Cyberbezpieczeństwo
Wnioski z awarii CrowdStrike. Komunikacja, procedury i wiarygodna informacja
Piątkowa globalna awaria komputerów spowodowana przez błąd firmy CrowdStrike przyniosła wiele informacji nie tylko w zakresie informatycznym. Wnioski z tej sprawy płyną praktycznie dla większości osób – nawet, jeżeli tylko przyglądały się problemom przed telewizorami i monitorami komputerów.
O błędnej aktualizacji oprogramowania CrowdStrike Falcon, która spowodowała gigantyczne zamieszanie w wielu branżach na całym świecie, informowaliśmy na naszych łamach od początku awarii. Według doniesień agencji Reuters z niedzieli, zdaniem CrowdStrike większość z 8,5 mln komputerów z systemem Windows dotkniętych awarią działa już normalnie.
Czytaj też
Komunikacja przede wszystkim
Lista wniosków płynących z awarii już teraz zawiera punkty istotne zarówno dla podmiotów dotkniętych skutkami błędnej aktualizacji, jak i dla widzów. Dla tej pierwszej grupy, jednym z najistotniejszych jest komunikacja z dostawcą oprogramowania, a zwłaszcza tak krytycznego, jak CrowdStrike.
Już około godziny 9:00, czyli 3 godziny po udostępnieniu aktualizacji przez firmę, dostawca opublikował na swojej stronie metodę naprawy problemu. Nieco wcześniej pojawiły się z kolei porady społeczności na eliminację błędu. Obie wykorzystywały tryb awaryjny Windowsa: metoda nieoficjalna wymagała zmiany nazwy folderu CrowdStrike, zaś sposób firmy – usunięcie jednego z plików .sys w folderach Falcona.
Kwestia komunikacji jest również istotna ze względu na chęć wykorzystania sytuacji przez cyberprzestępców. Już 24 godziny po incydencie zaczęły pojawiać się informacje, że część podmiotów finansowych stała się celem ataków phishingowych, które dystrybuowały malware bądź wipery pod pozorem „aktualizacji ratunkowej”.
Czytaj też
Uwaga na dezinformację. CrowdStrike, a nie Microsoft
Sytuacja z aktualizacją CrowdStrike Falcon ponownie przypomniała również o konieczności weryfikowania informacji przed podaniem ich dalej. Przez pierwsze kilka godzin, większość mediów informowała bowiem nie o błędzie w oprogramowaniu firmy trzeciej, a „globalnej awarii Microsoftu”.
Narrację o błędzie giganta z Redmond w godzinach porannych 19 lipca powielił również we wpisie na portalu X (dawniej Twitter) wicepremier i minister cyfryzacji Krzysztof Gawkowski.
Obecnie w Polsce systemy infrastruktury krytycznej działają płynnie. Globalna awaria systemów Microsoft jest monitorowana przez polskie służby odpowiedzialne za cyberbezpieczeństwo. Na bieżąco będziemy informować o sytuacji, a na tę chwilę nie ma powodów do niepokoju.
— Krzysztof Gawkowski (@KGawkowski) July 19, 2024
Konieczna dywersyfikacja
Skala problemu wywołanego przez CrowdStrike była taka głównie dlatego, że tak wiele podmiotów zdecydowało się na korzystanie z tego samego dostawcy oprogramowania. W przypadku Polski, problemy dotknęły pojedynczych podmiotów, m.in. Terminala Kontenerowego w Gdańsku – prawie wszystkie podmioty korzystają z usług innych organizacji.
Nie oznacza to od razu, że należy masowo porzucać CrowdStrike. Zależnie od sytuacji branży – nie tylko informatycznej – warto przeanalizować sytuację pod kątem dostępnych informacji o korzystaniu z danego dostawcy usług i dopiero wtedy podjąć decyzję. Zwracał na to wicepremier Gawkowski, mówiąc o „konieczności inwestycji w otwarte oprogramowanie”.
💬 Trzeba inwestować w otwarte oprogramowanie, walczyć o suwerenność cyfrową, nie podlegać presji tego, że jest jedna firma, która obsługuje całą administrację. Całe szczęście, w Polsce tak nie jest.
— Ministerstwo Cyfryzacji (@CYFRA_GOV_PL) July 20, 2024
- Wicepremier, Minister Cyfryzacji @KGawkowski w @faktypofaktach @tvn24 pic.twitter.com/V84ADkU2nw
Opracować „plan B”
Awaria pokazała również, że dość duża liczba podmiotów nie była do końca przygotowana na wystąpienie takich problemów z komputerami. Przykładowo, efektem błędnej aktualizacji było wstrzymanie startów samolotów amerykańskich linii lotniczych United, Delta oraz American na terenie całych Stanów Zjednoczonych.
Wszystkie organizacje – niezależnie, czy zostały dotknięte przez awarię czy nie – powinny mieć przygotowane procedury właśnie na takie sytuacje. Niezależnie, jak szeroko zakrojona będzie następna awaria, w przypadku problemów i braku „planu B”, cały podmiot może znowu stanąć „na amen”.
Czytaj też
To nie był pierwszy przypadek. Powtórki nie można wykluczyć
Nie można również stwierdzić w 100 proc., że taka sytuacja już nigdy się nie powtórzy. Błędy w oprogramowaniu są bowiem na porządku dziennym, a incydenty tego rodzaju już miały miejsce, jak chociażby w 2010 roku, gdy podobne problemy wywołała aktualizacja antywirusa McAfee.
Powodem problemów niekoniecznie musi być aktualizacja oprogramowania, które ma odpowiadać za bezpieczeństwo. Do dziś problemy z komputerami wywołuje program antypiracki (DRM) StarForce, o którym w społeczności graczy było głośno 15 lat temu. Jednym z nich, paradoksalnie powodowanym przez błąd związany ze sterownikiem, jest uniemożliwienie uruchomienia systemu Windows.
Kopie zapasowe mogą pomóc
Dla obserwatorów nieinteresujących się kompletnie kwestiami informatycznymi, sytuacja związana z awarią CrowdStrike jest również okazją do ponownego przypomnienia o wykonywaniu kopii zapasowych. Jeżeli nie ma pewności co do bezpiecznej metody naprawienia błędu, bądź dana osoba obawia się wejścia do trybu awaryjnego, zawsze można przywrócić starą wersję systemu z kopii. Jest ona również przydatna w momencie, gdy z komputerem stanie się coś innego niż awaria w rodzaju aktualizacji do Falcona, ale to już inna historia.
Czytaj też
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].