Fyrir­hyggja er besta vörnin - vegna CrowdStrike at­viksins 19. júlí 2024

Bandaríska netöryggisfyrirtækið CrowdStrike var stofnað árið 2011 af núverandi forstjóra þess George Kurtz. Fyrirtækið veitir margvíslega og víðtæka þjónustu á sviði netöryggis og er með tæplega 30 þúsund viðskiptavini á heimsvísu. Yfir 82% af stofnunum hinna 50 bandarískra fylkja eru viðskiptavinir netöryggisfyrirtækisins. Um klukkan fjögur aðfararnótt síðastliðins föstudags, 19. júlí, sendi CrowdStrike frá sér uppfærslu á veiruvörn sína, Falcon Sensor. Uppfærslan innihélt ekki bara hefðbundna uppfærslu á skilgreiningarskrá veiruvarnarinnar heldur einnig uppfærslu á rekli (e. driver) tengdum hugbúnaðinum fyrir Windows útgáfu hans. Uppfærslan á reklinum innihélt alvarlegan galla sem olli því að Windows útstöðvar og netþjónar sem fengu uppfærsluna urðu óstarfhæfar en tölvur með Linux eða Mac stýrikerfin urðu ekki fyrir áhrifum vegna gallans. CrowdStrike afturkallaði uppfærsluna um einum og hálfum tíma síðar en þá var skaðinn skeður. Uppfærslan var komin til fjölmargra viðskiptavina fyrirtækisins og olli því að starfssemi margra þessara viðskiptavina lamaðist þegar tölvukerfi þeirra urðu óaðgengileg vegna gallans. CrowdStrike kom fljótlega með leiðbeiningar um hvernig væri hægt að lagfæra og koma óstarfhæfum tölvum aftur gang en í mörgum tilfellum þurfa tæknimenn að fara að hverri og einni tölvu og framkvæma lagfæringuna handvirkt. Sumir viðskiptavinir fyrirtækisins sem hafa orðið fyrir áhrifum vegna þessa atviks eru með tugþúsunda útstöðva og netþjóna í rekstri sem mun taka langan tíma að lagfæra. Síðastliðin ár hefur fjarvinna starfsfólks fyrirtækja aukist sem flækir núna stöðuna þegar lagfæra þarf handvirkt fjölmargar útstöðvar sem eru staðsettar í vinnuaðstöðu starfsmanna á heimilum þeirra.

Mat Microsoft er að um 8,5 milljónir tölva hafi orðið fyrir barðinu á gallaðri uppfærslu frá CrowdStrike, eða innan við eitt prósent af heildarfjölda Windows tölva í notkun. Umfang þeirra truflana sem hafa orðið um heim allan í flug- og lestarsamgöngum, fjármálakerfum, heilbrigðisþjónustu, fjarskiptakerfum, verslun, starfsemi fjölmiðla og margvíslegri annarri starfssemi sýnir hversu samofin samfélög heimsins eru orðin upplýsingatækni og hversu stór hluti mikilvægra innviða úti í heimi treystir á einn birgja til að tryggja rekstur og netöryggi tölvukerfa sinna. Það hversu mörg egg eru komin í einu og sömu körfuna er sérstakt áhyggjuefni en erfitt úrlausnar. Áhrifin af þessu atviki eru gríðarleg og ekki öll kurl komin til grafar. Það mun taka einhvern tíma að vinda ofan af þessu atviki að fullu en það er strax farið að tala um þetta atvik sem stærsta upplýsingatækniútfall sögunnar. Útföllin hér á Íslandi virðast vera minni háttar.

Það er augljóst að eitthvað mikið hefur farið úrskeiðis í gæðaferlum CrowdStrike. Það er ekki bara það að gallinn hafi farið óuppgötvaður í gegnum allt gæðakerfi fyrirtækisins heldur ýtti fyrirtækið þessari uppfærslu á alla viðskiptavini sína í einu með hrikalegum afleiðingum. Maður spyr sig jafnvel hvort að þessi gallaða breyting á veiruvörninni hafi yfirleitt verið prófuð áður en hún var send til viðskiptavina fyrirtækisins.

