Niefortunny update spowodował awarię 8,5 miliona urządzeń
19 lipca na długi czas zapadnie w pamięci wszystkich związanych ze światem IT, zwłaszcza administratorów, ale także ludzi niezwiązanych z branżą, których również dotknęły wydarzenia tego dnia. Media huczały o globalnej awarii, trudnej do wyjaśnienia sytuacji i chaosie, który zapanował. Błąd dotyczył oprogramowania firmy CrowdStrike, będącej producentem oprogramowania do zabezpieczania stacji końcowych przed cyberzagrożeniami.
Niefortunny update spowodował awarię 8,5 miliona urządzeń na całym świecie, w tym lotnisk, linii kolejowych, banków, szpitali i innych niezwykle krytycznych sektorów. Sam producent zadziałał niezwykle sprawnie, a błąd został naprawiony w nieco ponad 60 minut, ale to wystarczyło, aby zapanował chaos.
Złożoność technologii i zależność od niej
Ten incydent uświadomił wszystkim jedną bardzo ważną rzecz, mianowicie to, że nasze codzienne życie uzależnione jest w ogromnym stopniu od technologii (o której często nawet nie myślimy i jej nie zauważamy) i to, jak bardzo jest to skomplikowany system naczyń połączonych, gdzie awaria jednego komponentu przez godzinę może doprowadzić do tak wielkiego zamieszania.
Z tego incydentu można wyciągnąć jednak dużo ciekawych wniosków.
Wszyscy szanujący się producenci, z CrowdStrike na czele, przyjrzą się dokładnie procedurom i tym, w jaki sposób tworzone i dostarczane jest oprogramowanie. Wiele organizacji, zwłaszcza z krytycznych sektorów, zacznie szukać rozwiązań do zarządzania poprawkami, czy przyjrzy się procedurom ich testowania, ale to tylko w teorii. W dużej mierze presja czasu, budżety itp. spowodują, iż organizacje zwrócą się w stronę poszukiwania gotowych rozwiązań typu „one-size-fits-all”.
Niestety, jak to bywa w cyberbezpieczeństwie, to nie jest takie proste i nie ma jednego magicznego rozwiązania, a odpowiedź na większość zadawanych pytań będzie brzmiała: „to zależy”. Wiem, że większość może poczuć się rozczarowana tą odpowiedzią, ale według mnie tak właśnie jest.
Sprawę utrudnia fakt, iż ów wcześniej wspomniany update nie dotyczył błędu samego oprogramowania, a nowych definicji TTPs (taktyk, technik i procedur) wykorzystywanych przez atakujących, a więc tego, co na pierwszy rzut oka nie wydaje się aż takie ryzykowne do wdrożenia i coś, co chcemy, aby zawsze było jak najbardziej aktualne.
Bez przeprowadzania poprawnej analizy ryzyka, chociaż w podstawowym zakresie, nie będziemy w stanie odpowiedzieć sobie na pytanie, jaki mamy apetyt na ryzyko. Czy lepiej jest poczekać z poprawkami i wystawić się na nieznany dotąd atak, czy lepiej wdrożyć „autoupdate” i paść ofiarą błędu producenta? Czy wybrać producenta A, a może B? Czy przejmować się backupami, a może wdrożyć pełne HA?
W mojej ocenie ważne jest to, aby pamiętać, iż nigdy nie zabezpieczymy naszej organizacji w 100% przed atakami czy błędami ludzkimi. Zadaniem osób zajmujących się cyberbezpieczeństwem jest wspieranie biznesu i minimalizacja ryzyka poprzez wprowadzenie zabezpieczeń administracyjnych, technicznych czy fizycznych takich, które mają swoje uzasadnienie. A wszystko to powinno być poparte rzetelną analizą ryzyka.
Takie sytuacje zdarzały się i będą się zdarzać. My natomiast musimy umieć z tego wyciągnąć prawidłowe dla nas wnioski, ponieważ jestem przekonany, iż przestępcy na pewno już to robią.
Daniel Wysocki, kierownika działu Cyberbezpieczeństwa w Advatech
Informacje o autorze komentarza
Daniel Wysocki to absolwent wydziału Inżynierii Mechanicznej i Robotyki na Akademii Górniczo-Hutniczej w Krakowie. Jego kariera w branży IT trwa już dwie dekady, podczas których zdobył bogate doświadczenie i umiejętności. Obecnie pełni funkcję Kierownika Działu Cyberbezpieczeństwa w firmie Advatech, lidera w dostarczaniu nowoczesnych rozwiązań technologicznych. Jako ekspert od cyberbezpieczeństwa, nieustannie poszukuje i wprowadza w życie najnowocześniejsze i najskuteczniejsze rozwiązania do ochrony danych i infrastruktury IT. Korzysta z innowacyjnych osiągnięć branży cyberbezpieczeństwa, aby zapewnić najwyższy poziom zabezpieczeń i odporności na ataki.
