Zatímco se společnosti a vládní agentury po celém světě snaží obnovit své počítačové systémy po celosvětovém výpadku, který minulý týden způsobila chybná aktualizace softwaru, objevují se otázky, zda byly dodrženy správné protokoly pro aktualizace.

Současně technologičtí analytici vyjadřují obavy ohledně rozsahu rostoucí závislosti Spojených států na oligopolu firem zabývajících se cloud computingem.

Aktualizace antivirového softwaru, kterou 19. července vydala společnost CrowdStrike, jedna z největších společností zabývajících se kybernetickou bezpečností, způsobila zhroucení více než miliardy počítačů se systémem Windows a vyřadila z provozu základní operace na letištích, v nemocnicích, centrech tísňového volání, policejních odděleních, vlacích, věznicích, městských službách a v podnicích.

Společnost se po této události několikrát omluvila a přislíbila vyřešit problémy, z nichž většinu nelze odstranit prostřednictvím aktualizací celého systému, ale je třeba je opravit na jednotlivých počítačích.

Shawn Henry, šéf bezpečnosti společnosti CrowdStrike, uvedl v příspěvku na síti LinkedIn: „V pátek jsme vás zklamali, za což se hluboce omlouvám.“

„Důvěra, kterou jsme v kapénkách budovali celé roky, se během několika hodin ztratila v kýblech a byla to rána do břicha. Bledne to však ve srovnání s bolestí, kterou jsme způsobili našim zákazníkům a partnerům.“

Odborníci na kybernetickou bezpečnost vznesli otázky, zda společnost CrowdStrike při šíření aktualizace z 19. července neobcházela osvědčené postupy.

„Podle mého názoru je to naprosto základní věc – když dojde na patche a aktualizace, obzvlášť u kritických podnikových systémů, věnujte 10 minut jejich testování,“ řekl listu Epoch Times Robert Thomas, majitel společnosti 180A Consulting, která se zabývá kybernetickou bezpečností, a bývalý pracovník ministerstva obrany.

„Za minutu stáhnete patch, za další minutu ho nainstalujete do testovacího systému, za další minutu restartujete systém a pak spustíte testy kritických softwarových aplikací.“

Centrum pro internetovou bezpečnost (CIS) a Národní institut pro standardy a technologie (NIST) vytvořily standardní protokoly týkající se způsobu provádění aktualizací softwaru. Kdyby se jimi řídily, měly by se podle Thomase chyby v aktualizaci projevit ještě před jejím rozesláním uživatelům.

„Aktualizace softwaru by podle osvědčených postupů/protokolů měly projít mnoha fázemi testování, než se dostanou k zákazníkovi,“ řekl listu Epoch Times Tom Marsland, manažer školení a projektů společnosti Cloud Range.

„To by zahrnovalo automatizované testování jednotek kódu, bezpečnostní revize a testování uvnitř týmu CrowdStrike [a] teprve po dokončení těchto činností by měla být aktualizace rozeslána zákazníkům,“ uvedl Marsland.

Kromě toho by aktualizace měly být zpočátku zaváděny pro menší skupinu zákazníků a poté rozšířeny, nikoliv rozesílány plošně najednou, dodal.

„V případě páteční aktualizace CrowdStrike se zdá, že tyto postupy nebyly dodrženy,“ řekl Marsland.Ve svém přezkumu po incidentu zveřejněném 24. července společnost CrowdStrike uvedla: „Kvůli chybě v nástroji Content Validator prošla jedna ze dvou [aktualizací] validací, přestože obsahovala problematická data obsahu.“

Kaskádové účinky chybné aktualizace

Podle hodnocení CIS se následky chybné aktualizace projevily 19. července krátce po šesté ranní hodině, kdy došlo k výpadku počítačů se softwarem Windows společnosti Microsoft, které implementovaly aktualizace z bezpečnostního softwaru Falcon společnosti CrowdStrike.

Aktualizace kolovala asi hodinu a půl, než byla chyba odhalena a aktualizace byla podle CIS „vrácena“.

„Společnost CrowdStrike od té doby vydala řešení, které vyžaduje ruční nápravu pro každé postižené zařízení,“ uvedla CIS.

Společnost CrowdStrike rychle ujistila zákazníky, že výpadek nebyl kybernetickým bezpečnostním útokem.

„Když se podíváte na kritickou infrastrukturu, která je zasažena, tak to skutečně způsobí škody.“

Rex Lee, bezpečnostní poradce

„Říkají, že to není kybernetický útok, ale výsledek byl stejný,“ řekl Rex Lee, bezpečnostní poradce firem a vlád, pro NTD News. „Mluvíme o vládních agenturách, mluvíme o firmách z žebříčku Fortune 500, o leteckých společnostech… kaskádovité dopady jsou neuvěřitelné.“

„Když se podíváte na kritickou infrastrukturu, která je zasažena, tak to skutečně způsobí škody a lidé v důsledku toho mohou umírat, protože jsou zasaženi pracovníci první pomoci, jsou zasaženy nemocnice. Celkové škody z toho všeho se nedozvíme, ale zapíše se to do historie jako největší chyba a výpadek v dějinách internetu.“

Přechod firem a vládních agentur na cloud computing byl rychlý a stále se zrychluje.

Podle prognózy technologické analytické společnosti Gartner, Inc., z listopadu 2023 se očekává, že celosvětové výdaje na cloudové služby vzrostou v roce 2024 o více než 20 % na celkovou částku 678,8 miliardy dolarů z 563,6 miliardy dolarů v roce 2023.

„Cloud se stal v podstatě nepostradatelným,“ uvedl ve zprávě Sid Nag, viceprezident analytik společnosti Gartner.