En hvað getur þetta atvik kennt okkur? Einn lærdómur sem hægt er að draga af þessu atviki er að sagan endurtekur sig. Árið 2010 sendi netöryggisfyrirtækið McAfee uppfærslu á veiruvörn sína sem olli því að veiruvörnin tók vissar kerfisskrár Windows XP stýrikerfisins sem tölvuveiru og einangraði þær sem olli því að viðkomandi tölva varð óstarfhæf. McAfee atvikið árið 2010 hafði áhrif á fjölmörg fyrirtæki meðal annars hér á Íslandi. Það er viss kaldhæðni örlaganna að núverandi forstjóri CrowdStrike, George Kurtz, var þá tæknistjóri McAfee. Þá, eins og nú, þurftu tæknimenn að ganga á hverja þá útstöð sem varð fyrir áhrifum vegna uppfærslunnar og lagfæra handvirkt. Það er ekki óvarlegt að ætla að álíka atvik og McAfee atvikið fyrir fjórtán árum og CrowdStrike atvikið nú geti komið aftur upp, og best að gera ráð fyrir því! Fyrirhyggja er besta vörnin.

Staðallinn „ÍST EN ISO/IEC 27001:2023“, Upplýsingaöryggi, netöryggi og persónuvernd – Stjórnkerfi um upplýsingaöryggi – Kröfur“ inniheldur alþjóðlega viðurkennd viðmið um stjórnkerfi upplýsingaöryggis. Notkun og fylgni við staðalinn hjálpar fyrirtækjum að minnka áhættu vegna öryggisatvika og lágmarka tjónið sem slík atvik geta valdið. Staðallinn setur fram viðmið/kröfur um áætlanir um viðbrögð við öryggisatvikum og áætlanir um endurheimt kerfa og gagna eftir áföll. Grunn stef í staðlinum er að ráðstafanir séu unnar út frá mati fyrirtækisins á upplýsingaöryggisáhættu. Ef litið er til CrowdStrike atviksins þá eru nokkrar skipulagslegar ráðstafanir sem fyrirtæki geta viðhaft til að lágmarka áhrifin af atvikum sem slíkum og gera þeim betur kleift að vinna úr þeim.

