Nie cyberatak, ale błąd firmy dostarczającej oprogramowanie antywirusowe spowodował perturbacje w różnych gałęziach gospodarki i trudne do oszacowania straty
Niemal całkowity paraliż terminalu kontenerowego Baltic Hub w Gdańsku, utrudnienia przy odprawie na lotniskach i problemy w korzystaniu z usług banku Santander – to konsekwencje piątkowej awarii komputerów z systemem Windows 11. Podobne utrudnienia można było zaobserwować na całym świecie. Spowodował je błąd w narzędziu dostarczanym przez specjalizującą się w obszarze cyberbezpieczeństwa firmę Crowdstrike.
W piątek rano komputery z systemem Windows 11 zaczęły wyświetlać niebieski ekran. „Wygląda na to, że Windows nie załadował się poprawnie” – głosił komunikat. Awarię jako pierwsi raportowali przedsiębiorcy w Australii, wkrótce jednak objęła komputery na całym świecie. Niemieckie lotnisko Berlin-Brandenburg zawiesiło funkcjonowanie, w polskich portach lotniczych wydłużyła się natomiast odprawa do samolotów Wizz Air. W wyniku awarii zostały uziemione samoloty trzech amerykańskich linii lotniczych: Delta, United i American Airlines. Połączenia kolejowe zawieszono w Japonii i, częściowo, w Wielkiej Brytanii. W tym drugim kraju było nieczynnych wiele placówek służby zdrowia, odwoływano też operacje. Awaria dotknęła także amerykańską telewizję SkyNews. Skalę szkód wywołanych awarią trudno jest oszacować.
Jak jednak słyszymy w Ministerstwie Cyfryzacji, w Polsce awaria nie spowodowała znaczących problemów. Zgłoszenia związane z feralną aktualizacją przyjmował zespół CERT Polska, zgłaszały się do niego głównie prywatne firmy. Eksperci NASK obecnie analizują problem.
– Globalna awaria systemów Microsoft jest monitorowana przez polskie służby odpowiedzialne za cyberbezpieczeństwo. Na bieżąco będziemy informować o sytuacji, a na tę chwilę nie ma powodów do niepokoju – uspokajał wicepremier i pełnomocnik rządu ds. cyberbezpieczeństwa Krzysztof Gawkowski. W podobnym tonie o sprawie mówił też premier Donald Tusk.
Co się stało? Użytkownicy oprogramowania EDR Falconm Sensor dostarczanego przez CrowdStrike otrzymali jego aktualizację. W wyniku błędu programistów na komputerach z systemem Windows jej instalacja doprowadzała jednak do awarii, w wyniku której urządzenia nie były w stanie się uruchomić. Błąd można naprawić ręcznie, ale dla wielu firm oznacza to kolejki w działach wsparcia IT. Instrukcję dla tych, którzy mogą dokonać poprawki samodzielnie, opublikował w piątek zespół CERT Polska. W piątek po południu Microsoft wydał jednak zaskakujące oświadczenie – zasugerowano w nim, że aby pozbyć się problemu, wystarczy uruchomić ponownie komputer kilkanaście razy.
– Nie jest to incydent bezpieczeństwa ani cyber atak. Problem został zidentyfikowany, wyizolowany i wdrożono poprawkę. Odsyłamy klientów do portalu pomocy technicznej w celu uzyskania najnowszych aktualizacji i będziemy nadal dostarczać pełne i ciągłe aktualizacje na naszej stronie internetowej – oświadczył w serwisie X George Kurtz, CEO firmy. Przestrzegał też użytkowników oprogramowania, by kontaktowali się z przedstawicielami firmy jedynie za pośrednictwem oficjalnych kanałów. Napięta sytuacja to idealna okazja do wykorzystania przez cyberprzestępców. Użytkownicy mediów społecznościowych zwrócili uwagę, że Kurtz nawet nie przeprosił za spowodowane zamieszanie i wyrządzone przez oprogramowanie szkody.
CrowdStrike to jedna z największych globalnie firm dostarczających nowoczesne zabezpieczenia na urządzenia końcowe, czyli m.in. laptopy, bankomaty czy kasy samoobsługowe. Firma ma ponad 24 tys. klientów na całym świecie. Zadebiutowała na giełdzie w czerwcu 2019 r. W ciągu pięciu lat jej roczne przychody zwiększyły się z 300 mln do 3,3 mld dol. Wartość akcji zwiększyła się z 64 do 343 dol. (choć w wyniku wywołania globalnej awarii w piątek wartość spadła o 15 proc., co oznacza utratę ok. 12,5 mld dol.).
Ale awaria spowodowana przez aktualizację w oprogramowaniu antywirusowym nie była jedynym problemem. Równocześnie doszło bowiem do awarii na platformie chmurowej Microsoft Azure. Jak czytamy w komunikacie firmy, miało to spowodować „przerwę w komunikacji między zasobami pamięci masowej i obliczeniowymi, czego skutkiem były awarie łączności wpływające na podrzędne usługi Microsoft 365 zależne od tych połączeń”. Microsoft jest drugim, za Amazon Web Services, największym dostawcą usług chmurowych na świecie. Odpowiada za 25 proc. rynku. Nie jest jasne, czy nakładające się incydenty w Microsoft i CrowdStrike są ze sobą powiązane.
Awaria wywołana przez CrowdStrike to najpoważniejszy tego typu incydent od lat. W maju i czerwcu 2017 r. podobne problemy zostały wywołane przez dwie grupy cyberprzestępców. Jedna z nich, prawdopodobnie pochodząca z Korei Północnej, wypuściła oprogramowanie Wanna Cry. Zainfekowało ok. 300 tys. urządzeń na całym świecie, szyfrując znajdujące się na nich dane. Następnie miał miejsce tzw. atak NotPetya, czyli uderzenie w ukraińską infrastrukturę. Szkody mogły sięgnąć nawet 10 mld dol. Prawdopodobnie za akcję odpowiadała grupa powiązana z rosyjskim wywiadem. ©℗