Jak jedna aktualizacja CrowdStrike wpłynęła na tak wiele firm i usług?
Aktualizacja CrowdStrike powoduje awarie systemów Microsoft
Firma zajmująca się cyberbezpieczeństwem CrowdStrike wdrożyła aktualizację, która spowodowała awarię systemów Windows na całym świecie.
Wszystko zaczęło się od aktualizacji oprogramowania.
„Niebieski ekran śmierci” Microsoftu sparaliżował w piątek działalność rządową i przedsiębiorstw w całym kraju, blokując pracę centrów obsługi połączeń alarmowych, banków, linii lotniczych i szpitali.
Chociaż Microsoft stwierdził, że przyczyną poważnej awarii IT była wadliwa aktualizacja oprogramowania amerykańskiej firmy zajmującej się cyberbezpieczeństwem CrowdStrike, incydent ten zwrócił uwagę na to, jak duży udział w rynku mają obie firmy w swoich sektorach.
„Kiedy korzystamy z usług tych samych dostawców, tego typu zjawiska mogą stać się bardziej widoczne, gdy już wystąpią” – powiedział Dominic Sellitto, adiunkt kliniczny w dziedzinie nauk o zarządzaniu i systemów w Szkole Zarządzania Uniwersytetu w Buffalo w Nowym Jorku.
Dlaczego doszło do awarii CrowdStrike?
W oświadczeniu CrowdStrike podano, że przerwa w działaniu usługi była spowodowana wadą aktualizacji treści oprogramowania do ochrony cyberbezpieczeństwa „Falcon” dla hostów Windows.
Komputery z systemami operacyjnymi Mac i Linux nie ucierpiały, a firma CrowdStrike poinformowała, że incydent nie był spowodowany cyberatakiem.
Jak twierdzi Tim Ehrenkaufer, adiunkt nauk lotniczych na Embry-Riddle Aeronautical University na Florydzie, istnieje ryzyko pojawienia się błędów i pomyłek przy wprowadzaniu nowego oprogramowania, zazwyczaj są one jednak na tyle drobne, że użytkownik końcowy nie jest ich świadomy.
W piątek cały kraj był tego świadomy – awaria sparaliżowała wszystko, od centrów obsługi telefonicznej 911 po aplikację mobilną Starbucks.
„Ponieważ firmy na całym świecie, rządy, agencje i podmioty są uzależnione od pojedynczych platform technologicznych, oznacza to, że tego typu zdarzenia są coraz bardziej bolesne” — powiedział Sellitto z University at Buffalo.
CrowdStrike, udział w rynku Microsoft
Reklamy wskazują, że z rozwiązania CrowdStrike korzysta ponad połowa firm z listy Fortune 500.
Tymczasem Windows firmy Microsoft jest jednym z najpopularniejszych systemów operacyjnych na świecie, a firma dostarcza około 85% oprogramowania zwiększającego produktywność używanego przez rząd federalny, zgodnie z oświadczeniami Rep. Bennie Thompsona, Demokraty z Missisipi, podczas ubiegłomiesięcznego posiedzenia House Committee on Homeland Security.
„Problem, z którym mamy do czynienia, polega na tym, że świat jest złożony i współzależny, a faktem jest, że technologia, której używamy, ma charakter globalny” — powiedział Scott White, adiunkt i dyrektor programu cyberbezpieczeństwa oraz cyberakademii na Uniwersytecie George’a Washingtona w Waszyngtonie. „Staliśmy się zależni od organizacji takich jak (Microsoft)”.
Awaria CrowdStrike: Globalna awaria technologiczna dotyka linie lotnicze, banki, służbę zdrowia i transport publiczny
Czy Kongres powinien interweniować?
W ciągu kilku godzin od awarii niektórzy ustawodawcy i eksperci ds. cyberbezpieczeństwa dyskutowali nad tym, czy Kongres – lub administracja Bidena i Departament Bezpieczeństwa Krajowego – muszą dodać więcej zabezpieczeń regulacyjnych, aby mieć pewność, że awaria tej skali nie zdarzy się ponownie.
Paul Rosenzweig, były zastępca zastępcy sekretarza ds. polityki w DHS, powiedział, że najlepszą reakcją na piątkową awarię byłoby wymaganie od firm i rządów posiadania zapasowych systemów, aby miały kopię zapasową w przypadku awarii swoich systemów.
Proszenie firm, aby zrobiły to same, byłoby niezwykle kosztowne, powiedział Rosenzweig, i niewiele z nich by to zrobiło. Ale Kongresowi lub administracji Bidena trudno byłoby wymagać od nich tego bez zrobienia tego samego w rządzie, co byłoby czasochłonne i astronomicznie drogie.
