W piątek 19 lipca doszło do poważnych zakłóceń w działaniu systemów informatycznych wielu firm na całym świecie. Choć początkowo mówiło się o ataku cybernetycznym, wygląda na to, że mieliśmy do czynienia globalną awarią, za którą stał błąd ludzki.
Jeśli o mnie chodzi, to w piątek o rano miałem zaplanowaną telekonferencję dotyczącą strategii nowego przedsięwzięcia edukacyjnego. Niebieski Ekran Śmierci (prawda, że to piękna, niebudząca żadnych wątpliwości nazwa) na początek tylko irytował. Skończyło się tym, że rozmowa została przeprowadzona przy użyciu telefonów. W mojej firmie służby informatyczne dość szybko poradziły sobie z problemem i nie było mowy o wielkich stratach w moim przypadku, ale świat stanął. Początkowo za awarię była obwiniana firma Microsoft. Jak się ostatecznie okazało, Bug crashujący Windowsa był w oprogramowaniu CrowdStrike, a nie w samym Windowsie. Wszystko wskazuje na to, że nie był to najprawdopodobniej atak hakerski, lecz błąd procesu developowania poprawki oraz brak procesu lub niewłaściwy proces testowania i kontrolowania poprawek.
Czy jesteśmy w stanie nauczyć się czegoś, analizując zdarzenie, które w ciągu kilku godzin sparaliżowało świat?
Przez lata awarie i zdarzenia powodujące niedostępność powszechnych usług, takich jak te związane z bankowością elektroniczną, komunikacją i podróżowaniem, były traktowane jak scenariusze science-fiction. Obecna sytuacja pokazuje, jak bardzo jesteśmy uzależnieni od usług ICT (teleinformatycznych) i jak bardzo wpływają ona na nasze życie. Podobne zdarzenia związane z błędną aktualizacją, która może uszkodzić zarówno tysiące zwykłych stacji roboczych, jak i krytycznych serwerów, będą miały miejsce w przyszłości zarówno w wyniku błędów ludzkich, jak i celowych działań hakerów. Wnioski powinniśmy wyciągnąć natychmiast. Awaria obserwowana jest bowiem nie tylko przez informatyków obsługujących firmy i nas jako obywateli korzystających z dobrodziejstw cywilizacyjnego rozwoju. Awaria obserwowana jest też przez przestępców, którzy mogli „za darmo” zweryfikować, jak zachowają się przedsiębiorstwa w przypadku problemów z niedziałającą infrastrukturą informatyczną. To dla niech okazja, by udoskonalić swoje scenariusze ataków, bo poznali słabości wielu firm.
Błędy zaniechania?
Ciekawe jest również obserwacja strategii działania największych na świecie producentów oprogramowania. Chodzi o konieczność stawiania przez producentów systemów operacyjnych odpowiednich wymogów bezpieczeństwa rozwiązaniom w rodzaju tych, jakie oferuje CrowdStrike. Takie restrykcyjne wymagania stawia od kilku lat dostawcom oprogramowania firma Apple. Microsoft próbował kilka razy stworzyć tego typu wymagania, ale ostatecznie nie zostały one wdrożone. Może tym razem, gdy awaria miała znaczący wpływ na wizerunek firmy Microsoft, sytuacja szybko ulegnie zmianie.
Roszczenia
Bezpośrednią awarią zostały dotknięte tylko firmy korzystające z usług CrowdStrike, świadczące usługi krytyczne, takie jak m.in. operatorzy lotnisk, linie lotnicze, kolejowe, ale też instytucje bankowe. Ale czy tylko one? Usługi tych organizacji w wielu przypadkach mogą znajdować się w ścieżce krytycznej łańcucha dostaw. Straty pojawiające się w tych firmach mogą być zgłaszane jako roszczenia, które będą musiały być analizowane. Mogą pojawić się też roszczenia wobec CrowdStrike jako bezpośredniego sprawcy zdarzenia. Toczące się analizy wskazują, że w umowach zakupu oprogramowania tego producenta znajdują się zapisy, że nie bierze on odpowiedzialności za straty spowodowane przez jego produkty.
Być bezpiecznym
Zdarzenie z 19 lipca będzie analizowane przez wiele lat i miejmy nadzieje, że zdobyte doświadczenie zaowocuje nowymi, bezpieczniejszymi procedurami, narzędziami, ale przede wszystkim zwiększeniem świadomości w zakresie cyberbezpieczeństwa. Aby dołożyć swoją cegiełkę, wspólnie z „Gazetą Ubezpieczeniową” poprosiliśmy Marcina Marczewskiego z firmy Resilia, eksperta zajmującego się cyberbezpieczeństwem, o rekomendacje dotyczące tego, jak zminimalizować naszą podatność na tego typu działania. Poniżej kilka z jego uwag:
- Wybieraj i instaluj wyłącznie to oprogramowanie, nad którym masz kontrolę.
- Zinwentaryzuj i przeprowadź klasyfikację wykorzystywanych systemów oraz wspierającej infrastruktury ICT, tak aby wiedzieć, które zasoby są krytyczne i które trzeba objąć szczególną ochroną.
- Uruchom skuteczny i kompletny proces zarządzania łańcuchem dostaw (wymagający przeprowadzania analizy bezpieczeństwa i oceny ryzyka dla nowych dostawców usług i produktów IT, umożliwiający kontrolowanie vendorów także w trakcie świadczenia usług).
- Przed zakupem przeglądaj wnikliwie umowy i zapisy licencyjne podobnych produktów.
- Upewnij się, że dostawcy krytycznych usług mają wdrożone i przetestowane procedury zarządzania incydentami, ciągłością działania i komunikacji w sytuacji awarii, potwierdzające zdolność odtworzeniową ich usług w gwarantowanym w SLA czasie.
- W przypadku krytycznych zasobów ICT, bezwzględnie wyłącz / wyklucz automatyczne pobieranie i wgrywanie poprawek.
- Uruchom proces testowania poprawek w kontrolowanym środowisku przed wdrożeniem na środowiska produkcyjne.
- Uruchom kompletny proces zarządzania i kontrolowania zmiany w środowisku ICT z planami wycofania zmiany dla wszystkich krytycznych systemów.
- Wykonuj kopie bezpieczeństwa i testuj procedury odtwarzania z backupu wszystkich krytycznych maszyn (serwerów i stacji roboczych).
- Opracuj nowe scenariusze zdarzeń awaryjnych oraz plany ciągłości działania ze strategią komunikacji z interesariuszami twojej firmy, czy przynajmniej playbooki reagowania na zdarzenia, jak w tym przypadku, gdy masz 3000 maszyn wirtualnych Windows wpędzonych w pętlę restartu.
- Regularnie przeglądaj i aktualizuj procedury zarządzania cyberbezpieczeństwem, bazując na doświadczeniach z podobnych incydentów.
- Jeśli jesteś klientem i korzystasz z produktów firmy CrowdStrike, zwróć w tej chwili szczególną uwagę na trwające kampanie phishingowe na klientów tej firmy. W piątek amerykańska agencja Cybersecurity and Infrastructure Security Agency (CISA) zauważyła dużą aktywność grup hakerskich chcących wykorzystać panujący chaos informacyjny. Agencja rekomendowała, aby nie klikać w podejrzane linki z maili wysyłanych z fałszywych domen kojarzących się z nazwą CrowdStrike, w których oferowana jest pomoc w automatycznym odtworzeniu zasobów, które uległy awarii po wgraniu poprawki.
Marcin Janicki
prezes zarządu
Crawford Polska
Zobacz też: