To był prawdziwy technologiczny armageddon. Globalny blackout, który miał miejsce pod koniec ubiegłego tygodnia, już dziś określany jest przez wielu ekspertów jako największy tego rodzaju incydent w historii.
"To jest dokładnie to, czego lata temu obawialiśmy się w związku z tzw. pluskwą milenijną. Różnica polega jednak na tym, że tym razem czarny scenariusz się ziścił" - zauważył na portalu X Troy Hunt, ekspert ds. cyberbezpieczeństwa oraz były pracownik Microsoftu.
Przypomnijmy: W ubiegły piątek doszło do globalnej awarii milionów komputerów z systemem Windows. Urządzenia wyświetlały tzw. niebieski ekran śmierci (ang. blue screen of death), co sparaliżowało działanie tysięcy firm oraz instytucji.
Blackout nie oszczędził żadnej branży. Lotniska musiały odwoływać loty, w wielu fabrykach wstrzymano produkcję, banki nie mogły realizować przelewów, szpitale przekładały zaplanowane zabiegi i operacje (poza tymi ratującymi życie), a niektóre stacje telewizyjne musiały wstrzymać nadawanie.
Początkowo wydawało się, że winnym globalnego blackoutu jest Microsoft, twórca systemu operacyjnego Windows. Szybko okazało się jednak, że odpowiedzialność za incydent ponosi CrowdStrike, dostawca oprogramowania antywirusowego. W piątek o godzinie 8:56 rano czasu polskiego firma ta wypuściła aktualizację oprogramowania sterownika Falcon dla komputerów i serwerów z Windowsem.
Aktualizacja wprowadziła miliony komputerów w pętlę rozruchową. Urządzenia cały czas uruchamiały się ponownie, racząc użytkowników niebieskim ekranem śmierci. Choć jeszcze tego samego dnia błąd został naprawiony, to jednak kilka godzin wystarczyło, aby niemal cały świat - na szczęście tylko symbolicznie - stanął w płomieniach.
Chcę przeprosić za tę awarię. Wszyscy pracownicy CrowdStrike rozumieją powagę tej sytuacji. Szybko zidentyfikowaliśmy problem i wdrożyliśmy poprawki, co pozwoliło nam skupić się na przywracaniu systemów naszych klientów, co było dla nas najwyższym priorytetem.
- wyjaśnił jeszcze w piątek założyciel i prezes CrowdStrike, George Kurtz.
Jak to możliwe, że błąd tylko jednej firmy, a prawdopodobnie jednego człowieka doprowadził do globalnej awarii? Czy podobny incydent, ale na jeszcze większą skalę może wydarzyć się w przyszłości? Czego nas nauczył piątkowy blackout?
Technologiczna globalizacja ma swoje ciemne strony
Żyjemy dziś w erze fuzji i przejęć i rosnącej potęgi korporacji, co bodaj najbardziej widoczne jest właśnie w branży technologicznej. W pierwszej dziesiątce największych firm pod względem kapitalizacji rynkowej znajduje się dziś aż sześć big-techów, a takie firmy jak Microsoft, Meta, Amazon czy Google od lat "pożerają" mniejszych konkurentów i jedynie pogłębiają swoją rynkową dominację.
Oczywiście, gdyby zapytać prezesów tych firm, to powiedzieliby nam, że wszystko to przynosi ich klientom same korzyści. W końcu mogą oni korzystać z szeregu przeróżnych usług, które są teraz zgromadzone pod parasolem jednej firmy. Wystarczy popatrzeć na Amazona, który zaczynał jako księgarnia, a dziś dysponuje największą platformą e-commerce na świecie, dostarcza usługi serwerowe (AWS), serwis streamingowy (Prime Video), platformę gier (Prime Gaming) etc.
Ta technologiczna globalizacja i oparcie całej infrastruktury IT na usługach kilku wybranych firm ma jednak swoje ciemne strony, o czym przekonaliśmy się właśnie podczas piątkowego blackoutu. Jak się okazało, z oprogramowania dostarczanego przez CrowdStrike korzystało aż 60 procent firm z listy Fortune 500 oraz ponad połowa korporacji z listy Fortune 1000.
Na ten problem zwrócił uwagę m.in. Marbue Brown, ekspert branży IT i były manager w Microsofcie. "Skala tej awarii była tak poważna, bo wiele firm korzysta z usług tego samego dostawcy. I nie chodzi tu jedynie o liczbę firm, ale profil ich działalności. Mówimy tu o wielkich korporacjach, które dotykają niemal każdego aspektu naszego życia" - stwierdził Brown w rozmowie ze stacją KTLA.
