בעולם ובישראל מנסים להחזיר את מערכות המחשב לפעילות שגרתית בעקבות התקלה במערכת של קראודסטרייק (Crowdstrike) - ובמקביל מתחילים לנסות להבין מה גרם לכשל. מה שידוע בשלב זה הוא שהתקלה הגלובלית נגרמה בעקבות עדכון תוכנה ששלחה הלילה חברת טכנולוגיית הסייבר למערכת שלה, שמותקנת במחשבים של שורה ארוכה של ארגונים גדולים ברחבי העולם.
החל משעות הבוקר ארגונים גדולים בעוד ועוד מדינות החלו להודיע כי אינם מצליחים לתפקד בשל בעיית מחשבים רחבה. הארגונים שנפגעו כוללים מערכות כמו בתי חולים, מוקדי חירום, סופרים וקמעונאים, שירותי כיבוי והצלה נמלי תעופה ועוד.
• מישראל ועד אוסטרליה: השירותים שנפגעו בתקלה
מספר נמלי תעופה בין-לאומיים הושפעו מהעדכון ונאלצו לשנות את פעילותם על רקע תקלות במערכותיהם או במערכות חברות התעופה. אתר CNN מדווח כי בין היתר נרשמו שיבושים בנמלי התעופה בדובאי, טוקיו, נמל התעופה אינדירה גנדי בדלהי ובנמל התעופה אינצ'ון בקוריאה הדרומית. תקלות נרשמו גם במערכות של נמלי התעופה ניוארק בניו יורק, לוס אנג'לס, סיאטל וסידני.
לפי ההערכות, העדכון גרם למעבד המחשב (ה-CPU) לאתחל את המערכות שוב ושוב ושוב - מה שהוביל לקריסה של מערכות רבות במקביל. כדי להתמודד עם הבעיה הוקפצו אנשי IT רבים ברחבי העולם להגיע פיזית לחדרי השרתים ולאתחל אותם.
מנכ"ל קראודסטרייק ג'ורג' קורץ צייץ ב-X (לשעבר טוויטר) כי החברה "פועלת באופן פעיל עם לקוחות שנפגעו מהדפקט בעדכון תוכן בודד שנשלח למשתמשי חלונות. מחשבי מק ולינוקס לא נפגעו. זה לא אירוע אבטחה או מתקפת סייבר. זיהינו את הבעיה, בודדנו אותה והפצנו תיקון".
CrowdStrike is actively working with customers impacted by a defect found in a single content update for Windows hosts. Mac and Linux hosts are not impacted. This is not a security incident or cyberattack. The issue has been identified, isolated and a fix has been deployed. We…
— George Kurtz (@George_Kurtz) July 19, 2024
"המחשה לתלות שלנו במחשבים"
בין השורות מתחילה להתגבש ההבנה בדבר התלות הגדולה של מערכות המחשב הגלובליות בחברות ענק, כמו קראודסטרייק, והכוח האדיר שיש להן. עדכון התוכנה שבלב התקלה הופץ באופן אוטומטי למערכות של החברה, שמתוקנות אצל המוני לקוחותיה בכל העולם. "לחברות מומלץ לחשוב מחדש על אופן ביצוע העדכונים במערכות הקריטיות שלהן באופן שיכול למנוע פגיעה בזמן אמת מעדכונים כגון זה של קראודסטרייק", אמר עידו גנור, מרצה סייבר בכיר בקורס מנהלי מערכות מידע של ביה"ס ללימודי המשך של הטכניון ומנכ"ל החברות איי-פי-וי סקיוריטי יועצים וסיסוטריה.
"אולי - רק אולי - האפשרות שיש לספק תוכנה לשנות בו-זמנית פקודות בסיסיות בתוכנה שלו בלי אישור של מערכות המחשוב ומשתמשי הקצה הוא מודל שאנחנו צריכים לבחון מחדש", צייץ ג'ייק וויליאמס, סגן נשיא לפיתוח בחברת ייעוץ הטכנולוגיה האנטר סטרטגר'י.
Okay, I'm just going to throw this out there, but maybe - just maybe - a vendor having the ability to change every one of their kernel drivers in the field at the same time without any approval from IT/end users is a model we need to reconsider... @CrowdStrike. pic.twitter.com/QGQw5ARCJM
— Jake Williams (@MalwareJake) July 19, 2024
"זה אירוע נדיר יחסית שממחיש מצד אחד את מידת התלות של הכלכלה והחברה במחשבים ומהצד השני ובמקביל - את מידת החשיבות בהגנה על התפקוד שלהם", מסר מנכ"ל איגוד האינטרנט הישראלי יורם הכהן.
