Надія Баловсяк Доцент кафедри медіакомунікацій УКУ

Як світ пережив ІТ-хаос і які уроки з нього виніс

Наука
22 Липня 2024, 16:08

Захист, що став вразливістю. Історія з глобальним ІТ-збоєм 19 липня показала залежність світу від технологій та неготовність до складних сценаріїв.


Система захисту дала збій та викликала ІТ-хаос — саме це світ спостерігав наприкінці минулого тижня. Ранок 19 липня в українському медіапросторі розпочався з повідомлень про проблеми з роботою «Нової пошти», Монобанку, недоступності зв’язку Vodafone та труднощами в роботі інших великих бізнесів. Добре пам’ятаючи атаку на «Київстар», багато хто (й авторка цієї статті теж) припустили, що Україну знову атакують — лише серйозніше й масштабніше. Проте ця гіпотеза, яка, очевидно, є результатом викривленого сприйняття світу, що нібито весь ополчився проти України, виявилася хибною, а проблема — набагато серйознішою. Повідомлення про масову появу «синього екрана смерті» на корпоративних комп’ютерах і труднощі в роботі аеропортів, телеканалів, лікарень, посольств та навіть мережі «Макдональдз» у деяких країнах остаточно знищили навіть натяки на теорію ІТ-змови проти Києва. Зупинка роботи комп’ютерів унеможливила банальні речі — від замовлень бургерів до реєстрації на авіарейси чи прийняття ургентних хворих.

Доволі швидко стало відомо, що проблема пов’язана з оновленням програмного забезпечення компанії CrowdStrike, яке й викликало збій. Постраждали Windows-комп’ютери, які використовували ПЗ CrowdStrike. Цей програмний продукт дуже спрощено можна порівняти з антивірусом для корпоративних ІТ-систем. CrowdStrike є одним з найбільших у світі постачальників кібербезпеки, який надає компаніям засоби захисту й запобігання кібератакам. Іронія в тому, що CrowdStrike Falcon — система, призначена для вибудовування потужної та надійної системи захисту — сама стала вразливістю й спричинила, за оцінками деяких експертів, найбільший технологічний хаос в ІТ-історії людства. А ще продемонструвала крихкість сучасного цифрового світу, залежного лише від кількох постачальників.

Хто постраждав від збою

Спочатку медіа намагалися вести прямі трансляції повідомлень про ІТ-збій та збирати новини про те, яка ще компанія постраждала від цієї проблеми. А також публікувати фотографії того, як комп’ютеризований світ повертається до «аналогових» маркерів, дошок і паперу, аби якось упорядкувати хаос.

Старбакс, лікарні, митниці й пункти перетину кордонів, аеропорти, суди, органи влади, навіть супермаркети — складно перерахувати всіх постраждалих від глобального ІТ-хаосу. Медіа публікували інструкції, що робити людям, які застрягли в аеропортах, і збирали інші докази CrowdStrike-зламу, наприклад відео білбордів у Нью-Йорку, які не працювали. Проте очевидно, що загальні результати ІТ-хаосу ще доведеться підрахувати. Та й про справжніх жертв залежності світу від технологій ми ще дізнаємося.

Цікавим у цій історії є той факт, що глобальний ІТ-хаос не зачепив російські компанії, про що писало багато російських профільних медіа. Це стало наслідком санкцій, через які в Росії майже не використовується програмне забезпечення CrowdStrike.

Які причини збою

Перше припущення, що світ зіткнувся з масованою кібератакою, оперативно спростував генеральний директор компанії CrowdStrike — Джордж Курц. Він відразу заявив, що це не кібератака, і додав, що проблему «розв’язали та ізолювали», а компанія починає працювати із постраждалими клієнтами: їх перенаправляють на портал, на якому вони можуть отримати оновлення, що нівелюють збій.

Проте в компанії не пояснили, що ж саме викликало цей технологічний хаос. Той факт, що в CrowdStrike відразу відкинули версію про кібератаку, наводить на таку думку: у компанії знайшли проблему, проте поки що не готові говорити про неї публічно. І ця проблема, найімовірніше, пов’язана з людським фактором або зі збоєм у процедурах тестування чи виправлення оновлень. Американські компанії мусять повідомляти публічно про кібератаки протягом чотирьох днів і розкривати їхні особливості, вплив та масштаби. Однак це розголошення може бути відкладено на 60 днів, якщо таке оприлюднення інформації «становитиме значний ризик для національної або громадської безпеки».

Навряд чи в CrowdStrike ризикнули б замовчати факт кібератаки, якби компанія зіткнулась саме із цією загрозою, то ж можна припустити, що мова йде саме про внутрішні операційні збої.

Найбільш вірогідною залишається банальна версія помилки у випуску оновлень: найімовірніше, середовище, у якому тестувалось оновлення CrowdStrike Falcon, відрізнялося від реальних систем клієнтів. Або перед релізом, тобто випуском версії, яка стала завантажуватися на системи клієнтів і викликала збій та «синій екран смерті», додали в останній момент якусь зміну й не перевірили її як треба. На підтримку цієї версії говорить і той факт, що для розв’язання проблеми треба завантажити комп’ютер у безпечному режимі та видалити лише один файл. Про це відразу повідомили в CrowdStrike. Аналогічні інструкції розіслав український Держспецзв’язку.

Про недоліки в оновленні програмного забезпечення, що передали клієнтам, які використовують ПК з Windows, говорив також очільник CrowdStrike — Джордж Курц.