„To ciekawe pytanie” – powiedział Rosenzweig, założyciel Red Branch Consulting PLLC, firmy konsultingowej w zakresie bezpieczeństwa wewnętrznego i cyberbezpieczeństwa. „Rząd nie może nakazać ludziom dywersyfikacji, jeśli sam tego nie zrobi – a jest największym, jeśli nie z pewnością jednym z największych klientów (Microsoftu)”.
Rosenzweig ostrzegł jednak, że awaria z piątku prawdopodobnie powtórzy się i może mieć poważniejsze konsekwencje, dlatego rządy i sektor prywatny muszą być przygotowane.
„Muszą wydać dodatkowe pieniądze”, aby zbudować lepszą ochronę, w tym kopie zapasowe, powiedział. „Jeśli firmy tego nie zrobią, to się powtórzy, albo przez przypadek, jak tym razem, albo przez złośliwe działanie”.
Inni eksperci ds. cyberbezpieczeństwa uważają, że system działa tak, jak działa, a CrowdStrike ponosi pełną odpowiedzialność za awarię, której nie udałoby się rozwiązać poprzez dodatkową interwencję rządu.
„Ten incydent wydaje się być poważnym błędem kontroli jakości, a nie złośliwym działaniem” – powiedział strateg ds. cyberbezpieczeństwa i były urzędnik kontrwywiadu FBI Eric O’Neill o piątkowym paraliżu. „Chociaż szkody zostaną oszacowane, regulacja jest niepotrzebna; rynek skieruje klientów do innych dostawców lub zapewni ich o CrowdStrike”.
O’Neill stwierdził jednak, że lepsze regulacje dotyczące inwestycji w cyberbezpieczeństwo i najlepszych praktyk mają kluczowe znaczenie, ponieważ rząd USA „źle zareagował w tej kluczowej kwestii infrastruktury krytycznej”.
„Jeśli rząd USA będzie musiał ratować CrowdStrike, które moim zdaniem jest zbyt duże, żeby upaść, to ciężar ten poniosą podatnicy” – powiedział O’Neill.
„Krytyczna infrastruktura i partnerzy międzynarodowi”
W ostatnich latach DHS oraz Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury współpracowały nad stworzeniem sieci partnerstw sektora publicznego i prywatnego, które mają pomóc w reagowaniu na tego typu globalne incydenty, wierząc, że rząd nie jest w stanie działać sam.
Jak powiedziała dyrektor CISA Jen Easterly w wywiadzie dla USA TODAY w 2022 r., edukowanie sektora prywatnego i firm zajmujących się cyberbezpieczeństwem na temat tego, co należy robić – a czego nie – jest kluczowym elementem tego procesu, niezależnie od tego, czy problemem jest cyberatak, czy wadliwa aktualizacja cyberbezpieczeństwa.
W tym celu CISA w piątek oświadczyła, że „jest świadoma powszechnej awarii, która dotknęła hosty Microsoft Windows z powodu problemu z niedawną aktualizacją CrowdStrike i ściśle współpracuje z CrowdStrike oraz partnerami federalnymi, stanowymi, lokalnymi, plemiennymi i terytorialnymi, a także z partnerami z branży infrastruktury krytycznej i partnerami międzynarodowymi w celu oceny skutków i wsparcia działań naprawczych”.
CISA ostrzegła również swoją sieć partnerów publicznych i prywatnych, że zauważyła hakerów i innych „aktorów zagrożeń wykorzystujących ten incydent do phishingu i innych złośliwych działań”.
Co dalej z firmami?
Klienci biznesowi CrowdStrike i Microsoft mogą rozważyć skorzystanie z usług alternatywnych dostawców po globalnej awarii, ale nie rozwiązuje to sedna problemu, powiedział Javad Abed, ekspert w dziedzinie cyberbezpieczeństwa i podatności danych oraz adiunkt w Carey Business School na Uniwersytecie Johnsa Hopkinsa w Baltimore.
„Incydent CrowdStrike jest jaskrawym przypomnieniem, że poleganie na jednym narzędziu cyberbezpieczeństwa, niezależnie od reputacji dostawcy, tworzy niebezpieczny pojedynczy punkt awarii” — powiedział Abed. „A wdrażanie wielu warstw z wieloma dostawcami ma kluczowe znaczenie dla ciągłości działania i ochrony krytycznych operacji”.
Abed powiedział, że tego rodzaju awaria może zdarzyć się każdemu dostawcy lub firmie, ale w dużej mierze można jej zapobiec, a jedną z podstawowych zasad cyberbezpieczeństwa jest redundancja.
Posiadanie nadmiarowości w infrastrukturze może być kosztowne na początku, ale byłoby inwestycją w utrzymanie zaufania między firmami a ich klientami, powiedział Abed. Firmy powinny również przemyśleć swoje testy i sposób, w jaki udostępniają aktualizacje, mówi.
Abed powiedział, że to sygnał ostrzegawczy dla firm zajmujących się cyberbezpieczeństwem, które powinny zrewidować swoje procedury.
