Компютърният срив преминава, появиха се фалшиви спасители
Услугите - от авиокомпаниите до здравеопазването, корабоплаването и финансите - се завръщат онлайн, след като грешка в актуализацията на софтуер за сигурност предизвика мащабно прекъсване на глобалните компютърни системи. Нормализацията ще отнеме дни, а в някои случаи - седмици.
Застрахователите могат да се сблъскат с множество искове за прекъсване на бизнеса. Инцидентът, за който е обвинявана голямата американска компания CrowdStrike, със сигурност ще предизвика преосмисляне на уязвимостта на взаимосвързаните технологии по света и разработването на резервни планове, за да не се повтаря.
Австралийската агенция за киберразузнаване (ASD) предупреди в събота, че "злонамерени уебсайтове и неофициален код" се пускат онлайн с твърдение, че помагат за възстановяване на засегнатите компютри. Препоръката е техническа информация и актуализации да се изтеглят само от официални източници на CrowdStrike. Министърът на киберсигурността Клеър О'Нийл написа в X в събота, че австралийците трябва "да бъдат нащрек за възможни измами и опити за фишинг".
Не е ясно как този дефектен код е попаднал в актуализацията и защо не е бил открит, преди да бъде пуснат на клиентите.
"В идеалния случай това първо щеше да бъде въведено в ограничен пул", обяснява Джон Хамънд, главен изследовател по сигурността в Huntress Labs. "Това е по-безопасен подход за избягване на голяма бъркотия като тази."
Главният изпълнителен директор на CrowdStrike Джордж Кърц съобщи, че е открит дефект "в единична актуализация на съдържанието за хостове на Windows", който е засегнал клиенти на Microsoft. "Дълбоко съжаляваме за това, което причинихме на клиентите, на пътниците, на всеки засегнат, включително нашата компания", заяви Курц пред NBC News. Но все още няма подробности от компанията как е било допуснато това да се случи.
Патрик Уордъл, изследовател по сигурността, който се специализира в изучаването на заплахи срещу операционни системи, каза, цитиран от "Ройтерс", че проблемът с актуализацията е "във файл, който съдържа или конфигурационна информация, или сигнатури".
| "Много често се случва продуктите за сигурност да актуализират сигнатурите си, например веднъж на ден... защото те непрекъснато следят за нов злонамерен софтуер и защото искат да са сигурни, че клиентите им са защитени от най-новите заплахи", каза той. Според него именна честотата на актуализациите "вероятно е причината (CrowdStrike) да не са го тествали толкова много". |
"В идеалния случай дефектен код първо е трябвало да премине през ограничен пул [преди да бъде пуснат на клиентите]. Това е по-безопасен подход за избягване на голяма бъркотия като тази", казва за "Ройтерс" и Джон Хамънд, главен изследовател по сигурността в Huntress Labs.
"Това събитие е напомняне за това колко сложни и преплетени са нашите глобални компютърни системи и колко уязвими са", каза Гил Лурия, старши софтуерен анализатор в D.A. Davidson."CrowdStrike и Microsoft ще трябва да свършат много работа, за да уверят, че няма да позволят на други системи и продукти да причинят такъв вид повреда в бъдеще", допълва той. "Повечето компании всъщност нямат алтернатива на Microsoft, но имат алтернативи за сигурността. Това може да накара мнозина да преразгледат кой продукт за сигурност използват и дали трябва да използват такива от различни производители."
Прекъсването също повдигна опасения, че много организации не са добре подготвени да прилагат планове за действие при извънредни ситуации, когато една част от дейността им - в случая, ИТ система или част от софтуера в нея - се повреди. Тези прекъсвания ще се случват отново, казват експерти, докато в мрежите не бъдат вградени повече защити от непредвидени ситуации и организациите не въведат по-добри резервни варианти и сценарии.
CrowdStrike има един от най-големите дялове на силно конкурентния пазар на киберсигурност, което кара някои анализатори в индустрията да се съмняват дали контролът върху такъв оперативно критичен софтуер трябва да остане само в шепа компании.
| Акциите на CrowdStrike затвориха в петък на борсата с 11% надолу, което отвори възможности за конкурентите SentinelOne (+8%) и Palo Alto Networks (+2%). От Microsoft се отърваха със само 0.7% спад. |
"Това очевидно е сериозен проблем за CrowdStrike и акциите ѝ ще бъдат под натиск", каза Дан Айвс, анализатор в Wedbush Securities, но отбеляза, че все пак инцидентът произтича от техническа актуализация, а не от хакване или заплаха за киберсигурността, което щеше да е "по-притеснително".
Анализатори от JPMorgan казаха, че клиентите първоначално ще бъдат разстроени от случилото се, но важно е, че компанията е овладяла проблема. "Прекъсвания се случват и мащабът тук е значим, но смятаме, че усърдният контрол и ефективната реакция от CrowdStrike ще помогнат", казаха анализаторите на банката.
Мащабът на прекъсването беше огромен, но все още не може да се определи количествено, тъй като включваше само системи, работещи със софтуер CrowdStrike, каза Ан Джонсън, която ръководи бизнеса за сигурност и съответствие на Microsoft. "В момента имаме стотици инженери, които работят директно с CrowdStrike, за да върнат системите на клиентите онлайн", каза тя.
Сега компаниите се занимават с разчистването на забавени и отменени самолетни полети, медицински прегледи, пропуснати поръчки и други проблеми, чието разрешаване можеше да отнеме дни. Службата за митническа и гранична защита на САЩ заяви, че изпитва забавяне на обработката на товари и документи за пътувания. Други държави, включително Нидерландия и Обединените арабски емирства, също съобщиха за проблеми.
От повече от 110 хил. планирани търговски полета в петък, 5 хил. са били отменени в световен мащаб и още повече са отложени, според компанията за авиационни анализи Cirium. От американската Delta Air Lines (20% от полетите ѝ бяха отменени, според услугата за проследяване FlightAware) заявиха, че очакват допълнителни закъснения и анулиране през уикенда.
Летища от Лос Анджелис до Сингапур, Амстердам и Берлин съобщиха, че авиокомпаниите са били принудени да чекират пътници с написани на ръка бордни карти, което причинява закъснения.
Банките и компаниите за финансови услуги предупредиха клиентите за смущения, а търговците на пазарите говореха за проблеми при извършването на транзакции. Съветите към всички, които в тези часове са правили преводи или са изпращали съобщения, да се уверят, че те наистина са минали.
Доставчици на здравни услуги съобщиха, че прекъсванията засягат кол центрове, портали за пациенти и други дейности. В САЩ имаше забавяне или пренасочване на пациенти. Във Великобритания системите за резервации, използвани от лекари, бяха недостъпни.