Компанія порадила клієнтам відкатити оновлення, перезавантажитися в безпечному режимі й видалити певні файли. Складність — зокрема для компаній з тисячами машин, які зазнали ураження — полягає в тому, що це треба зробити вручну для кожного ПК.

Те, що збій не пов’язаний із кібератаками, підтверджують також експерти, наприклад Мікко Гіппонен — співробітник кібербезпекової компанії.

Які наслідки збою

Хоча загалом ситуація стабілізувалася, у Crowdstrike не приховують, що остаточне розв’язання проблеми може зайняти «деякий час». За іншими оцінками, багатьом компаніям знадобляться дні, а подекуди навіть тижні, щоб відновитися після цього збою.

Утім, гарною новиною є те, що проблема торкнулася лише власників Windows-комп’ютерів. Представники CrowdStrike підтвердили, що користувачі Apple Mac і Linux не постраждали. Оперативні інструкції, можливість відкату оновлень і виправлення, запропоновані CrowdStrike, дадуть змогу порівняно швидко розв’язати проблему. Принаймні компаніям не треба чекати, щоб програмісти CrowdStrike внесли виправлення в зламане рішення.

Капіталізація CrowdStrike після інциденту впала більш як на $17 млрд — її акція протягом 19 липня здешевшала з $343 до $294, а компанія потрапила в перелік лідерів по темпах здешевшання. Упала в ціні й акція Microsoft — правда, не так категорично, з $440 до $432.

Microsoft згодом оцінила, що кількість комп’ютерів, які постраждали від CrowdStrike, становить 8,5 млн, а це менше як 1 % всіх пристроїв, на яких установлена Windows.

Інші збої — минулі та майбутні

Збій у п’ятницю нагадав світові, наскільки базові послуги залежать від комп’ютерів та ІТ-продуктів. Хоча схожого технологічного «блекауту» давно не спостерігали, не можна стверджувати, що ми від нього застраховані. Наприклад, через 14 років світ зіткнеться з комп’ютерною проблемою під назвою «Проблема 2038 року». Вона пов’язана із представленням даних в операційних системах і тим фактом, що з 19 січня 2038 року такі дані неможливо буде зберігати в наявних форматах.

Схожою до цієї була інша проблема — помилка тисячоліття, або «Y2K-проблема», яку очікували через зберігання даних у форматі лише останніх цифр року, коли багато систем не могли розрізнити 1900 рік від 2000-го, що призводило до критичних помилок.

Окрім цих глобальних проблем, до ІТ-збоїв можна зарахувати періодичні проблеми в роботі сайтів, які час від часу трапляються майже з усіма сервісами. Та й загрози трансатлантичному чи іншим магістральним кабелям не варто відкидати, особливо в такому складному світі із великою кількістю локальних конфліктів. А ці збої можуть просто відключити від інтернету великі території.

CrowdStrike-уроки на майбутнє

Історію з CrowdStrike описують як найбільший технологічний збій за всю історію людства. І хоча ринок ще підраховуватиме наслідки цієї проблеми, зокрема й у грошовому еквіваленті, схоже, що заяви про рекорд історії CrowdStrike не є перебільшенням.

Проте сьогодні, коли перші реакції вляглися, саме час проаналізувати причини цього випадку й поговорити про те, як уникнути повторення ситуації.

Збій показав, що більшість організацій недостатньо підготовлені для реалізації планів на випадок непередбачених ситуацій, коли виходить з ладу одна точка збою, наприклад ІТ-система або частина програмного забезпечення в ній.

Найголовніший висновок — неготовність світу до нештатних ситуацій та наша залежність від технологій. Збій CrowdStrike показав, що світ звик до ідеальної роботи технологій і не вміє реагувати, коли щось іде не так.

Можливо, після вивчення історії з CrowdStrike безпекові відділи різних структур — від мереж фастфудів до аеропортів — змінять свої протоколи безпеки, додавши в них порядок роботи в складних умовах, схожих на історію з CrowdStrike. Організаціям треба переглянути свої ІТ-системи й переконатися, що в них є достатня кількість засобів захисту від збоїв і резервування, щоб підтримувати працездатність. У цих планах мають бути прописані системи резервного збереження даних, способи резервного розгортання ІТ-продуктів та інші методи запобігання ситуаціям, які добре знайомі українцям або гарно показані в постапокаліптичних фільмах.

Часто, говорячи про CrowdStrike-збій, експерти пов’язують його з Microsoft та операційною системою Windows, адже саме комп’ютери із цією платформою постраждали від CrowdStrike-проблеми. Також ця операційна система є безперечним лідером ринку — її частка для десктопних пристроїв перевищує 72 % (трохи більша як 65 % за іншими оцінками). Якщо пригадати, що комп’ютери на інших платформах (Linux, Mac OS) не постраждали, то стає очевидно: монополізм ринку операційних систем став тією гібридною вразливістю, яка проявилася в такий неочікуваний спосіб технологічного CrowdStrike-хаосу.

Не лише Microsoft, а й CrowdStrike є певним монополістом у своїй сфері, принаймні вона володіє значною часткою ринку систем корпоративного захисту. «Я впевнений, що регулятори в усьому світі спостерігають за ситуацією. У всьому світі існує обмежена конкуренція за, наприклад, операційні системи, а також за широкомасштабні продукти кібербезпеки, такі як ті, що надає CrowdStrike», — коментує Найджел Фейр, професор кібербезпеки в австралійському університеті Монаш, і додає, що нині саме час «для організацій будь-якої форми та розміру по-справжньому розглянути своє управління ризиками й розглянути підхід, що враховує всі небезпеки».