Jediná chyba v softwaru nečekaně nabourala svět. V pátek 19. července ráno našeho času byl zaznamenán globální výpadek IT služeb, který ovlivnil fungování bank, letišť a aerolinek, telekomunikací, nemocnic, obchodů či médií. Vše způsobila nepovedená aktualizace cloudové kyberbezpečnostní služby Falcon od společnosti CrowdStrike.
Výpadky se týkaly počítačů s Windows. Došlo k omezení Microsoft Azure a cloudového prostředí, což ovlivnilo všechny virtuální servery a stanice. Nedostupné nebo omezené tak byly služby a aplikace Power BI, Microsoft Fabric, Microsoft Teams, Microsoft 365 admin center, Microsoft Purview, Microsoft Defender, Microsoft Defender for Endpoint, Microsoft Defender Experts, Microsoft Intune, Microsoft OneNote, OneDrive for Business, SharePoint Online, Windows 365 či Viva Engage.
Co se stalo
Prvotní příčinou bylo vydání aktualizace služby Falcon společnosti CrowdStrike. Ta začala blokovat zařízení s Windows a způsobovat jejich kolaps. Uživatelé se tak setkali se starou známou modrou obrazovkou smrti nebo s tím, že počítače se po aktualizaci dostaly do nekonečné smyčky restartů.
CrowdStrike patří mezi přední kyberbezpečnostní firmy. Dodává pokročilý software na ochranu koncových bodů určený pro podnikové použití. A právě proto, že funguje na úrovni sítě, mohla jeho aktualizace ohrozit i stroje, na nichž není přímo nainstalovaný, jako jsou např. firemní notebooky.
Ve světovém měřítku docházelo ke kolapsům odbavovacích systémů na letištích a zpožděním letů, k problémům v železniční dopravě, k nemožnosti provádět finanční či burzovní operace, padaly rezervační systémy, vynechávaly telekomunikace, nemocnice musely rušit plánované zákroky, lidé nemohli zaplatit v obchodech. Náklady za výpadek se podle odhadů vyšplhaly na miliardu dolarů.
České prostředí bylo zasaženo v menším rozsahu. Potíže zaznamenaly například některé obchody, lékárny či pojišťovny. Nemocnice či úřady však až na drobné výjimky řádně fungovaly.
Řešení zabralo několik dní
Výpadek postihl několik milionů počítačů na celém světě. Kvůli nebývalém rozsahu zabrala plná náprava několik dní. Spoustu počítačů totiž bylo třeba opravit ručně a individuálně odstraněním problémového souboru v nouzovém režimu. CrowdStrike obratem vydal nový update svého softwaru, který by po zapnutí počítače již měl opět správně fungovat.
Příčiny a následky
Výpadek zapříčinila kombinace několika faktorů.
- Chybná aktualizace: Neodhalená chyba způsobila selhání v systémech Windows. A protože ty patří mezi nejrozšířenější napříč obory, jejich pád následně vedl k rozsáhlému narušení služeb.
- Špatné testování: Nedostatečné testování aktualizace před jejím nasazením přispělo k tomu, že chybu nikdo včas neodhalil. CrowdStrike už slíbil testovací metody vylepšit, aby k něčemu podobnému už nedošlo.
Je možné riziko zmírnit?
Firmy mohou snížit dopad podobných událostí pomocí různých opatření. Např. nasazení lepších testovacích nástrojů, zálohování dat, plánu pravidelné obnovy pro případ selhání nebo útoku, diverzifikace IT infrastruktury či kontinuálního monitoringu systémů pro možnost co nejrychlejšího zásahu.
1. Zlepšení testovacích postupů
Zvažte implementaci automatizovaných testovacích nástrojů, které zvládnou rychle identifikovat chyby v aktualizacích softwaru ještě před jejich nasazením.
2. Zálohování a obnova
Všechny důležité systémy a data pravidelně zálohujte. A vypracujte a pravidelně aktualizujte plány obnovy zahrnující detailní kroky pro rychlou obnovu systémů po výpadku.
Pomůže také monitoring systémů v režimu 24/7 pro rychlou detekci a reakci na podezřelou aktivitu a u větších firem i zřízení specializovaných týmů pro řešení incidentů. Tito experti budou připraveni okamžitě reagovat na jakékoli bezpečnostní události.
Tip: Pokud vám na bezpečnosti záleží, ale nemáte ve firmě dostatek odborníků, svěřte tuto službu do rukou externího odborného partnera.
Vhodné je podstupovat také pravidelné externí audity kybernetické bezpečnosti, abyste identifikovali a napravili slabiny.
3. Kybernetická odolnost
Pro případ selhání systému je dobrou prevencí nasazení redundantních systémů a diverzifikace IT infrastruktury, aby se snížila závislost na jednom konkrétním dodavateli nebo technologii.
Všeobecně pak odolnost zvyšuje naplnění průmyslových standardů, jako je například ISO 27001, a zavedení programů pro zajištění souladu s právními požadavky (compliance). O zákonné zakotvení minimální úrovně bezpečnosti usiluje evropské směrnice NIS2 a nový tuzemský zákon o kybernetické bezpečnosti, který nyní u nás podle ní vzniká.
Opatření ze strany Microsoftu
Redmondští po incidentu slíbili zapracovat na stabilitě Windows a navázání spolupráce s výrobci antivirů, aby pomohli zlepšit a modernizovat jejich fungování.
Cílem je zamezení nebo aspoň omezení pro antiviry v přístupu k jádru operačního systému. K výhodám tohoto nyní používaného řešení, kdy antiviry běží v režimu jádra, patří možnost rychle odhalit napadení a větší odolnost proti vypnutí malwarem. Nevýhodou však je nemožnost ovladač ukončit a znovu spustit. Což pak, jak jsme viděli, naruší chod celého systému a může v důsledku představovat bezpečnostní riziko.
Apple ve svých OS tuto metodu neumožňuje. Microsoft ale už dřív přistoupil na dohodu s EU, která mu takové omezení pro výrobce antivirů nedovoluje, má tedy mnohem užší pole působnosti. Může proto výrobcům antivirů jen nabízet dobrovolná řešení, například ve formě ochrany založené na odděleném virtualizovaném prostředí (VBS). Ta je už součástí Windows 11.
Máte potíže s kybernetickou bezpečností, nebo jste se jí zatím pořádně nevěnovali? Obraťte se na nás a získáte spolehlivého partnera, který vás úskalími této životně důležité oblasti provede.