Múlt hét csütörtök estétől pénteken át, majd még hétvégén is világszerte káoszt okozott egy informatikai rendszereket érintő hiba, amely a légiközlekedéstől kezdve a csomagküldési szolgáltatókon, bankokon keresztül egészen az egészségügyi rendszerekig komoly problémákat eredményezett. A leállás okozta anyagi károkról egyelőre csak becslések vannak, de a szakértők legalább egymilliárd dollárra becsülik ezeket. Ha azt nézzük, hogy csak utasszállító repülőgépekből több mint 5 ezer járatot kellett törölni (köztük lapunk főszerkesztőjéét, aki laptársunk, a szintén a Klasszis Médiához tartozó Privátbankár oldalán számolt be keserű személyes tapasztalatairól - a szerk.) a hiba hatására, ez az egymilliárd dolláros becslés igencsak optimistának tűnik.
Az viszont bizonyosnak látszik, hogy az érintett számítógépek számát tekintve jelenleg ez a leállás számít a legnagyobbnak eddig az informatika történetében: a Microsoft 8,5 millióra teszi az érintett gépek számát. Ez ugyan csak a világon a cég operációs rendszereit használó számítógépek nagyjából egy százaléka, azonban ezeket a gépeket jellemzően nem otthoni felhasználók, hanem sokak által használt szolgáltatásokat nyújtó cégek használták.
Az első hírek még arról szóltak, hogy a hiba a Microsoft felhőszolgáltatásában keresendő, azonban gyorsan kiderült, valójában a CrowdStrike kiberbiztonsági cég Falcon Platform nevű szoftvercsomagjának Sensor részének egy hibás frissítése okozta a galibát. A frissítés ugyanis a sok Windows-felhasználó számára sajnálatos módon ismerős „kékhalál” állapotába küldte az érintett gépeket – azaz azok lefagytak, és javítás nélkül újraindítani sem lehetett ezeket az eszközöket.
Kényes információ
Nem lehet biztosan tudni, hogy Magyarországon pontosan milyen cégeket és hogyan érintett a leállás. Ennek jó oka van Bor Olivér, a lapunk által az esetről megkérdezett kiberbiztonsági szakértő szerint.
„Itt tulajdonképpen egy fordított adatszivárgás történt, tehát nem a felhasználók adatai kerültek ki, hanem indirekt módon kiderült, mely cégek használják ezt a bizonyos kiberbiztonsági megoldást. Ezek olyan információk, amelyeket védeni szokás. Nem szokták a vállalatok közszemlére tenni és publikálni, ők melyik biztonsági megoldást használják, sőt nagyon-nagyon is titokban tartják, hiszen ez üzleti titok, mert sebezhetőbbé válnának, ha ez kitudódna.
A kiberbűnözők célzottan tudnak felkészülni XY védelmi szoftver ellen, és tudják, hogy ha az A céget akarom feltörni, akinek van egy C nevű védelmi rendszere, akkor arra kell készülnöm. Ezért innentől kezdve nagyon súlyos dolog, hogyha kitudódik az, hogy mely cégek használnak bizonyos megoldásokat. Nem beszélve arról, hogy olyan következtetéseket is le lehet vonni, hogy ki mennyit és milyen nagyságrendben költ védelmi megoldásokra. Magyarországon leginkább légitársaságoknál merült fel ez a probléma, és láthattuk is, hogy okozott némi fennforgást az eset, persze ez akár máshol jelentkező problémák ’begyűrűzése’ is lehetett” – magyarázza a szakértő.
Megromlott frissítés
A 2011-ben alapított CrowdStrike eddig a kiberbiztonsági iparág egyik üdvöskéjének számított, az elmúlt egy év során is több mint kétszeresére emelkedett a cég részvényeinek értéke – hogy aztán pénteken több mint 11 százalékot essen, ezzel a cég értéke nagyjából 16 milliárd dollárt csökkent szó szerint egyik napról másikra.
Fotó: MTI/Máthé Zoltán
De mekkorát is hibázott a CrowdStrike? Jókorát. Nagyon úgy tűnik, hogy egy nem, vagy nem megfelelően tesztelt frissítést küldtek ki a felhasználóknak. Ráadásul a frissítés automatikusan települt, tehát nem igényelt felhasználói beavatkozást, hanem a háttérben letöltődött, majd települt is – a felhasználók már csak azzal szembesültek, hogy az érintett gépek lefagytak, és sehogy sem tudják újraindítani ezeket.
A Falcon Platform egyébként a CrowdStrike egyik zászlóshajó megoldása, amely aktív védelmet ígér a felhasználóknak kibertámadások ellen. A mesterséges intelligenciát is használó szoftvercsomag valós időben képes azonosítani a fenyegetéseket és lépni ezek elhárítása érdekében, például megakadályozza, hogy egy rosszindulatú program egy figyelmetlen felhasználó miatt települni tudjon a számítógépre.