• Dreifing uppfærslna í áföngum (e. staggered rollouts) með miðlægri stýringu, sem tekur mið af áhættumati getur komið í veg fyrir að gölluð uppfærsla valdi umfangsmiklum truflunum í tölvukerfi fyrirtækis. Til að koma í veg fyrir að ein gölluð uppfærsla geri stóran hluta tölvukerfis fyrirtækis óaðgengilegan ætti að dreifa uppfærslum í áföngum. Slíkt fyrirkomulag ætti að hafa bæði á dreifingu öryggisuppfærslna stýrikerfa, hugbúnaðar og fastbúnaðar (e. firmware), sem og uppfærslum á skilgreiningum veiruvarna. Miðlæg stýring á dreifingu uppfærslna tryggir betur yfirsýn á, og samræmingu og skilvirkni uppfærsluferlisins og gerir fyrirtækjum kleift að stöðva ferlið ef galli í uppfærslu kemur í ljós eða jafnvel flýta því ef þörf er á vegna aðsteðjandi hættu.
• Með því að viðhalda sérstöku prófunarumhverfi aðskildu frá raunumhverfi fyrirtækis geta fyrirtæki prófað nýjar uppfærslur og breytingar án þess að það valdi truflunum í rekstri þess. Með slíku fyrirkomulagi er betur hægt að tryggja að allar uppfærslur séu metnar áður en þær eru settar í notkun, sem dregur úr hættu á óvæntum bilunum eða veikleikum.
• Setja ætti upp og viðhalda ferlum fyrir viðbrögð við atvikum og áföllum, þar á meðal forgangsröðun aðgerða og halda reglulegar æfingar. Þessar áætlanir og forgangsröðun innan þeirra ættu að vera í samræmi við niðurstöður áhættumats og tryggja að hlutverk og ábyrgðir séu vel skilgreind. Þegar breytingar á kerfum eru innleiddar ættu fyrirtæki að vera með sérstakar afturhvarfsáætlanir sem hægt væri að grípa til ef hætta þarf við innleiðingu og hverfa aftur til fyrri útgáfu þeirra. Verklag til að hverfa til fyrri útgáfu kerfa ættu að vera þekkt og skjalað, einnig fyrir hugbúnað eins og veiruvarnir. Í tilfelli CrowdStrike atviksins þá var í vissum tilfellum hægt að bakka í fyrri útgáfu veiruvarnarinnar og lagfæra þannig vandamálið.
• Fyrirtæki ættu að reglulega að taka afrit af gögnum, hugbúnaði og kerfum fyrirtækisins og prófa reglulega endurheimt þeirra til að tryggja að fljótt og örugglega sé hægt að endurreisa kerfi og rekstur fyrirtækisins í tilfelli alvarlegra bilana og gagnataps. Fyrirtæki ættu að skjalfesta ferla afritunar- og endurheimtunar og prófa ferlin sem hluta af viðbragðsáætlunum um endurheimt kerfa og gagna eftir áföll. Ein leiðin sem fyrirtæki höfðu til að endurreisa sýndarútstöðvar og -netmiðlara (e. client and server virtual machines) í kjölfar CrowdStrike atviksins, og eitt af þeim úrræðum sem Microsoft fyrirtækið benti á, var að endurheimta tölvuna af afriti sem hafði verið tekið fyrir gölluðu uppfærsluna frá CrowdStrike.
• Regluleg þjálfun starfsfólks er mikilvæg til að undirbúa það fyrir möguleg öryggisatvik. Þjálfunin ætti að ná yfir nýjustu öryggisvenjur, viðbragðsáætlanir og hlutverk og ábyrgðir hvers starfsmanns. Nýta ætti reynslu af þjálfun starfsfólks til að bæta viðbragðsáætlanir.
• Stuttar borðæfingar (e. tabletop exercises) sem snúa að afmörkuðum þáttum viðbragðsáætlana geta leitt í ljós hnökra í áætlunum – það getur verið mun ódýrara fyrir fyrirtæki að lagfæra hnökra í viðbragðsáætlunum sínum með slíkum æfingum heldur en að komast að þeim þegar áfall dynur á – t.d. að kalla saman viðbragðsteymi þegar rafræn skjölun fyrirtækisins er óaðgengileg, er til útprentað eintak af viðbragðsáætlunum og er það nýjasta útgáfa hennar?
• Nauðsynlegt er að vakta mikilvægan búnað vegna tilkynninga um bilanir eða veikleika og viðhalda tryggum samskiptaleiðum við birgja hans. Tryggja þarf að uppfærslur komi aðeins frá birgja búnaðarins til að draga úr hættunni á að ógnaraðilar nái að koma inn spilliforriti í tölvukerfi fyrirtækisins, og tryggja um leið að leiðbeiningar vegna búnaðarins komi aðeins frá traustum aðilum. Fljótlega í kjölfar CrowdStrike atviksins fóru ýmsir ógnaraðilar að nýta sér ástandið, bæði til vefveiða (e. phishing) og til að reyna selja lagfæringar tengdar vandamálinu.

CrowdStrike atvikið síðastliðinn föstudag, sem olli umfangsmiklum truflunum í tölvukerfum fjölda fyrirtækja út um allan heim, undirstrikar mikilvægi fyrirhyggju í rekstri upplýsingakerfa. Fyrirtæki geta litið til leiðbeininga í alþjóðlegra viðmiðum um stjórnkerfi upplýsingaöryggis til að verja sig gegn slíkum atvikum. Hér hafa nokkrar mögulegar skipulagslegar ráðstafanir verið nefndar sem geta hjálpað fyrirtækjum að minnka áhættu og lágmarka tjón vegna álíkra atvika í framtíðinni. Fyrirhyggja er og verður besta vörnin.

Höfundur er fagstjóri netvarna og prófana netöryggis á sviði stafræns öryggis hjá Fjarskiptastofu.