Az eddigi talán legsúlyosabb IT katasztrófa volt a múlt pénteki leállás. Egy szoftverfrissítési hiba megmutatta, milyen függőségekre épül az informatika, mekkora kár keletkezik a közlekedéstől a bankszektoron, az egészségügyön át a médiaiparig. Minden szervezetnek akad belőle tanulság.
Feje tetejére állt a világ múlt pénteken. Több ezer törölt vagy késő repülőjárat, fennakadások a bankok működésében, elhalasztott kórházi műtétek. És ez csak a jéghegy csúcsa. A CrowdStrike hibás frissítése a legnagyobb 500 amerikai cégből 300-at érintett, világszerte legalább 8,5 millió windowsos számítógépet. Olyan nagy légitársaságokat is, mint az United Airlines, a KLM vagy a Ryanair, de még a Magyar Nagydíjra készülő Mercedes Formula 1-es csapatának a gépein is megjelent a rettegett “kék halál”.
Mi történt?
A cég vezetője közölte, hogy ez nem biztonsági incidens vagy kibertámadás történt, hanem egy hibás szoftverfrissítés. A cég széles körben használt Falcon Sensor szoftvere okozta a Microsoft Windows összeomlását és a számítástechnikai zsargonban “kék halálnak” nevezett meghibásodást, ami a Microsoft 365 alkalmazásokat és szolgáltatásokat érintette.
A tanulságok
Annyi biztos, hogy a frissítési hibának a belsős tesztkörök során napvilágra kellett volna kerülnie.
Eddig sem lehetett volna, a jövőben még inkább nem lehet, ráengedni egy frissítést világszerte a számítógépes hálózatokra úgy, hogy annak bombabiztosságát előzetesen nem tesztelték le százszázalékosan.
„A CrowdStrike-incidens kapcsán érdemes abba belegondolni, hogy egyetlen IT-szolgáltató és -termék problémája hogyan hat ki az egész világ technológiai infrastruktúrájára. Ez a globális ellátási lánc egyik techjellegű problémája: egyetlen termék, megoldás műszaki hibája érinti a majdnem teljes technológiai ökoszisztémát, beleértve az olyan óriásszolgáltatókat is, mint a Microsoft – mondta a Telexnek nyilatkozó kiberbiztonsági szakértő.
Tóth István IT biztonsági szakértő azt hangsúlyozta, hogy nagy veszélyt rejt az, hogy ennyi kiszolgáló és ilyen jogosultságokkal használja a védelmi programokat. Ugyanakkor szerinte nincs jobb megoldás, ugyanis ahhoz, hogy az ilyen rendszerek működni tudjanak.
Üzemeltetési kockázatcsökkentő megoldás lehetne az, ha az ilyen végpontvédelmi megoldások frissítéseit nem vennék át egyből a cégek, hanem vállalati szinten letöltik, tesztelik saját környezetben is, és csak utána küldik ki a szerverekre, munkaállomásokra. Ám a Crowdstrike és más gyártók végpontvédelmi szoftvereinél ez azért lenne problémás, mert lépéselőnybe kerülnének a rendszereket támadók azzal, hogy lassabban kerülnek éles környezetbe a frissítések.
Az incidens arra is jó lecke, hogy a cégek erőforrást és pénzt fektessenek az üzletmenet-folytonossági és katasztrófakezelési tervekbe és gyakorlatokba, az ilyen IT válsághelyzetekre való felkészülésbe.