„Nem voltam annyira meglepve, hogy egy hiba súlyos globális digitális zavarokat okozott. Az viszont meglepett, hogy az ok egy nagyon elismert kiberbiztonsági cég szoftverfrissítése volt – nyilatkozta a Euronews-nak Ciaran Martin, az Egyesült Királyság Nemzeti Kiberbiztonsági Központjának korábbi vezetője. – Az iparágban már régóta beszélünk arról, hogy az internet alapvető részei, ezek az apró tevékenység- és infrastruktúra-elemek, amelyek az egészet megalapozzák, eleve törékenyek, és ha ezek elromlanak, annak nagyon komoly globális következményei lehetnek.”
Az ilyen szoftvereket természetesen pont a folyamatosan változó fenyegetések, a feltárt esetleges sérülékenységek miatt állandóan, akár naponta többször is frissítik, és ez Bor Olivér szerint így is van jól, ahogy az is bevett és jó gyakorlat, hogy e frissítések telepítése automatikusan megtörténik.
„Magánembereknek is ezt szoktuk javasolni, hogy ha bármelyik eszközünk, applikációnk feldob egy frissítést, akkor azt fogadjuk el, sőt lehetőleg állítsuk automatikusra ezek telepítését, mert valószínűleg valamilyen hibát, vagy akár sérülékenységet javítottak ki, és ha elodázzuk ennek telepítését, akkor tulajdonképpen nyitva hagyunk egy időablakot ennek kihasználására” – mondja el Bor Olivér.
„Valószínűleg itt is ez történt, valamit ki akartak javítani a CrowdStrike-nál. Benne van a pakliban hogy észleltek egy eddig nem észlelt hibát, vagy sebezhető pontot, amit gyorsan kijavítottak vagy befoltoztak, és kidobták az új verziót. Tehát ki tudja, hogy ha mondjuk ezt a frissítést nem hajtják végre, sokkal nagyobb lett volna a baj, vagy a kár, bár ezt most nehéz elképzelni az érintett gépek számát és az okozott károk nagyságrendjét látva.”
Kivédeni nem lehet, de készülni kellene rá
Alapvetően tehát a CrowdStrike-nál történt súlyos hiba, mégpedig nem is az első ilyen. Júniusban ugyanis Linux operációs rendszerekben is komoly problémákat okozott a CrowdStrike Falcon Sensor programja, de ez szerencsére nem érintett annyi számítógépet világszerte, mint a mostani hiba, ezért hatásai sem voltak ilyen kiterjedtek. Ez tehát azt mutatja, hogy a cégnél komoly hiányosságok lehetnek a frissítések kezelésével, a szakértők szerint a mostani leállást okozó frissítést nem, vagy nem megfelelően tesztelték le.
A felhasználók jelen esetben nem tudták kivédeni, hogy őket is érintse a probléma, azonban abból fontos tanulságokat lehet levonni, ami a hiba fellépése után történt. Már önmagában a javítás sem volt egyszerű (sőt, valójában még bőven e hétre is átnyúlhat a hibaelhárítás, számos gép még a hét első napjaiban is üzemképtelen lehet), hiszen ahhoz minden egyes érintett számítógéphez, szerverhez fizikailag oda kellett menni, és rádugni egy, a javítást tartalmazó pendrive-ot, hogy arról töltsön be a rendszer.
De a javításig is csak az tudott eljutni, aki tudta, egy ilyen helyzetben kinek mi a dolga, milyen lépéseket kell megtenni és milyen intézkedéseket kell végrehajtani.
„Jól megmutatkozik ebben a helyzetben, hogy a kiberbiztonsági szakértők, az IT-szakértők nem hiába rágják már évek óta a cégek és a cégvezetők fülét azért, hogy igenis áldozni kell az IT-biztonságra, az informatikára, humán erőforrást és pénzt. És mindenekelőtt jól kidolgozott, helyreállítási, vagy katasztrófatervvel kell rendelkeznie a cégnek, ami mellett ott kell lennie az előre megírt, és begyakorolt válságkommunikációs tervnek is, és ezeket be is kell gyakorolni”
- mutat rá Bor Olivér, aki szerint azoknál a cégeknél, amelyeknél ilyen tervek nem voltak, most élesben kellett kitalálni, kinek kell szólni, kit kell értesíteni, mit kell először helyreállítani, mi az első és mi a második lépés, márpedig így sokkal lassabban indulhatott meg a kármentés, a javítás. A kommunikációs tervet külön is ki kell emelni a szakértő szerint, ugyanis megfelelő kommunikációval máris csökkenthető volt a káosz, illetve a reputációban esett kár.
