По всьому світу 19 липня транспортні компанії, поштові сервіси та банки зіштовхнулися із глобальним збоєм Windows. Комп'ютери з цією операційною системою зазнали невдалого оновлення та отримали критичну проблему з програмним забезпеченням Falcon Sensor від CrowdStrike. Їхні екрани показували "синій екран смерті".
Серед жертв CrowdStrike – американські компанії та сервіси Amazon Web Services, Microsoft 365, Azure, Instagram, eBay, Visa, AT&T, низка авіакомпаній. В Україні збій відчули Нова Пошта, Monobank, Vodafone, Sens Bank.
Компанія CrowdStrike оперативно визнала наявність проблеми і зайнялася з'ясуванням причини. До роботи підключилися й у Microsoft. Але наслідки збою досі відчувають на собі у світі.
24 Канал розібрався у ситуації та пояснює, чому наслідки цього збою відчуватимуться ще довго.
До теми Збій в роботі Windows: що таке CrowdStrike і чому користувачі стикаються з синім екраном смерті
Що таке "синій екран смерті"
"Синій екран смерті" (BSoD, blue screen of death) – критична помилка на комп'ютерах з Windows, яка зупиняє всі операції та відображає повідомлення про помилку на синьому екрані (або чорному).Ця проблема зазвичай є серйозною і вказує на значні системні збої, які потребують негайної уваги.
Скільки комп'ютерів постраждало
За даними Microsoft, від глобального збою через оновлення Falcon Sensor постраждали 8,5 мільйона пристроїв з Windows – це менше одного відсотка усіх пристроїв з встановленою операційною системою від Microsoft.
Хоча оновлення програмного забезпечення можуть іноді викликати збої, настільки масштабні випадки, як з CrowdStrike, відбуваються нечасто. За нашими оцінками, оновлення CrowdStrike зачепило 8,5 мільйона пристроїв з Windows, чи менше одного відсотка всіх комп'ютерів з Windows,
– мовиться у блозі Microsoft від 20 липня.
У корпорації стверджують, що попри малу частку пристроїв, що постраждали, серйозні економічні та соціальні наслідки демонструють, що CrowdStrike використовують організації, що надають вкрай важливі послуги. Після збою у CrowdStrike допомогли Microsoft створити рішення, яке дозволить швидше подолати наслідки.
Читайте також Масштабний збій у роботі Windows порушив роботу банків, аеропортів і екстрених служб світу
Синій екран смерті / Alpha / Flickr
Під час самого збою Microsoft радила користувачам перезавантажити Windows до 15 разів.
Масштабні наслідки від збою
У США уже третій день з початку збою скасовано понад 1000 авіарейсів, повідомляє CNN. Тисячі пасажирів застрягли в аеропортах. За даними сервісу FlightAware.com, у неділю, 21 липня, було скасовано понад 1200 рейсів у США, понад 5000 рейсів затримувалися. Понад 600 зі скасованих рейсів – авіакомпанії Delta Airlines.
За інформацією аналітичної компанії Cirium, авіакомпанії скасували 1848 рейсів переважно в США, також постраждали Австралія, Індія та Канада.
Як працює програмне забезпечення CrowdStrike
Програма від компанії відрізняється від попередніх, більш обмежених типів програмного забезпечення безпеки. Традиційне антивірусне ПЗ було корисним на старті комп'ютерної ери завдяки своїй здатності шукати ознаки відомих вірусів, але тепер атаки стали більш витонченими. Продукти CrowdStrike постійно сканують пристрої на наявність будь-яких ознак підозрілої активності та автоматизують реагування. Для цього програми мають мати доступ для перевірки ядра операційної системи на наявність дефектів безпеки. Цей доступ дає їм можливість зруйнувати ті самі системи, які вони намагаються захистити. Через це користувачі і побачили "синій екран смерті" під час збою.Хоча фахівці з кібербезпеки кажуть, що технологія CrowdStrike є надійним засобом захисту від програм-вимагачів, її вартість — яка в деяких випадках може перевищувати 50 доларів за пристрій — не є прийнятною для багатьох компаній, щоб встановити на всі машини. Це означає, що комп'ютери, на яких встановлено ПЗ, є одними з найважливіших для захисту, і якщо вони вийдуть з ладу, ключові сервіси можуть впасти разом з ними.
Збій мав наслідки й в інших галузях:
- було порушено роботу Лондонської фондової біржі;
- не працювали тисячі банкоматів, зокрема найбільшого американського холдингу JPMorgan Chase;
- Marsh, найбільша у світі страхова брокерська компанія, заявила, що десятки її клієнтів готуються подати претензії з приводу збою;
- лікарі Національної служби охорони здоров’я Великобританії не змогли отримати доступ до знімків, аналізів крові та історії пацієнтів;
- постраждали служба 911 і служба екстреної допомоги Нью-Йорка – оператори бачили вхідні дзвінки, але не могли на них відповісти;
- автовиробник Renault був змушений зупинити виробництво на своїх заводах;
- гендиректор Tesla Ілон Маск заявив про припинення використання програми CrowdStrike. За його словами, збій призвів до порушень у ланцюгу постачань.
Постраждали також федеральні агентства США, зокрема ФБР та Мін'юст. Збій зачепив частину службових пристроїв, повідомляє Bloomberg.
"Ефект доміно" збою відчувався й в інших органах влади США – у Держдепі, Мінфіні тощо. Пентагон виявився одним з небагатьох відомств, які не зазнали проблем від збою CrowdStrike. Законодавці, які відвідали Національний з'їзд Республіканської партії в Мілуокі, опинилися серед тисяч мандрівників, які застрягли в аеропортах через збій.
Як виправляють наслідки
За оцінками аналітичної компанії Gartner, частка доходів CrowdStrike на глобальному ринку корпоративної безпеки кінцевих точок, яка передбачає сканування ПК, телефонів та інших пристроїв на предмет кібератак, більш ніж удвічі перевищує частку його трьох найближчих конкурентів: Trellix, Trend Micro і Sophos.
До теми Це не кібератака: генеральний директор CrowdStrike прокоментував збої по всьому світу
Джордж Куртц, гендиректор CrowdStrike / Wikipedia
Під час останнього звіту CrowdStrike про прибутки в червні гендиректор Джордж Куртц заявив, що після серії гучних кіберінцидентів, які вплинули на техногігантів, сталася "широка криза довіри серед команд безпеки та ІТ-команд у клієнтській базі безпеки Microsoft".
В день збою Куртц вибачився перед клієнтами CrowdStrike та підкреслив, що інцидент не був кібератакою, наполягаючи на тому, що клієнти CrowdStrike залишаються повністю захищеними.
Експерти вважають, що на усунення глобального збою можуть піти тижні, пише Financial Times.
Це перший випадок, коли широко розгорнутий агент безпеки, призначений для захисту машин, фактично викликає їх поломку,
– наводить видання слова Ніла Макдональда, аналітика ІТ-консалтингової компанії Gartner.
Єдиним "порятунком" для користувачів Windows, які постраждали від "синього екрана смерті", є перезавантаження комп'ютера та ручне видалення невдалого оновлення файлу CrowdStrike, що потребує безпосереднього доступу до кожного пристрою.
За словами експертів, це означає, що для компаній із тисячами пристроїв Windows або дефіцитом ІТ-працівників для адміністрування змін можуть знадобитися дні або тижні.