Debakl plavog ekrana: Kako je AI za sajber bezbednost zaustavio avione, operacije, banke...

Foto: Shutterstock, Miloš Nadaždin

U petak, 19. jula 2024. godine, digitalni svet je doživeo seizmički šok koji je podjednako poremetio redovan rad preduzeća, vlada i pojedinca. Ono što je u početku izgledalo kao široko rasprostranjeno pitanje ažuriranja operativnog sistema Windows brzo se pretvorilo u mnogo složeniji i alarmantniji scenario. Krivac? Neispravan bezbednosni update od CrowdStrike-a, istaknute firme za sajber bezbednost, koji je doveo do toga da veliki broj Windows sistema širom sveta se sruši, prikazujući strašni plavi ekran smrti (Blue Screen of Death BSOD).

Obim ove digitalne katastrofe bio je zapanjujući.

Iako je tačne brojeve teško odrediti, procene ukazuju na to da je oko 8,5 miliona uređaja pogođeno na globalnom nivou. Uticaj se osetio u različitim industrijama, od avio-kompanija i bolnica do banaka i medija. Velike korporacije i vladine agencije našle su se u borbi sa iznenadnim sistemskim kvarovima, što je dovelo do poremećaja u pružanju usluga, prizemljenih letova i kompromitovanih operacija.

Teme za vas

Kako se vest o krahu širila, početne spekulacije ukazivale su na problematično ažuriranje operativnog sistema Windows. Međutim, kako su se IT profesionalci širom sveta borili da identifikuju uzrok, postalo je jasno da je problem proizašao iz Falcon proizvoda CrowdStrike-a, široko korišćene platforme za zaštitu krajnjih tačaka u IT sistemima.

Ovo otkriće prebacilo je fokus sa Microsofta na CrowdStrike, naglašavajući međusobno povezanu prirodu moderne IT infrastrukture i potencijal za kaskadne krahove na infrastrukturi koji mogu dovesti do potpune obustave svih operacija u kompanijama.

CrowdStrike: Kompanija koja stoji iza incidenta globalnih razmera

Da bi se shvatila veličina ovog incidenta, od ključnog je značaja razumeti poziciju CrowdStrike-a u sajber bezbednosti. Osnovan 2011 godine, CrowdStrike je postao lider u zaštiti krajnjih tačaka i opterećenja za rad na cloud platformama. Uspon kompanije poklopio se sa sve većom sofisticiranošću sajber pretnji i rastućom potrebom za naprednim bezbednosnim rešenjima.

Baza klijenata CrowdStrike-a obuhvata značajan deo Fortune 100 kompanija, kao i brojne vladine agencije i organizacije u različitim sektorima. Njihov vodeći proizvod, Falcon, koristi kombinaciju veštačke inteligencije, analitike ponašanja i stručnog ljudskog uvida za otkrivanje i sprečavanje sajber pretnji u realnom vremenu.

Tržišna kapitalizacija kompanije, koja je tokom godina stalno rasla, preuzela je značajan udarac nakon incidenta 19. jula. Neposredno nakon kraha, cena akcija CrowdStrike-a je pala, brišući milijarde sa svoje tržišne vrednosti.

Početkom jula ove godine akcije CrowdStrike’a su dostigle svoj istorijski maksimum sa skoro 400 američkih dolara po akciji, dok su četiri dana posle kraha pale na skoro 260 američkih dolara po akciji, više od 35%, spuštajući tržišnu vrednost kompanije na 65 milijardi američkih dolara.

Ovaj finansijski uticaj podvukao je ozbiljne posledice tehničkih kvarova visokog profila u međusobno povezanom svetu sajber bezbednosti i globalnog poslovanja.

Falcon proizvod i njegova AI komponenta

CrowdStrike-ova Falcon platforma je rešenje za zaštitu krajnjih tačaka dizajnirano da zaštiti organizacije od različitih sajber pretnji. U svojoj osnovi, Falcon koristi agent instaliran na krajnjim tačkama (kao što su računari i serveri) za prikupljanje i analizu podataka u realnom vremenu. Ovi podaci se zatim šalju na CrowdStrike-ovu platformu za dalju analizu podatka.

AI komponenta Falcon-a igra ključnu ulogu u njegovom radu. Algoritmi mašinskog učenja koriste se za analizu ogromnih količina podataka, identifikaciju obrazaca i otkrivanje anomalija koje mogu ukazivati na bezbednosnu pretnju. Ovaj pristup vođen AI-om omogućava Falcon-u da se brzo prilagodi novim vrstama napada i pruži proaktivnu zaštitu od novih pretnji.

Međutim, kao što je pokazao incident 19. jula, čak i napredni sistemi sa AI-om nisu imuni na greške, posebno kada su u pitanju ažuriranja i promene konfiguracije.

Anatomija nesreće: šta se dogodilo?

Redosled događaja koji su doveli do globalnog kraha počeo je u ranim jutarnjim satima 19. jula 2024. godine. CrowdStrike je objavio rutinsko ažuriranje konfiguracije senzora za svoj Falcon proizvod, posebno ciljajući Windovs sisteme koji koriste Falcon senzor verzije 7.11 i novije. Ovo ažuriranje je imalo za cilj da poboljša mogućnosti otkrivanja pretnji ovog proizvoda.

Međutim, ažuriranje je sadržalo kritičnu grešku koja je izazvala ozbiljan sukob sa operativnim sistemom Windows. Kada su pogođeni sistemi pokušali da obrade novu konfiguraciju, to je izazvalo lančanu reakciju koja je na kraju dovela do nestabilnosti i padova sistema.

Problem se manifestovao na sledeći način:

1. Sistemi koji pokreću senzor Falcon preuzeli su pogrešno ažuriranje konfiguracije.

2. Nakon obrade ažuriranja, Falcon senzor je počeo da ometa kritične Windows procese.

3. Ova smetnja je izazvala nestabilnost sistema, što je dovelo do iznenadnih gašenja ili restartovanja sistema.

4. Prilikom pokušaja ponovnog pokretanja, pogođeni sistemi naišli su na plavi ekran smrti, što ih je u suštini učinilo neupotrebljivim.

Problem je pogoršan rasprostranjenom prirodom baze klijenata CrowdStrike-a. Kako su sistemi u različitim vremenskim zonama dolazili na mrežu i primili ažuriranje, broj pogođenih uređaja eksponencijalno je rastao. Tek kada je CrowdStrike identifikovao problem i zaustavio uvođenje, širenje problema se zaustavilo.

Finansijske posledice i oporavak

Finansijski uticaj ovog incidenta bio je značajan i dalekosežan. Iako je teško kvantifikovati ukupan ekonomski gubitak, procene sugerišu da je globalna ekonomija možda pretrpela milijarde dolara štete zbog izgubljene produktivnosti, poremećene isporuke usluga i troška oporavka iz ove situacije.

Avio kompanije su se suočile sa značajnim gubicima zbog prizemljenih letova i potrebe da se prezakažu novi letovi putnicima koji su propustili svoje inicijalne letove. Bolnice su morale da odlože procedure koje nisu hitne i oslanjaju se na rezervne sisteme. Banke i finansijske institucije doživele su poremećaje u svom poslovanju, onemogućavajući razne transakcije i usluge klijentima.

Proces pokrivanja ovih gubitaka je složen i varira u zavisnosti od industrije i pojedinačne organizacije. