«Віруси майбутнього будуть називати себе антивірусами (c)», – жартують кіберфахівці, аналізуючи нещодавній майже глобальний ІТ-збій. Нагадаємо: нокдаун спричинило оновлення операційної системи Microsoft Windows, яке зранку 19 липня випустила CrowdStrike. Ця американська компанія спеціалізується на технологіях із кібербезпеки та є «лідером індустрії» за кількома рейтингами. «29 000 клієнтів довіряють CrowdStrike захист найважливішого», – цей слоган компанії наразі має вигляд вдалого тролінгу. Як CrowdStrike виправляє репутацію? Чи є вірогідність кібератаки? На ці та інші запитання шукав відповіді Mind.
CrowdStrike та більшість кіберекспертів дружно заспокоюють: це не атака. «Дефект виявлений в одному з оновлень контенту для хостів Windows. Хости Mac і Linux не зачепило», – коротко рапортують у CrowdStrike.
«Збій спричинено дефектним channel file (291), який було відізвано о 08:00am CEST. Системи, які отримали цей файл і вимикались / перезавантажувались – переходитимуть у BSOD (їх треба відновлювати вручну). Системи, які були офлайн або вимкнуті – не пошкоджені. Системи, які не перезавантажувались і мали доступ до хмари Falcon, отримали коректне оновлення і не потребуватимуть відновлення», – докладно пояснюють у компанії OptiData.
Хоча деякі кіберексперти все ж таки припускають, що це могла бути замаскована кібератака. Але наразі немає жодних доказів. «Вони тестували можливість замаскувати атаку під криве оновлення. Це як би дикий селюк випадково з’їв кажана, а вся планета кашляла», – жартують спеціалісти.
«Проблема виявлена, ізольована, виправлення розгорнуто. Ми направляємо клієнтів на портал підтримки для одержання останніх оновлень і продовжимо надавати повні та безперервні оновлення на нашому вебсайті», – кажуть у CrowdStrike.
Тим хто досі бачить «синій екран смерті», кіберексперти радять зробити чотири прості кроки:
1. Скористатись Safe Mode або Windows RE.
2. Перейти до каталогу \Windows\System32\drivers\CrowdStrike.
3. Знайти файл C-00000291*.sys і видалити його.
4. Завантажити систему у звичайному режимі.
Постраждали тисячі компаній та їхні клієнти майже по всьому світу. Наразі відомо, що збій вразив понад 90% комп'ютерів, на яких встановлене програмне забезпечення Crowdstrike Falcon.
Нокдаун начебто тривав лише декілька годин. Але весь цей час клієнти банків, телеком-операторів, авіакомпаній, медклінік тощо залишалися без важливих для них послуг. Авіакомпанії American Airlines, United та Delta попросили Федеральну авіаційну адміністрацію про глобальне наземне зупинення на всіх рейсах через проблеми зі зв'язком. Тільки в США було затримано понад 1400 авіарейсів, а понад 350 скасовано.
У Німеччині порушилася робота аеропортів Гамбурга, Кельна та Берліна. Аеропорт Мельбурна в Австралії повідомляв про «глобальні технологічні проблеми». Лікарні одної з федеральних земель Німеччини скасували заплановані хірургічні операції. Були тимчасово зупинені послуги на Лондонській фондовій біржі. Також повідомлялося про збої у роботі страхового гіганта Allianz, банку Deutsche Kreditwirtschaft та інших компаній. Цей перелік можна продовжувати ще довго.
В Україні збої зафіксовані в кількох компаній. Sense Bank повідомив про тимчасові технічні труднощі, що вплинули на доступність деяких функцій у застосунку банку. Клієнти «Vodafone Україна» скаржилися на неможливість здійснення дзвінків. Про технічні збої у роботі повідомила й «Нова пошта».
Поки що єдина країна, що похизувалася відсутністю наслідків, – росія. «Та й не дивно, ми ж користуємося краденим, неліцензованим Windows», – пояснюють самі росіяни в коментарях до новин про «ефективність» імпортозаміщення.
Загальний обсяг завданої шкоди ще не підрахований. Втім, імовірно, може йтися про мільярди доларів. «Ця подія, судячи з усього, – навіть у липні – стане однією з найзначніших кіберпроблем 2024 року. Збитки, завдані бізнес-процесам на глобальному рівні, драматичні», – заявив CIO CyberArk Омер Гроссман.
А експерти попереджають: схожі збої відбуватимуться, кібератаки будуть.
Вагома фінансова відповідальність – один із дієвих запобіжників від багів в оновленнях як постачальника, так і вендора послуг. Але поки що ані Microsoft, ані CrowdStrike не заявляли про компенсацію збитків клієнтів.
На винуватця цієї історії – CrowdStrike – можуть чекати мільярдні позови, коли постраждалі бізнеси підрахують свої збитки. У цьому впевнений Олівер Рот, головний трейдер фінансової групи Oddo BHF Bank. І хоча CrowdStrike заявляє, що помилку в ПЗ вже виправлено і клієнтам необхідно лише встановити нове оновлення, багато хто з клієнтів тепер двічі подумає, ніж довіряти наосліп.
Наразі висновки та бекапи роблять самі клієнти.
«Наша мета – завжди забезпечувати стабільний сервіс у випадках відсутності звʼязку, інтернету, електрики. Але, на жаль, сьогодні через оновлення антивірусної системи від постачальника номер один у світі Crowdstrike, наша інформаційна система не працювала протягом двох годин. Резервна система не спрацювала так, як це передбачалося. Завдяки цьому випадку ми вирішили змінити протокол оновлення інформаційних систем і поліпшити резервну систему», – повідомив співвласник «Нової Пошти» Володимир Поперешнюк.