עדכון תוכנה כושל שהוציאה הלילה חברת הסייבר האמריקאית קראוד סטרייק (CrowdStrike) היא זו שגרמה לתקלת המחשוב הענקית בשורה של גופים בישראל ובעולם. בארץ הנפגעת העיקרית הייתה בעיקר מערכת הבריאות, והתקלה השפיעה על שורה של בתי חולים, כולל שערי צדק, הלל יפה, לניאדו, ברזילי, שיבא, וולפסון, שמיר אסף הרופא, רמב"ם, מעייני הישועה, נהריה, פוריה, בני ציון, זיו, בית החולים הצרפתי בנצרת, בית החולים האיטלקי בנצרת וכן קופת חולים מאוחדת. במשרד מבהירים כי אין פגיעה בטיפול הרפואי במטופלים בבתי החולים שהושפעו מהתקלה.
לצד מערכת הבריאות, עוד נפגעו מערכות המחשוב של מספר בנקים, מוקד 103 של חברת החשמל, שירותי הדואר וכן מערכות מחשוב של רשת המזון קרפור. בארה"ב מנגד נראה שההשפעה הייתה רחבה יותר: מוקד המשטרה 911 הפסיק לתפקד, ומנהל התעופה הפדרלי קרקע טיסות רבות בשל בעיות תקשורת.
"חברת קראוד סטרייק היא פלטפורמה להגנת סייבר בעולמות של מערכות ווינדוס ותחנות עבודה. המוצר שלה מזהה איומי אבטחת מידע בסייבר ומסייע לארגונים להגן על המערכות שלהם", מסביר מגן מרגלית, סמנכ"ל דיגיטל (Chief Digital Officer) בחברת הטכנולוגיה הציבורית CodeValue. "העדכון הכושל שיצא הלילה גרם לכך שכל שרתי הווינדוס ותחנות העבודה שנחשפו אליו קרסו ומציגים את 'מסך המוות הכחול' (blue screen of death). למעשה, כל מי שמשתמש בשירותים שלהם מושפע ומושבת, עסקית ותהליכית. בחו״ל אנחנו יודעים שיש השפעה גם על משרדים ממשלתיים".
מרגלית מסביר כי התיקון מתבצע בכל חברה באופן עצמאי בניסיון למנוע את התפשטות התקלה לכלל המערכות ועמדות הקצה. "יש פה תקלה על תקלה - יש פה אירוע שבו גם השרתים וגם תחנות העבודה של העובדים נפגעו, והם לא יכולים להיכנס למערכות ולהפעיל את המעקפים. בארגונים שלא נערכו נכון ולא בנו את ארכיטקטורת הענן שלהם בצורה יציבה, תהיה השפעה שיכולה לקחת שעות ואפילו ימים, תלוי ברוחב הנזק שנגרם". עוד מציין מרגלית כי כעת אין סכנה לדלף מידע, ולא מדובר נכון לעכשיו באירוע זדוני.
"על אף שהפעם ככל הנראה לא מדובר במתקפת סייבר, האירוע הנוכחי ממחיש את המצב החמור שפריצת סייבר יכלה להביא אליו, מסביר ליאור פרנקל, יו"ר פורום חברות הסייבר באיגוד ההייטק ומנכ"ל ומייסד חברת ווטרפול סקיוריטי (Waterfall Security). "ארגונים, במיוחד אלו שהם תשתיות קריטיות כמו בתי חולים ודואר, צריכים להבין שאסור להם לעדכן מערכות ישירות בסביבות מבצעיות. האפשרות לעדכונים אוטומטיים ישירות מהאינטרנט היא מסוכנת. כל ארגון חייב לעדכן תוכנות ומערכות בסביבת מעבדה תחילה, ולוודא שהוא לא גורם לקריסות".
"בנוסף, האירוע הזה מהווה דגל אדום וממחיש את הצורך בהכנות מראש ליכולות שחזור נתונים מיידי ובגיבויים מסודרים", מדגיש פרנקל ומציין כי פורום הסייבר פונה מיוזמתו לחברות התעשייה ומציע את שירותיו וכל סיוע שנדרש.
החברה הישראלית שיכולה להרוויח מהאירוע
בשל האירועים, מניית קראוד סטרייק צללה ב-13% במסחר המקדים בניו יורק, ויש כבר מי שמדברים על כך שמדובר באירוע שעתיד לשנות את פני התעשייה כולה. "יהיה פה אירוע שגם הארגונים היצרניים, חברות הסייבר והפלטפורמות ההגנתיות יצטרכו לתת לו מענה כדי למנוע סוגיות עתידיות דומות, וגם הארגונים עצמם ילמדו לדעת איך הם עושים המשכיות עסקית בצורה אחרת מהיום", אומר מרגלית.
"קראוד סטרייק היא אחת מהחברות המובילות בתחום הסייבר, אבל היא מוכרת את המוצר שלה בעיקר ללקוחות עסקיים, כך שנכון לעכשיו לא נראה שצרכנים פרטיים נפגעו מהתקלה", מסביר ניר צרויה, מנהל אבטחת מידע במרכז המחקר והפיתוח בישראל של חברת הטכנולוגיה והתקשורת AT&T. "באופן טבעי, לאחר אירוע משמעותי כמו זה, רואים מעבר של לקוחות למוצרים מתחרים".
אז מי בעצם עתידה להרוויח מהתקלה העולמית? אחת מהחברות המשמעותיות שפועלות בתחום של קראוד סטרייק היא סנטינל וואן הישראלית (SentinelOne), שבהחלט עשויה לצרף לשורותיה לקוחות חדשים רבים, כך מסבירים גורמים בתעשייה. החברה, שהוקמה בשנת 2013 על ידי אהוד שמיר, תומר ויינגרטן ואלמוג כהן, מפתחת ומוכרת מוצרי סייבר לאבטחת תחנות קצה וכן האינטרנט של הדברים (IoT Devices) ומחשוב ענן.
קטגוריית המוצרים המדוברת נקראית EDR (Endpoint Detection & Response), כאשר המוצרים פועלים ברמת הקרנל (ליבה) של מערכת ההפעלה. למעשה, זהו הגשר שבין תוכניות המחשב לבין עיבוד הנתונים עצמו שמבוצע ברמת החומרה. אחד התפקידים העיקריים של הליבה הוא ניהול משאבי המערכת (התקשורת שבין רכיבי החומרה והתוכנה). ניר יהושע, סמנ"ל מחקר בחברת הסייבר סייפוקס (Cyfox) מסביר כי האירוע הזה, כמו אחרים שהרתחשו לאחרונה בתעשייה, מדגישים את הצורך בפתרונות EDR יציבים ואמינים, וכן בבדיקות מעמיקות לפני שחרור עדכונים חדשים.
בינתיים, בקראוד סטרייק מנסים להביא לפתרון מהיר של התקלה. מנכ"ל החברה ג'ורג' קורץ צייץ ב-X (לשעבר טוויטר) כי החברה "פועלת מול לקוחות שנפגעו מהדפקט בעדכון תוכן בודד שנשלח למשתמשי חלונות". וציין כי מחשבי מק ולינוקס לא נפגעו באירוע.
CrowdStrike is actively working with customers impacted by a defect found in a single content update for Windows hosts. Mac and Linux hosts are not impacted. This is not a security incident or cyberattack. The issue has been identified, isolated and a fix has been deployed. We…