Felnyitja a szemeket?
Bizonyos szempontból tehát akár jól is jöhetett ez a hiba most a világnak kiberbiztonsági szempontból. Egyrészt remélhetőleg a CrowdStrike-nál és más hasonló cégeknél is kettőzött figyelem fog összpontosulni arra, hogy az ilyen malőröket elkerüljék. Másrészt az eset a cégeknek is felnyithatja a szemét, hogy készülni kell az ilyen helyzetekre.
Fotó: MTI/Máthé Zoltán
„Az üzletmenet-folytonosság és a válságkommunikáció fontosságára egyébként az Európai Unió is kiemelten felhívja a figyelmet a kiberbiztonság témakörében. A NIS2 irányelv is kiemelten foglalkozik az ellátási láncokkal, az üzletmenet-folytonossággal, illetve a válságkommunikációval, és ez a példa is jól megmutatta, hogy mennyire szükség van erre a NIS2-re, és benne az olyan jelentéktelennek tűnő dolgokra, mint egy válságkommunikációs terv, vagy egy üzletmenet-folytonossági terv” – fogalmaz Bor Olivér.
Lesz még ilyen
A protokollok tehát remélhetőleg minden oldalon javulni fognak, azonban összességében arra kell számítani, hogy hasonló problémák az egyre bonyolultabbá váló és egyre inkább egymásra épülő informatikai rendszerekben mindig elő fognak fordulni. „Ahogy egyre jobban függünk a technológiától, meg egyre jobban digitalizálódik minden, egyre több ilyen hiba várható sajnos – jósolja a szakértő. – A korábbi incidenseket nézve most az látszik, hogy talán három-négy évente ismétlődő ciklusokról lehet beszélni, de a hiba lehetősége mindig ott lesz a gépezetben, hiszen végső soron emberek dolgoznak mindenhol, akiknek lehet rossz napja, lehetnek figyelmetlenek.”
Sally Walker, a brit hírszerzési és biztonsági szervezet, a GCHQ korábbi kiberügyi vezetője is hasonló véleményen van:
„Ez is azt hangsúlyozza, hogy a függőség és a sebezhetőség világában élünk, és hogy fennakadások előfordulhatnak és meg is fognak történni, és az informatika a mindennapi működésünk, vállalkozásaink, gazdaságunk, életünk minden elemének középpontjában áll. Tehát ilyesmi továbbra is meg fog történni. A kockázati nyilvántartásaink, az arra vonatkozó elképzeléseink, hogy mi romolhat el, nem változnak egy ilyen incidens miatt. A valóság az, hogy a kockázat minden nap létezik.”
Tehát alapvetően rosszindulatra sincs ahhoz szükség, hogy hatalmas károk, emberek tízmillióinak életét megkeserítő problémák lépjenek fel az informatikai rendszerekben. Talán szerencsésnek is mondható, hogy a mostani leállás mögött nem célzott támadás állt, mert akkor biztos még nagyobb károk keletkeztek volna, ez azonban nem jelenti azt, hogy a kiberbűnözők ne próbálták volna meg kihasználni a helyzetet, mégpedig nagyon gyorsan.
„Őrületes, hogy milyen gyors a reakcióidejük a kiberbűnözőknek. Már szombat este lehetett olvasni a híreket, hogy kiberbűnözők a CrowdStrike nevében fellépve igyekeztek rávenni cégeket, hogy adják át nekik az irányítást – mindenféle helyreállítási és kármentési hivatkozással –, adathalász emaileket küldtek ki, átverős weboldalak jöttek létre, javítást, segítséget ígérve az érintetteknek” – mutat rá Bor Olivér, aki ennek kapcsán is felhívja a figyelmet, hogy az ilyen támadási kísérletek kivédésében is sokat segíthetett az, ha egy cégnél megvolt a megfelelő cselekvési terv, és nem a káoszban próbáltak rögtönözni az alkalmazottak.
Összességében tehát – bár ezt valószínűleg a repülőtereken rekedt vagy alapvető szolgáltatások nélkül maradt emberek nem így érzik – ennél még nagyobb baj is történhetett volna. Közben azonban érdemes szem előtt tartani, hogy világunk mára odáig jutott a digitalizációban, hogy egyetlen vagy egy-két fejlesztő figyelmetlensége, hibája akár globális méretű problémákat is okozhat, ha pedig az esetből nem tanulnak mind a fejlesztői, mind a szolgáltatásokat használó cégek oldalán, akkor csak idő kérdése lesz, hogy a CrowdStrike-leállás negatív rekordjait is megdöntse a következő incidens a közeljövőben.
