Възможно е един човек да е решил да пусне тази актуализация или някой да е избрал грешен файл, за да я изпълни”, разсъждава Ейвъри.
ИТ индустрията нарича това „повреда в една точка” – грешка в една част от система, която създава техническа катастрофа в индустрии, функции и взаимосвързани комуникационни мрежи. Това е огромен ефект на доминото.
Покана за резервиране в ИТ системите
Събитието от петък може да накара компаниите и отделните лица да повишат нивото си на подготвеност за киберинциденти. „По-голямата картина е колко крехък е светът; това не е просто кибер или технически проблем. Много различни явления могат да причинят прекъсване, като слънчеви изригвания, които да извадят от строя нашите комуникации и електроника”, казва Ейвъри.
В крайна сметка сривът в петък не беше обвинителен акт срещу Crowdstrike или Microsoft, а за това как бизнесът гледа на киберсигурността, коментира Джавад Абед, асистент по информационни системи в Johns Hopkins Carey Business School.
„Собствениците на бизнес трябва да спрат да гледат на услугите за киберсигурност просто като на разход, а вместо това като на съществена инвестиция в бъдещето на тяхната компания”, казва Абед. Предприятията трябва да правят това чрез „изграждане на излишък” в своите системи.
„Единствена точка на провал не би трябвало да може да спре бизнеса, а точно това се случи”, подчерта Абед. „Не можете да разчитате само на един инструмент за киберсигурност, киберсигурност 101”.
Въпреки че изграждането на резервиране в корпоративните системи е скъпо, това, което се случи в петък, е по-скъпо като последствия. „Надявам се, че това е сигнал за събуждане и промени в нагласите на собствениците на бизнеси и организациите да преразгледат своите стратегии за киберсигурност”, допълва Абед.
Какво да се прави на микро ниво
На макро ниво може да се припише някаква системна вина на света на корпоративните ИТ, който често гледа на киберсигурността, сигурността на данните и веригата за доставки на технологии като на „неща, които е хубаво да имаш”, вместо да мисли за основни неща и за това, че в организациите липсва лидерство в киберсигурността, коментира Никълъс Рийс, бивш служител на Министерството на вътрешната сигурност и инструктор в Центъра за глобални въпроси SPS на Нюйоркския университет.
На микро ниво кодът, причинил това прекъсване, е код на ниво ядро, засягащ всеки компютърен хардуер и комуникационен софтуер. „Кодът на ниво ядро трябва да получи най-високо ниво на контрол”, смята Рийз, като одобрението и внедряването трябва да бъдат напълно отделни процеси с отчетност.
Това е проблем, който ще продължи да тормози цялата екосистема, залята от продукти на доставчици от т.нар. „трети страни”, всички с уязвимости.
„Как да разгледаме екосистемата на доставчиците на трети страни и да видим къде ще бъде следващата уязвимост? Почти невъзможно е, но трябва да опитаме”, казва Рийз.
„Трябва да се съсредоточим върху архивирането и резервирането и да инвестираме в тях, но фирмите казват, че не могат да си позволят да плащат за неща, които може никога да не се случат. Трудно е да се направи това”, заключава той.