Компаниям и правительствам необходимо усилить меры по обеспечению кибербезопасности в связи с массовыми технологическими сбоями, связанными с обновлением CrowdStrike
Следующее эссе перепечатано с разрешения 
The Conversation, онлайн-издания, освещающего последние исследования.
Глобальный сбой в работе информационных технологий, произошедший 19 июля 2024 года и парализовавший работу различных организаций, от авиакомпаний до больниц, и даже поставки униформы для Олимпийских игр, вызывает растущую обеспокоенность у специалистов в области кибербезопасности, предприятий и правительств.
Сбой в работе свидетельствует о взаимозависимости сетей организаций, сервисов облачных вычислений и Интернета, а также об уязвимостях, которые это создает. В данном случае сбой в автоматическом обновлении широко используемого программного обеспечения для кибербезопасности Falcon от CrowdStrike привел к сбою на компьютерах, работающих под управлением операционной системы Microsoft Windows. К сожалению, многие серверы и КОМПЬЮТЕРЫ приходится ремонтировать вручную, и у многих пострадавших организаций их тысячи по всему миру.
О поддержке научной журналистики
Если вам понравилась эта статья, подумайте о том, чтобы поддержать нашу журналистскую деятельность, отмеченную наградами, подписавшись на нее. Приобретая подписку, вы помогаете обеспечить будущее впечатляющих историй об открытиях и идеях, формирующих наш мир сегодня.
Для Microsoft проблема усугубилась тем, что компания выпустила обновление для своей платформы облачных вычислений Azure примерно в то же время, что и обновление CrowdStrike. Microsoft, CrowdStrike и другие компании, такие как Amazon, выпустили технические решения для клиентов, желающих взять дело в свои руки. Но для подавляющего большинства пользователей по всему миру, особенно для компаний, это не будет быстрым решением.
Современные технологические инциденты, будь то кибератаки или технические неполадки, продолжают парализовывать мир новыми и интересными способами. Массовые инциденты, такие как сбой в обновлении CrowdStrike, не только создают хаос в деловом мире, но и разрушают само глобальное общество. Экономические потери, возникающие в результате таких инцидентов – снижение производительности, восстановление, сбои в работе бизнеса и отдельных лиц – скорее всего, будут чрезвычайно высокими.
Как бывший специалист по кибербезопасности, а ныне исследователь в области безопасности, я считаю, что мир, возможно, наконец-то осознает, что современное информационное общество зиждется на очень хрупком фундаменте.
Общая картина
Интересно, что 11 июня 2024 года сообщение в собственном блоге CrowdStrike, казалось, предсказывало именно эту ситуацию – глобальную компьютерную экосистему, скомпрометированную неисправной технологией одного поставщика, – хотя они, вероятно, не ожидали, что причиной станет их продукт.
Цепочки поставок программного обеспечения уже давно являются серьезной проблемой кибербезопасности и потенциальной «точкой отказа». Такие компании, как CrowdStrike, Microsoft, Apple и другие, имеют прямой и надежный доступ к компьютерам организаций и частных лиц. В результате люди должны быть уверены, что компании не только сами обеспечивают безопасность, но и что выпускаемые ими продукты и обновления хорошо протестированы и надежны, прежде чем они будут внедрены в системы клиентов. Инцидент с SolarWinds в 2019 году, связанный со взломом цепочки поставок программного обеспечения, вполне можно считать предварительным просмотром сегодняшнего инцидента с CrowdStrike.
Генеральный директор CrowdStrike Джордж Курц заявил, что “это не инцидент с безопасностью или кибератака” и что “проблема была выявлена, изолирована и решение было применено”. Хотя, возможно, с точки зрения CrowdStrike это и правда – они не были взломаны, – это не означает, что последствия этого инцидента не создадут проблем с безопасностью для клиентов. Вполне возможно, что в краткосрочной перспективе организации могут отключить некоторые из своих устройств интернет-безопасности, чтобы попытаться устранить проблему, но, поступая таким образом, они, возможно, открывают себя для проникновения в их сети преступников.
Также вероятно, что люди станут мишенью различных мошенников, наживающихся на панике пользователей или их невежестве в отношении проблемы. Перегруженные пользователи могут либо принять предложения о помощи, которые приведут к краже личных данных, либо потратить деньги на фиктивные решения этой проблемы.
Что делать
Организациям и пользователям придется подождать, пока не будет доступно исправление, или попытаться восстановиться самостоятельно, если у них есть техническая возможность. После этого, я полагаю, есть несколько вещей, которые необходимо сделать и рассмотреть, пока мир будет восстанавливаться после этого инцидента.
Компаниям необходимо будет убедиться в том, что используемые ими продукты и услуги заслуживают доверия. Это означает проведение комплексной проверки поставщиков таких продуктов на предмет безопасности и отказоустойчивости. Крупные организации обычно тестируют любые обновления продукта, прежде чем предоставлять их своим внутренним пользователям, но для некоторых обычных продуктов, таких как средства обеспечения безопасности, этого может не произойти.
Правительствам и компаниям необходимо уделять особое внимание устойчивости при проектировании сетей и систем. Это означает принятие мер, позволяющих избежать создания отдельных точек сбоя в инфраструктуре, программном обеспечении и рабочих процессах, которые могли бы стать мишенью злоумышленников или усугубить катастрофу. Это также означает знание того, зависит ли функционирование каких-либо продуктов, от которых зависят организации, от других продуктов или инфраструктур.
Организациям необходимо будет подтвердить свою приверженность передовому опыту в области кибербезопасности и общего управления ИТ. Например, наличие надежной системы резервного копирования может упростить восстановление после таких инцидентов и свести к минимуму потерю данных. Важно обеспечить надлежащие политики, процедуры, персонал и технические ресурсы.
Подобные проблемы в цепочке поставок программного обеспечения затрудняют выполнение стандартных ИТ-рекомендаций по постоянному обновлению систем. К сожалению, затраты на отсутствие регулярного обновления систем в настоящее время необходимо сопоставлять с рисками повторения подобной ситуации.
