فشل CrowdStrike والانهيار العالمي التالي لتكنولوجيا المعلومات قيد الإعداد بالفعل

عندما تحولت شاشات الكمبيوتر إلى اللون الأزرق في جميع أنحاء العالم يوم الجمعة، توقفت الرحلات الجوية، وأصبح تسجيل الوصول إلى الفنادق مستحيلا، وتوقفت عمليات تسليم البضائع. ولجأت الشركات إلى الورق والقلم. وسقطت الشكوك الأولية حول نوع من الهجوم الإرهابي السيبراني. ومع ذلك، كان الواقع أكثر دنيوية بكثير: تحديث برنامج فاشل من شركة CrowdStrike للأمن السيبراني.

وقال نيك حياة، مدير استخبارات التهديدات في شركة بلاك بوينت سايبر الأمنية: “في هذه الحالة، كان ذلك بمثابة تحديث للمحتوى”.

ولأن CrowdStrike لديها قاعدة واسعة من العملاء، فقد كان تحديث المحتوى محسوسًا في جميع أنحاء العالم.

وقال هيات: “كان لخطأ واحد نتائج كارثية. وهذا مثال رائع على مدى الارتباط الوثيق بتكنولوجيا المعلومات في مجتمعنا الحديث – من المقاهي إلى المستشفيات إلى المطارات، وخطأ مثل هذا له تداعيات هائلة”.

في هذه الحالة، تم ربط تحديث المحتوى ببرنامج المراقبة CrowdStrike Falcon. يقول حياة إن شركة Falcon لديها اتصالات عميقة لمراقبة البرامج الضارة والسلوكيات الضارة الأخرى على نقاط النهاية، وفي هذه الحالة، أجهزة الكمبيوتر المحمولة وأجهزة الكمبيوتر المكتبية والخوادم. يقوم Falcon بتحديث نفسه تلقائيًا ليأخذ في الاعتبار التهديدات الجديدة.

وقال حياة: “لقد تم طرح رمز Buggy عبر ميزة التحديث التلقائي، وها نحن هنا”. تعد إمكانية التحديث التلقائي أمرًا قياسيًا في العديد من تطبيقات البرامج، وهي ليست فريدة من نوعها بالنسبة إلى CrowdStrike. وأضاف حياة: “الأمر فقط هو أنه بسبب ما تفعله CrowdStrike، فإن التداعيات هنا كارثية”.

على الرغم من أن CrowdStrike حددت المشكلة بسرعة، وتم إعادة تشغيل العديد من الأنظمة في غضون ساعات، إلا أنه لا يمكن عكس سلسلة الأضرار العالمية بسهولة بالنسبة للمؤسسات ذات الأنظمة المعقدة.

قال إريك أونيل، وهو عميل سابق في مكتب التحقيقات الفيدرالي في مجال مكافحة الإرهاب ومكافحة التجسس وخبير في الأمن السيبراني: “نفكر قبل ثلاثة إلى خمسة أيام من حل الأمور”. “هذه فترة توقف طويلة بالنسبة للمنظمات”.

وقال أونيل إنه لم يكن من المفيد أن يحدث انقطاع التيار الكهربائي في أحد أيام الجمعة الصيفية حيث كانت العديد من المكاتب فارغة، وكانت تكنولوجيا المعلومات للمساعدة في حل المشكلة في نقص المعروض.

ينبغي نشر تحديثات البرامج بشكل تدريجي

وقال أونيل إن أحد الدروس المستفادة من انقطاع تكنولوجيا المعلومات العالمي هو أنه كان ينبغي نشر تحديث CrowdStrike بشكل تدريجي.

وقال أونيل: “ما كان يفعله Crowdstrike هو نشر تحديثاته للجميع في وقت واحد. وهذه ليست الفكرة الأفضل. أرسله إلى مجموعة واحدة واختبره. هناك مستويات لمراقبة الجودة يجب أن يمر بها”.

قال بيتر أفيري، نائب رئيس الأمن والامتثال في Visual Edge IT: “كان ينبغي اختباره في بيئة معزولة، في العديد من البيئات قبل أن يتم طرحه”.

ويتوقع أن تكون هناك حاجة إلى مزيد من الضمانات لمنع وقوع حوادث مستقبلية تكرر هذا النوع من الفشل.

وقال أفيري: “أنت بحاجة إلى الضوابط والتوازنات الصحيحة في الشركات. ربما يكون هناك شخص واحد هو الذي قرر دفع هذا التحديث، أو شخص ما اختار الملف الخطأ للتنفيذ”.