"רצף כשלים מסונכרנים ותוצאה קטלנית"
"יש פה כמה כשלים שארעו בצורה מסונכרנת והתוצאה קטלנית", מסר אביעד הסניס, סמנכ"ל הפיתוח והמחקר בחברת הסייבר סיינט Cynet. "הכשל הראשון הוא שקראודסטרייק הוסיפה פונקציונליות למוצר בלי שהיא נבדקה כראוי, ושוחררה לכלל לקוחותיה והשפיעה על מיליוני מחשבים ברחבי העולם. במקביל ארע הכשל השני: הפונקציונליות הזו שוחררה לכלל לקוחותיה העולמיים של קראודסטרייק, באותה שעה - אמצע הלילה שעון ארה"ב, לקראת סוף השבוע לאחר חצות (שעון ארה״ב מזרחי) - כשרוב המפתחים בארה"ב לא עובדים. מה שכמובן עלול להקשות על הטיפול בתקלה.
"כשל שלישי שארע בד בבד: התקלה באה לידי ביטוי בשלב כה מוקדם בעת הפעלת המחשב, שלמרות שהחברה הוציאה תיקון, המחשב חווה את הכשל עוד לפני שהוא מספיק להוריד ולעדכן את התיקון - וכך זה השפיע בצורה כה דרמטית על מיליוני מערכות ברחבי העולם." הסניס הוסיף כי "ההשלכות של התקלה הזו כה חמורות שאנחנו עדיין לא יכולים לאמוד אותן וצפויות להיות עוד השלכות משמעותיות שיגרמו".
"התקלה מדגישה על התלות של כלל המערכות העסקיות והארגוניות במערכות המחשוב השונות, ולצד זאת - כמה הן פגיעות", מסר רפאל פרנקו, מנכ"ל קוד בלו לניהול משברי סייבר ולשעבר סגן ראש מערך הסייבר הלאומי. "יש להתייחס לאירוע הזה כנורת אזהרה לכל הארגונים במשק הישראלי. על כל ארגון קיימת החובה להכין תוכנית רציפות עסקית למקרה של תקלה כזו, או חמור מכך, אירוע סייבר משמעותי. על הארגונים חלה האחריות לנתח את נקודות הכשל השונות, לצד בניית תוכנית להתאוששות מתקלות שפוגעות במערכות המחשוב הקריטיות וחזרה מהירה לשגרה".
טעות אנוש או מעשה זדוני?
שאלה מטרידה נוספת היא מקור התקלה: אף שברור בשלב זה השיבושים במערכות החברות והגופים שנפגעו נובעים מהתקלה בעדכון ששלחה קראודסטרייק, עדיין קיימים סימני שאלה לדברי פרנקו "לא ידוע אם מדובר בכשל טכני או בתקיפת שרשרת אספקה".
דברים דומים אומר מנכ"ל איגוד האינטרנט הישראלי הכהן: "בשלב הזה לא ניתן לקבוע בוודאות אם מדובר בתקלה פנימית בעדכון התוכנה של החברה שנעשתה בתום לב - או שמדובר במעשה זדוני שנעשה על ידי גורם חיצוני לחברה".
All flights grounded nationwide? After 2 hrs on the tarmac we had to deplane, this red eye flight just got a lot longer with no end in sight. #Crowdstrike pic.twitter.com/IJnTSI0J4Z
"מדובר באירוע מתגלגל ומשנה מציאות גלובלית שאנחנו רק בתחילתו", הוסיף גנור. "להערכתי, קיימת סבירות גבוהה שזה אירוע תקיפה שאת השלכותיו עדיין איננו יודעים, ולא טעות אנוש של צוות המתכנתים ובקרת האיכות של חברת קראודסטרייק.
"כל קבוצות התקיפה בעולם עוקבות ומנסות לנצל את המצב, ולכן המלצתנו לחברות שנפגעו היא להפעיל את צוות הטיפול באירועים הכולל הנהלה: יש לקבל החלטה עסקית האם להתקין במיידי את הפתרון הזמני שאותו פרסמה קראודסטרייק - או להמתין עוד יום-יומיים לעדכונים שעוד יגיעו עם פתרונות שלא הוצעו בחופזה.
"לחברות שקיומן תלוי בתפעול מערך הייצור מומלץ לבצע את הפתרון המוצע במיידי - אך רק על המערכות הקריטיות של הארגון. לחברות שלא נפגעו, מומלץ לבדוק מה משרשרת האספקה שלהן נפגע ומה השפעתו על הארגון".