Μια από τις καλύτερες άμυνες είναι η σταδιακή διάθεση ενημερώσεων λογισμικού και η δημιουργία πλεονασμάτων στα συστήματα, σημειώνουν αναλυτές
Όταν οι οθόνες των υπολογιστών έγιναν… μπλε σε όλο τον κόσμο την Παρασκευή, ουσιαστικά η οικονομική δραστηριότητα «πάγωσε»: οι πτήσεις ακινητοποιήθηκαν, το check-in σε ξενοδοχεία κατέστη αδύνατο και οι παραδόσεις εμπορευμάτων σταμάτησαν. Οι επιχειρήσεις επέστρεψαν ουσιαστικά στο χαρτί και το στυλό.
Οι αρχικές υποψίες ήθελαν να πρόκειται για κάποιο είδους κυβερνοεπίθεση, ωστόσο η πραγματικότητα ήταν πολύ πιο πεζή: ήταν απλά μια ενημέρωση λογισμικού της εταιρείας κυβερνοασφάλειας CrowdStrike που πήγε στραβά. Για την ακρίβεια πήγε τελείως στραβά.
Μετά το μπλακάουτ της CrowdStrike ήρθε και η απειλή κυβερνοεπιθέσεων
«Σε αυτή την περίπτωση, ήταν μια ενημέρωση περιεχομένου», δήλωσε στο CNBC ο Nick Hyatt, διευθυντής πληροφοριών απειλών στην εταιρεία ασφαλείας Blackpoint Cyber. Και επειδή το CrowdStrike έχει τόσο ευρεία βάση πελατών, ο αντίκτυπος του λάθους έγινε αισθητός σε όλο τον κόσμο.
«Ένα λάθος που είχε καταστροφικά αποτελέσματα. Αυτό είναι ένα εξαιρετικό παράδειγμα του πόσο στενά συνδεδεμένη είναι η σύγχρονη κοινωνία μας με την πληροφορική — από καφετέριες μέχρι νοσοκομεία και αεροδρόμια, ένα λάθος όπως αυτό έχει τεράστιες συνέπειες», είπε ο Hyatt.
Σε αυτήν την περίπτωση, η ενημέρωση περιεχομένου συνδεόταν με το λογισμικό παρακολούθησης CrowdStrike Falcon. Το Falcon, λέει ο Hyatt, έχει βαθιές συνδέσεις για να παρακολουθεί για κακόβουλο λογισμικό και άλλη κακόβουλη συμπεριφορά στα τελικά σημεία (endpoints), σε αυτήν την περίπτωση, φορητούς υπολογιστές, σταθερούς υπολογιστές και διακομιστές. Το Falcon ενημερώνεται αυτόματα για να εντοπίζει συνεχώς νέες απειλές.
Παρόλο που η CrowdStrike εντόπισε γρήγορα το πρόβλημα και πολλά συστήματα επανέφεραν αντίγραφα ασφαλείας και λειτουργούσαν μέσα σε λίγες ώρες, ο παγκόσμιος αντίκτυπος των ζημιών δεν αντιστρέφεται εύκολα για οργανισμούς με πολύπλοκα συστήματα.
«Σκεφτόμαστε τρεις έως πέντε ημέρες πριν επιλυθούν τα πράγματα», είπε ο Έρικ Ο’ Νιλ, πρώην στέλεχος του FBI και ειδικός σε θέματα κυβερνοασφάλειας. «Αυτό σημαίνει ένα σωρό διακοπές λειτουργίας για οργανισμούς».
Δεν βοήθησε, είπε ο Ο’ Νιλ, το γεγονός ότι η διακοπή συνέβη Παρασκευή και σε καλοκαιρινή περίοδο με πολλά γραφεία άδεια και τα τμήματα IT που θα βοηθούσαν στην επίλυση του προβλήματος να υπολειτουργούν.
