Ostatni piątek zapisze się jako dzień największej awarii komputerowej w historii. Microsoft szacuje, że dotknęła 8,5 mln systemów. Firma CrowdStrike nie wykryła błędu w oprogramowaniu Falcon.
Takie systemy jak Endpoint Detection and Response (EDR) są używane do monitorowania pracy komputera, ruchu sieciowego, dostępu do plików i działań użytkownika. Są regularnie aktualizowane, by móc neutralizować nowe zagrożenia jak ransomware i kradzieże danych. Jednak w piątek aktualizacja zawierała błędy. W następstwie działanie systemów Windows z tym oprogramowaniem zostało zakłócone, uniemożliwiając uruchomienie go na milionach komputerów. Nie był to cyberatak, ale niefortunna pomyłka i nieadekwatne procedury testów.
Incydent dotknął wiele instytucji i firm na całym świecie. Pełnego obrazu strat jeszcze nie znamy. Firma problem rozwiązała, ale do przywrócenia działania systemów była potrzebna interwencja ręczna. Praca człowieka wykonującego działania manualne. To czasochłonne. Może być problematyczne w firmach, w których zwalniano kadry IT.
Czy ta awaria to wynik jakiegoś nowego zagrożenia lub trendu? Wręcz przeciwnie. To przypomnienie o tym, jak działa nasz skomputeryzowany świat.
Lepiej nie wyciągać pochopnych wniosków. W Polsce szybko do komentowania przystąpili były minister cyfryzacji (Cieszyński) i obecny (Gawkowski), traktując to jako kolejny powód, że na cyberbezpieczeństwo trzeba łożyć więcej pieniędzy, co miałoby rozwiązać problem, który jednak Polski dotyczył w ograniczonym stopniu. To zrozumiałe, że wykorzystują aktualne wydarzenia, by szukać argumentów za wdrożeniem nowych praw i budżetów, nad czym od lat pracuje Ministerstwo Cyfryzacji. Tylko że aktualna sytuacja nie daje podstaw do takiego wnioskowania.
Posiadanie systemów EDR można uznać za najlepsze praktyki cyberbezpieczeństwa, wymagane prawem takim jak ustawa o krajowym systemie cyberbezpieczeństwa lub dyrektywa NIS2. Te wymagają podejścia opartego na ryzyku. W uproszczeniu chodzi o identyfikację potencjalnie możliwych negatywnych zdarzeń, szacowanego prawdopodobieństwa ich zajścia i wpływu, gdyby zaszły. W kontekście zarządzania ryzykiem, firmy – z uwagi na ograniczenia budżetowe – mogą akceptować i uznać za dopuszczalne pewne ryzyka, uznając, że ich ewentualny wpływ na działalność firmy będzie niewielki. Takie postępowanie jest zgodne z wymogami prawnymi, które pozwalają na elastyczność w ocenie ryzyka. Incydenty takie jak ten z ubiegłego tygodnia są ekstremalnie rzadkie. Ostatni miał miejsce 14 lat temu, w 2010 r., dotykał setek tysięcy systemów klientów antywirusa McAfee.
Istniejące prawo może nawet wymagać posiadania oprogramowania EDR jako metody zwiększania poziomu cyberbezpieczeństwa i minimalizacji ryzyka! Oczywiście można używać oprogramowania innych dostawców, ale kto mógł przed piątkiem przewidzieć, że taka niespodzianka spotka klientów CrowdStrike? Ryzyko można też było minimalizować, mając różne rodzaje systemów operacyjnych i innego oprogramowania. To zwiększałoby koszty, dziś firmy koszty wolą ciąć, a obecne prawa dotyczące cyberbezpieczeństwa przewidują stosowanie rozwiązań proporcjonalnych do kosztów. Dyrektywa NIS2 może wpłynąć na lepsze podejście do testów oprogramowania i aktualizacji.
Paradoksalnie, gdyby na cyberbezpieczeństwo fundusze rządowe przeznaczały większe środki, to rozmiar tej awarii mógłby być w Polsce większy. Wynika to z faktu, że więcej instytucji byłoby stać na tak drogi system EDR od CrowdStrike. Takie wnioski są prowokacyjne. Wysuwam je tu wyłącznie dlatego, że nie można uzasadniać potrzeby rozwoju praw i budżetów arbitralnymi wydarzeniami.
Globalna awaria IT pokazuje, jak krucha jest nasza cywilizacja. Ważne systemy i oprogramowanie są połączone i zależne od innych. Może wystarczyć zhakowanie mało znanego produktu, a konsekwencje są kaskadowe. W piątek widzieliśmy, jak błąd w oprogramowaniu paraliżujący pracę systemu operacyjnego Windows wpłynął na inne systemy: maszyny z biletami, lotniska, ośrodki opieki zdrowotnej, firmy. To zdarzenie przypomina o głęboko wbudowanych punktach ryzyka, których zwykle nie widać. Nie należy jednak na hura drastycznie przebudowywać istniejących praw w odpowiedzi na jeden odizolowany i rzadki incydent. ©℗