Jeszcze większe, bo sięgające ponad 70 procent, są udziały Windowsa w globalnym rynku desktopowych systemów operacyjnych. Gdyby Microsoft miał dziś więcej konkurentów, gdyby więcej firm korzystało z oprogramowania innych producentów, to skala piątkowego blackoutu byłaby niewspółmiernie mniejsza. Faktem jest bowiem, że awaria ta nie dotknęła np. komputerów z systemami MacOS oraz Linux, co potwierdziła firma CrowdStrike.
Żaden system nie jest w pełni bezpieczny
Słyszeliście kiedyś o tym, że komputerów z systemem MacOS nie da się zawirusować? Ja z tego rodzaju deklaracjami spotkałem się wielokrotnie. Sęk w tym, że w opowieściach o w pełni bezpiecznym oraz bezawaryjnym oprogramowaniu nie ma ani krzty prawdy.
Rzeczywiście w przeszłości komputery Apple rzadziej padały ofiarą ataków. Istniało również mniej złośliwego oprogramowania stworzonego z myślą o tym systemie. Wynikało to jednak wyłącznie z faktu, że urządzenia te były znacznie mniej popularne od sprzętu z Windowsem. Przestępcom zwyczajnie nie opłacało się ich atakować. Gdy udziały Apple w rynku wzrosły, pojawiło się też znacznie więcej exploitów wykorzystujących podatności systemu MacOS
- wyjaśnia w rozmowie z Next.Gazeta.pl Adam Behan, który specjalizuje się m.in. w prawie nowych technologii i cyberprzestępczości.
Musimy pogodzić się z tym, że awarie oprogramowania wciąż będą się zdarzać i nie uchronią nas przed nimi nawet najlepsze zabezpieczenia. Wynika to z faktu, że systemy te tworzą ludzie, a ludzie z natury popełniają błędy, choć nie zawsze mają one tak poważne konsekwencje, jak w przypadku blackoutu wywołanego błędną aktualizacją firmy CrowdStrike.
Producenci oprogramowania muszą skończyć z filozofią YOLO
Tym bardziej istotne jest, aby wszelkie wdrożenia - nawet te kosmetyczne - były poprzedzone gruntownymi testami. Niestety, w ostatnim czasie wiele firm z sektora IT zachłysnęło się filozofią YOLO (ang. You Only Live Once - żyje się tylko raz). W wielkim uproszczeniu polega ona na szybkim wdrażaniu aktualizacji na wszystkich urządzeniach jednocześnie, z czym mieliśmy do czynienia choćby w przypadku CrowdStrike.
Eksperci zwracają uwagę, że zdecydowanie bezpieczniejszą strategią wdrożeniową jest np. Canary. W tym wypadku aktualizacje trafiają najpierw na ograniczoną liczbę urządzeń, a dopiero później - jeśli nie pojawią się żadne błędy - są wdrażane globalnie.
Inna strategia, która mogłaby nas uchronić przed globalnym blackoutem, to rezygnacja z automatycznego wdrożenia. Wówczas producent oprogramowania informuje klientów o tym, że mogą oni samodzielnie zainstalować daną aktualizację. Oczywiście ma to również swoje ciemne strony. Można sobie bowiem wyobrazić scenariusz, w którym dana firma "zapomina" o instalacji krytycznej łatki bezpieczeństwa, a następnie pada ofiarą ataku hakerskiego.
5) Świat musi przygotować się na globalne ataki hakerskie
Choć piątkowy incydent nie był efektem działań cyberprzestępców, co jeszcze w piątek potwierdziła firma CrowdStrike, to jednak możemy być pewni, że hakerzy bacznie przyglądali się tym wydarzeniom i robili notatki. Dowiedzieli się np., że jeden z pozoru drobny błąd w oprogramowaniu może wywołać globalny chaos. Dość powiedzieć, że w piątek linie lotnicze musiały odwołać aż 5078 lotów, co stanowiło 5 proc. wszystkich lotów zaplanowanych na ten dzień. A to tylko jedna z branż, którą dotknął ten incydent.
Możemy być pewni, że w najbliższym czasie cyberprzestępcy podejmą próby wywołania blackoutu. Wielu ekspertów zwraca uwagę, że tym razem może on zostać wymierzony w infrastrukturę krytyczną. Tu na pierwszy plan wysuwa się oczywiście energetyka oraz telekomunikacja.
Żaden kraj i żadne rozwinięte społeczeństwo nie są dziś w stanie funkcjonować bez energii elektrycznej. Nawet krótki blackout mógłby okazać się katastrofalny w skutkach
- zwraca uwagę Mikko Hypponen w rozmowie z Next.gazeta.pl. - W ostatnich latach dochodziło do szeregu fuzji firm z branży energetycznej. Tego rodzaju fuzje wiązały się z łączeniem kilku systemów informatycznych. Każdy specjalista z branży cyberbezpieczeństwa doskonale wie, że przy takich synergiach łatwo o błędy i luki, które mogą zostać później wykorzystane przez cyberprzestępców" ostrzega ekspert.