Σταδιακή κυκλοφορία των ενημερώσεων λογισμικού
Ένα μάθημα από την παγκόσμια διακοπή της πληροφορικής, είπε ο Ο’ Νιλ, είναι ότι η ενημέρωση της CrowdStrike θα έπρεπε να είχε κυκλοφορήσει σταδιακά. «Αυτό που έκανε η Crowdstrike ήταν να κυκλοφορήσει τις ενημερώσεις της σε όλους ταυτόχρονα. Αυτή δεν είναι η καλύτερη ιδέα. Στείλτε το σε μια ομάδα και δοκιμάστε το. Υπάρχουν επίπεδα ποιοτικού ελέγχου που πρέπει να περάσει», είπε ο Ο’ Νιλ.
«Θα έπρεπε να είχε δοκιμαστεί σε πολλά περιβάλλοντα», δήλωσε ο Πίτερ Έιβερι, αντιπρόεδρος ασφάλειας και συμμόρφωσης στο Visual Edge IT. Ο ίδιος αναμένει ότι χρειάζονται περισσότερες διασφαλίσεις για την αποφυγή μελλοντικών περιστατικών που επαναλαμβάνουν αυτού του είδους τις αποτυχίες.
«Χρειάζεστε τους σωστούς ελέγχους και ισορροπίες στις εταιρείες. Θα μπορούσε να ήταν ένα άτομο που αποφάσισε να προωθήσει αυτήν την ενημέρωση ή κάποιος διάλεξε το λάθος αρχείο για εκτέλεση», είπε ο Έιβερι.
Ο κλάδος της πληροφορικής το αποκαλεί αποτυχία ενός σημείου — ένα σφάλμα σε ένα μέρος ενός συστήματος που δημιουργεί μια τεχνική καταστροφή σε κλάδους, λειτουργίες και διασυνδεδεμένα δίκτυα επικοινωνιών. ένα τεράστιο φαινόμενο ντόμινο.
Έκκληση για πλεονασμού σε IT συστήματα
Το συμβάν της Παρασκευής θα μπορούσε να προκαλέσει εταιρείες και ιδιώτες να αυξήσουν το επίπεδο ετοιμότητάς τους στον κυβερνοχώρο. «Η μεγαλύτερη εικόνα είναι πόσο εύθραυστος είναι ο κόσμος, δεν είναι απλώς ένα ζήτημα στον κυβερνοχώρο ή ένα τεχνικό ζήτημα. Υπάρχουν πολλά διαφορετικά φαινόμενα που μπορούν να προκαλέσουν διακοπές, όπως ηλιακές εκλάμψεις που μπορούν να βγάλουν εκτός λειτουργίας τις επικοινωνίες και τα ηλεκτρονικά μας», είπε ο Έιβερι.
Τελικά, η κατάρρευση της Παρασκευής δεν ήταν κατηγορητήριο κατά της Crowdstrike ή της Microsoft, αλλά για το πώς βλέπουν οι επιχειρήσεις την κυβερνοασφάλεια, είπε ο Τζαβάντ Άμπεντ είναι επίκουρος καθηγητής συστημάτων πληροφοριών στο Johns Hopkins Carey Business School. «Οι ιδιοκτήτες επιχειρήσεων πρέπει να σταματήσουν να βλέπουν τις υπηρεσίες κυβερνοασφάλειας απλώς ως κόστος και αντ′ αυτού ως ουσιαστική επένδυση στο μέλλον της εταιρείας τους», είπε ο Άμπεντ.
Οι επιχειρήσεις θα πρέπει να το κάνουν αυτό ενσωματώνοντας πλεονασμό στα συστήματά τους. «Ένα μόνο σημείο αποτυχίας δεν θα πρέπει να μπορεί να σταματήσει μια επιχείρηση, και αυτό συνέβη», είπε ο Άμπεντ. «Δεν μπορείτε να βασιστείτε μόνο σε ένα εργαλείο κυβερνοασφάλειας, το cybersecurity 101», είπε.
Ενώ η δημιουργία πλεονασμάτων σε εταιρικά συστήματα είναι δαπανηρή, αυτό που συνέβη την Παρασκευή είναι πιο ακριβό. «Ελπίζω ότι αυτό είναι ένα κάλεσμα αφύπνισης και ελπίζω να προκαλέσει κάποιες αλλαγές στη νοοτροπία των επιχειρήσεων και των οργανισμών για να αναθεωρήσουν τις στρατηγικές τους για την ασφάλεια στον κυβερνοχώρο», είπε ο Άμπεντ.