Publiczne przyznanie się do porażki wymaga odwagi. Próbując ograniczyć szkody reputacyjne swojej firmy zajmującej się cyberbezpieczeństwem, prezes CrowdStrike Michał Sentonas z pewnością wykazał się tupetem, przyjmując nagrodę za Najbardziej epicka porażka podczas niedawnych nagród Pwnie Awards. Taktyka ta wydaje się działać: Sentonas został pochwalony przez uczestników wydarzenia DEF CON za publiczne przyznanie się do błędów swojej firmy.
„Zdecydowanie nie jest to nagroda, z której można być dumnym” – powiedział Sentonas delegatom w swoim przemówieniu odbierającym nagrodę. „Myślę, że zespół był zaskoczony, gdy od razu powiedziałem, że przyjdę i ją odbiorę, ponieważ zrobiliśmy to okropnie źle. Mówiliśmy to już wiele razy i jest super ważne, aby wziąć to na siebie, gdy robi się coś dobrze. Jest super ważne, aby wziąć to na siebie, gdy robi się coś okropnie źle, co zrobiliśmy w tym przypadku”.
Ale poza tym sprytnym ruchem PR-owym, spuścizna Incydent CrowdStrike jest śmiertelnie poważny. 19 lipca świat doświadczył jednej z największych awarii IT w historii, gdy wadliwa aktualizacja oprogramowania skanera podatności Crowdstrike, Falcon Sensor, doprowadziła 8,5 miliona systemów z systemem Microsoft Windows ulegnie awarii. Globalnie infrastruktura IT uległa awarii, powodując spustoszenie i straty finansowe dla osób fizycznych i organizacji.
Najpoważniejsze tego typu wydarzenie od czasu Cyberatak NotPetya w 2022 r.jego wpływ był ogromny: wadliwa aktualizacja spowodowała globalne przerwy w działaniu komputerów, które zakłóciły podróże lotnicze, bankowość, transmisje, hotele, szpitale i inne ważne usługi. Straty ubezpieczeniowe szacuje się na ponad 10 miliardów dolarów; rzeczywiste straty mogą być znacznie większe, ponieważ brak ochrony dotyczy tysięcy małych i średnich przedsiębiorstw.
Kluczowe dla ustalenia, gdzie spoczywa odpowiedzialność, będzie pytanie o przewidywalność. Liczne osoby wiedziałyby, że to oprogramowanie jest krytyczne dla powiązanych i zależnych organizacji na całym świecie i że poważnie ucierpiałyby z powodu wadliwej aktualizacji. Dlatego jest oczywiste, że dostawcy powinni mieć odpowiednie procedury aktualizacji oprogramowania, które obejmują sposób opracowywania i testowania każdej aktualizacji przed jej dystrybucją do użytkowników.
Czy CrowdStrike był wydarzeniem „Czarnego Łabędzia”?
Czy więc było to wydarzenie Czarnego Łabędzia – nieprzewidywalne poza tym, czego można by rozsądnie oczekiwać? Takie wydarzenia zazwyczaj charakteryzują się rzadkością, powagą wpływu i ogólnym postrzeganiem, że były oczywiste z perspektywy czasu.
Opinie są podzielone co do tego, czy wydarzenia takie jak CrowdStrike stają się faktycznie coraz powszechniejsze, a zatem bardziej przewidywalne. Z pewnością innowatorzy, którzy eksperymentują w sposób chaotyczny, częściej zwiększają częstotliwość takich wydarzeń, czyniąc je mniej nieprzewidywalnymi. Ograniczenia mogą tłumić kreatywność, ale innowatorzy, którzy nie podejmują odpowiednich środków ostrożności, aby zapobiec przewidywalnym wydarzeniom, mogą również ponieść poważne konsekwencje prawne.
Rozpocznie się debata na temat tego, jakie procesy testowania powinny być obowiązkowe dla tych, którzy uruchamiają aktualizacje cyberbezpieczeństwa, zwłaszcza gdy szybkie wydawanie tych aktualizacji jest konieczne, aby chronić się przed nowymi cyberzagrożeniami. Wyjaśniając potencjalną podatność różnych systemów, komentatorzy branży IT niezmiennie wskazują, że takie aktualizacje mogą wymagać uruchamiania kilka razy dziennie.