Výpadek z minulého týdne však upozornil na problém zranitelnosti společnosti kvůli tomu, do jaké míry jsou služby cloudu kontrolovány malým počtem poskytovatelů.

Lednová zpráva Stephana von Watzdorfa, odborníka na kybernetickou bezpečnost z globální pojišťovny Swiss Re, upozornila na zranitelnost cloudových služeb, která se soustřeďuje v podstatě do tří společností.

„Před deseti lety si podniky nebyly jisté, zda je expanze cloud computingu technologických gigantů, jako jsou Google, Microsoft a Amazon, jen přechodným trendem, nebo trvalou změnou,“ uvedl ve zprávě von Watzdorf. „Dnes firmy po celém světě houfně přijímají cloud a uznávají jej jako důležitou součást úspěšné digitální transformace.

„Koncentrace služeb u tří dominantních poskytovatelů však vytvořila nová rizika, která jsou relevantní pro odvětví zajištění/pojištění.

„Pokud dojde k výpadku cloudových služeb, riziko kumulace padá na zajistitele nabízející produkty komerčního kybernetického pojištění.“

Rizika pro společnost a národní bezpečnost

Rizika cloud computingu a konsolidace technologií posuzují také vládní agentury.

V den výpadku vysoký úředník Bílého domu uvedl, že „Bílý dům svolává agentury, aby posoudily dopady na činnost americké vlády a subjektů po celé zemi“.

Uprostřed spěchu s přesunem operací do cloudu výpadek CrowdStrike pravděpodobně podnítí uživatele, aby přehodnotili míru své závislosti na jednom nebo několika málo poskytovatelích služeb a svou schopnost přečkat chyby poskytovatelů.

„Dostáváme se do bodu, kdy nás přílišná centralizace činí méně odolnými,“ řekl Thomas. „Ztrácíme svou odolnost jako národ.“

„Výhody cloudu versus rizika si musí každá organizace zodpovědět sama.“

Tom Marsland, manažer školení a projektů společnosti Cloud Range

Po výpadku služby CrowdStrike nyní společnosti a vlády vidí rizika i výhody.

„Vložení všech vajec do košíku jediného dodavatele představuje naprosto zásadní společenská a národní bezpečnostní rizika a myslím, že se to jasně ukázalo v uplynulých 72 hodinách, kdy jsme uzemnili většinu letů po celé zemi,“ řekl Marsland.

„Výhody cloudu versus rizika si musí každá organizace zodpovědět sama,“ řekl Marsland. „Pro organizace usilující o širší zákaznickou základnu výhody rozhodně převažují nad riziky – ale tyto organizace si mohou dovolit najmout odborníky na zabezpečení cloudu.“

Na osobní úrovni čelí rizikům i jednotlivci, kteří ukládají svá data v cloudu.

Podle zprávy Úřadu pro informační bezpečnost Texaské univerzity z roku 2023 mezi tato rizika patří rizika v oblasti bezpečnosti, ochrany soukromí a spolehlivosti.

Zpráva uvádí, že k bezpečnostním rizikům patří odhalení osobních údajů „v důsledku narušení bezpečnosti nebo nekompetentnosti poskytovatele cloudových služeb“, dále sdílení osobních údajů s jinými podniky, vládními agenturami nebo zaměstnanci poskytovatele cloudových služeb a malware nebo phishing, který by mohl získat přístup k vašim údajům.

Ze zásad ochrany osobních údajů dodavatelů cloudových služeb „vyplývá, že dodavatel má bez ohledu na opačná tvrzení nebo použití šifrování možnost dešifrovat a získat přístup k jakýmkoli uloženým údajům, kdykoli to považuje za nutné,“ uvádí zpráva.

Pro společnosti, které se nyní snaží obnovit provoz svých počítačových systémů, se objevila nová rizika ze strany hackerů, kteří chtějí využít příležitosti, kterou jim výpadek otevřel.

„Při nápravě postižených systémů by si organizace měly být vědomy, že CIS zjistil četné phishingové kampaně a podvržené domény vytvořené aktéry hrozeb ve snaze sociálně ovlivnit a kompromitovat organizace postižené výpadkem,“ uvedl CIS.

Společnost CrowdStrike údajně představuje asi 15 % trhu kybernetické bezpečnosti, který je určen pro větší organizace, a je druhá za společností Microsoft, která má podle společnosti Gartner přibližně 40% podíl na trhu. Cena jejích akcií se od výpadku propadla o více než 25 %.

Spekuluje se především o tom, zda je firma schopna překonat současnou krizi, udržet si zákazníky a pokračovat v růstu svého podnikání. Kromě toho však CrowdStrike může čelit značným účtům od své klientely.

Právnické firmy po celé zemi již oznámily vyšetřování škod způsobených výpadkem, což je pravděpodobná předehra k hromadným žalobám.

Společnost CrowdStrike v důsledku katastrofy ztratila pětinu hodnoty svých akcií. Firma 24. července slíbila, že zreformuje způsob vydávání aktualizací kritického obsahu.

Konkrétně uvedla, že plánuje zavést „strategii postupného zavádění“ budoucích aktualizací, které budou nejprve rozeslány jen na několik málo strojů a teprve poté budou zavedeny globálně. 

CrowdStrike také „vylepší stávající zpracování chyb v Content Interpreteru“, který je součástí Falcon Sensoru.

CrowdStrike také přislíbil, že k testování svého obsahu pro rychlou reakci bude využívat lidi, přidá do validátoru obsahu další validační kontroly a dá zákazníkům možnost rozhodnout, kdy a kde budou tyto aktualizace nasazeny.

–ete–