Vineri, când ecranele calculatoarelor din întreaga lume au devenit albastre, zborurile au fost anulate, check-in-urile la hoteluri au devenit imposibile și livrările de marfă au fost blocate. Afacerile au recurs la hârtie și pix. Inițial, s-a suspectat un atac cibernetic terorist, dar realitatea a fost mult mai banală: o actualizare de software eșuată de la compania de securitate cibernetică CrowdStrike.
„În acest caz, a fost o actualizare de conținut”, a spus Nick Hyatt, director de informații despre amenințări la firma de securitate Blackpoint Cyber.
Și pentru că CrowdStrike are o bază largă de clienți, actualizarea de conținut a fost resimțită la nivel mondial.
„O singură greșeală a avut rezultate catastrofale. Acesta este un exemplu excelent de cât de strâns legată este societatea noastră modernă de IT — de la cafenele la spitale și aeroporturi, o greșeală ca aceasta are ramificații masive”, a spus Hyatt.
În acest caz, actualizarea de conținut a fost legată de software-ul de monitorizare CrowdStrike Falcon. Falcon, spune Hyatt, are conexiuni profunde pentru a monitoriza malware-ul și alte comportamente rău intenționate pe endpoint-uri, în acest caz, laptopuri, desktopuri și servere. Falcon se actualizează automat pentru a ține cont de noile amenințări.
„Codul defectuos a fost distribuit prin funcția de actualizare automată și, iată-ne aici”, a spus Hyatt. Capabilitatea de actualizare automată este standard în multe aplicații software și nu este unică pentru CrowdStrike. „Doar că, din cauza a ceea ce face CrowdStrike, consecințele aici sunt catastrofale”, a adăugat Hyatt. Deși CrowdStrike a identificat rapid problema și multe sisteme au fost restaurate în câteva ore, cascada globală de daune nu se poate remedia ușor pentru organizațiile cu sisteme complexe.
„Ne așteptăm la trei până la cinci zile înainte ca lucrurile să fie rezolvate”, a spus Eric O’Neill, fost operativ FBI în contraterorism și contrainformații și expert în securitate cibernetică. „Aceasta este o perioadă de nefuncționare pentru organizații.”
Nu a ajutat nici faptul că întreruperea s-a produs într-o vineri de vară, cu multe birouri goale și cu personal IT insuficient pentru a rezolva problema.
Actualizările software ar trebui să fie lansate treptat
O lecție din această întrerupere globală IT, a spus O’Neill, este că actualizarea CrowdStrike ar fi trebuit să fie lansată treptat.
„Ceea ce făcea CrowdStrike era să distribuie actualizările tuturor deodată. Acesta nu este cel mai bun mod. Trimiteți actualizarea unui grup și testați-o. Există niveluri de control al calității prin care ar trebui să treacă”, a spus O’Neill.
„Ar fi trebuit testată în medii izolate, în multe medii înainte de a fi distribuită”, a spus Peter Avery, vicepreședinte de securitate și conformitate la Visual Edge IT.
El se așteaptă ca mai multe măsuri de protecție să fie necesare pentru a preveni incidentele viitoare care repetă acest tip de eșec.
„Trebuie să aveți controale și echilibrări corecte în companii. Ar fi putut fi o singură persoană care a decis să distribuie această actualizare sau cineva a selectat fișierul greșit pentru a fi executat”, a spus Avery.
Industria IT numește aceasta o defecțiune de tip „single-point” — o eroare într-o parte a unui sistem care creează un dezastru tehnic prin industrii, funcții și rețele de comunicații interconectate; un efect de domino masiv.
Apel pentru construirea redundanței în sistemele IT
Incidentul de vineri ar putea determina companiile și indivizii să își crească nivelul de pregătire cibernetică.
„Imaginea de ansamblu este cât de fragilă este lumea; nu este doar o problemă cibernetică sau tehnică. Există o mulțime de fenomene diferite care pot provoca o întrerupere, cum ar fi erupțiile solare care pot afecta comunicațiile și electronica noastră”, a spus Avery.
În cele din urmă, incidentul de vineri nu a fost un rechizitoriu împotriva CrowdStrike sau Microsoft, ci a modului în care companiile privesc securitatea cibernetică, a spus Javad Abed, profesor asistent de sisteme informatice la Școala de Afaceri Carey de la Universitatea Johns Hopkins.
„Proprietarii de afaceri trebuie să nu mai privească serviciile de securitate cibernetică ca pe un simplu cost și în schimb ca pe o investiție esențială în viitorul companiei lor”, a spus Abed.
Companiile ar trebui să facă acest lucru construind redundanță în sistemele lor.
„Un singur punct de defecțiune nu ar trebui să poată opri o afacere, și asta s-a întâmplat”, a spus Abed. „Nu te poți baza doar pe un singur instrument de securitate cibernetică, este fundamentul securității cibernetice”, a spus Abed.
Deși construirea redundanței în sistemele de întreprindere este costisitoare, ceea ce s-a întâmplat vineri este mai scump.
„Sper că acesta este un semnal de alarmă și sper că va cauza schimbări în mentalitățile proprietarilor de afaceri și organizațiilor pentru a-și revizui strategiile de securitate cibernetică”, a spus Abed.
Ce să faci cu codul de nivel „kernel”
La nivel macro, este corect să atribuim o parte din vină sistemică într-o lume a IT-ului de întreprindere care deseori vede securitatea cibernetică, securitatea datelor și lanțul de aprovizionare tehnologică ca „lucruri drăguțe de avut” în loc de elemente esențiale, și o lipsă generală de leadership în securitatea cibernetică în cadrul organizațiilor, a spus Nicholas Reese, fost oficial al Departamentului de Securitate Internă și instructor la Centrul pentru Afaceri Globale SPS de la Universitatea din New York.
La nivel micro, Reese a spus că codul care a cauzat această perturbare era un cod de nivel „kernel”, afectând fiecare aspect al comunicării hardware și software a unui computer.
„Codul de nivel kernel ar trebui să primească cel mai înalt nivel de examinare”, a spus Reese, cu aprobarea și implementarea necesitând să fie procese complet separate cu responsabilitate.
Aceasta este o problemă care va continua pentru întregul ecosistem, inundat de produse ale furnizorilor terți, toate cu vulnerabilități.
„Cum ne uităm peste ecosistemul furnizorilor terți și vedem unde va fi următoarea vulnerabilitate? Este aproape imposibil, dar trebuie să încercăm”, a spus Reese. „Nu este o posibilitate, ci o certitudine până când ne vom confrunta cu numărul de vulnerabilități potențiale. Trebuie să ne concentrăm pe backup și redundanță și să investim în ele, dar companiile spun că nu își pot permite să plătească pentru lucruri care s-ar putea să nu se întâmple niciodată. Este un caz greu de făcut”, a spus el.