Podobnie inne współzależne systemy mogą być aktualizowane wiele razy dziennie, a urządzenia otrzymują aktualizacje w innej kolejności lub w innej skali czasowej. Komentatorzy twierdzą, że świat rzeczywisty nie może dostarczyć idealnego środowiska testowego, a jeśli aktualizacje nie powiodą się, można spodziewać się narażenia osób trzecich i czwartych stron, a także potencjalnych skutków ubocznych łańcucha dostaw. Z perspektywy prawnika takie podejście do technologii na zasadzie „świnki morskiej” tworzy koszmarny scenariusz potencjalnych pozwów zbiorowych.
Ryzyko pojedynczych punktów awarii
Ryzyko jest dodatkowo wzmacniane przez każdą technologię, która ma znaczący lub dominujący udział w rynku. Tutaj potencjalne pojedyncze punkty awarii może doprowadzić do zdarzeń systemowych, które ostatecznie doprowadzą do równoczesnego zgłoszenia roszczeń przez bardzo dużą liczbę podmiotów: jeden wadliwy mały element może sparaliżować globalną infrastrukturę informatyczną.
Taki pojedynczy punkt awarii może mieć niezwykle szeroki wpływ z potencjalnie katastrofalnymi skumulowanymi stratami. Z perspektywy prawnej pojawiają się pytania o łagodzenie ryzyka pojedynczego punktu awarii w złożonym, globalnym łańcuchu dostaw IT i czy te ryzyka są odpowiednio oceniane.
Pojawiają się również kwestie agencji i delegacji. Przedstawione bezpieczeństwo systemu podczas łączenia może nie tylko zablokować zamrozić system, ale także otworzyć go na atak. Pod względem zakresu i skali, efekt netto awarii CrowdStrike był równoważny atakowi na globalny łańcuch dostaw przez złośliwego aktora.
Być może problemy, z jakimi borykamy się w wyniku ataku NotPetya i innych złośliwych cyberataków, po prostu zapowiadają skutki, jakie mogą przynieść przyszłe cyberzagrożenia.
Czy Microsoft mógł odrzucić aktualizację?
Ważne jest również rozważenie powiązania między CrowdStrike i Microsoft. W szczególności pojawia się pytanie, czy system operacyjny Microsoftu był w stanie odrzucić aktualizację i powrócić do poprzedniej wersji. Jeśli mógł, dlaczego to się nie stało?
Chociaż nie jest jasne, w jaki sposób system MS mógłby powrócić do poprzedniej wersji, aby osiągnąć ten wynik, eksperci od AI stale przypominają nam, że system można porównać do supermózgu, który kalibruje się w celu rozwiązywania problemów. Jeśli to prawda, czy supermózg nadal jest zaangażowany, czy też słuchamy niewłaściwych ekspertów od AI?
W niedawnym blogkomentatorzy branżowi odnoszą się do Komentarze firmy Microsoft na temat wyzwań, jakie stanowią dostawcy zewnętrzni wypychanie aktualizacji, które działają w systemie operacyjnym niskiego poziomu. Sugerują, że można wprowadzić zmiany, aby aplikacje innych firm działały wyżej w systemie operacyjnym, co ułatwi zarządzanie takimi problemami: na przykład możliwość odrzucania aktualizacji, które powodują niebieskie ekrany i konieczność powrotu do poprzedniej wersji.
Przewidywalne awarie
W całym sektorze IT niektórzy twierdzą, że katastrofy można było uniknąć, przeprowadzając bardziej rygorystyczne testy aktualizacji zabezpieczeń i rozkładając wydania aktualizacji na mniejsze grupy lub „pierścienie” aktualizacji. Z prawnego punktu widzenia nie sposób zignorować faktu, że wszystko wydaje się zbyt przewidywalne, zwłaszcza biorąc pod uwagę niekończące się dyskusje na temat przerażających niebieskich ekranów trwające od wielu lat.
Biorąc pod uwagę złożoność, nowość (i przewidywalność) praktyk branżowych, a także skalę towarzyszących im ryzyk (w tym praw i obowiązków prawnych), Sektor IT musi w pełni wziąć pod uwagę swoje obowiązki w zapobieganiu dalszym katastrofalnym stratom wynikającym z awarii systemowych i zagrożeń cyberbezpieczeństwa.
Hermès Marangos jest partnerem w Spory dotyczące podpisów