وتصف صناعة تكنولوجيا المعلومات هذا بالفشل من نقطة واحدة ــ خطأ في جزء واحد من النظام الذي يخلق كارثة فنية عبر الصناعات، والوظائف، وشبكات الاتصالات المترابطة؛ تأثير الدومينو هائل

دعوة لبناء التكرار في أنظمة تكنولوجيا المعلومات

قد يؤدي حدث الجمعة إلى قيام الشركات والأفراد بزيادة مستوى استعدادهم السيبراني.

وقال أفيري: “الصورة الأكبر هي مدى هشاشة العالم؛ إنها ليست مجرد مشكلة إلكترونية أو تقنية. هناك الكثير من الظواهر المختلفة التي يمكن أن تسبب انقطاعًا، مثل التوهجات الشمسية التي يمكن أن تدمر اتصالاتنا وإلكترونياتنا”.

في نهاية المطاف، لم يكن الانهيار الذي حدث يوم الجمعة بمثابة لائحة اتهام لشركة Crowdstrike أو Microsoft، ولكن لكيفية رؤية الشركات للأمن السيبراني، كما قال جواد عابد، الأستاذ المساعد لنظم المعلومات في كلية جونز هوبكنز كاري للأعمال. “يحتاج أصحاب الأعمال إلى التوقف عن النظر إلى خدمات الأمن السيبراني على أنها مجرد وقال عابد “تكلفة وبدلاً من ذلك كاستثمار أساسي في مستقبل شركتهم”.

وينبغي للشركات أن تفعل ذلك عن طريق بناء التكرار في أنظمتها.

وقال عابد: “لا ينبغي لنقطة فشل واحدة أن تكون قادرة على إيقاف الأعمال التجارية، وهذا ما حدث”. وقال عابد: “لا يمكنك الاعتماد على أداة واحدة فقط للأمن السيبراني، وهي الأمن السيبراني 101”.

في حين أن بناء التكرار في أنظمة المؤسسة أمر مكلف، فإن ما حدث يوم الجمعة كان أكثر تكلفة.

وقال عابد: “آمل أن يكون هذا بمثابة دعوة للاستيقاظ، وآمل أن يتسبب في بعض التغييرات في عقليات أصحاب الأعمال والمنظمات لمراجعة استراتيجيات الأمن السيبراني الخاصة بهم”.

ما يجب فعله بشأن الكود “على مستوى النواة”.

على المستوى الكلي، من العدل إلقاء بعض اللوم المنهجي داخل عالم تكنولوجيا المعلومات المؤسسي الذي غالبًا ما ينظر إلى الأمن السيبراني وأمن البيانات وسلسلة التوريد التقنية على أنها “أشياء من الجيد الحصول عليها” بدلاً من الأساسيات، ونقص عام في وقال نيكولاس ريس، المسؤول السابق بوزارة الأمن الداخلي والمدرس في مركز SPS للشؤون العالمية بجامعة نيويورك، إن قيادة الأمن السيبراني داخل المنظمات.

على المستوى الجزئي، قال ريس إن الكود الذي تسبب في هذا التعطيل كان كودًا على مستوى النواة، مما أثر على كل جانب من جوانب اتصالات أجهزة الكمبيوتر والبرامج. قال ريس: “يجب أن يخضع الكود على مستوى النواة إلى أعلى مستوى من التدقيق”، حيث يجب أن تكون الموافقة والتنفيذ عمليتين منفصلتين تمامًا مع المساءلة.

ستستمر هذه المشكلة في النظام البيئي بأكمله، حيث تمتلئ بمنتجات البائعين الخارجيين، وكلها بها نقاط ضعف.

وقال ريس: “كيف ننظر عبر النظام البيئي لبائعي الطرف الثالث ونرى أين ستكون الثغرة الأمنية التالية؟ يكاد يكون ذلك مستحيلاً، ولكن علينا أن نحاول”. “الأمر ليس مجرد احتمال، ولكنه أمر مؤكد حتى نتعامل مع عدد نقاط الضعف المحتملة. نحن بحاجة إلى التركيز على النسخ الاحتياطي والتكرار والاستثمار فيه، لكن الشركات تقول إنها لا تستطيع تحمل تكاليف أشياء قد لا تحدث أبدًا. قال: “إنها قضية صعبة”.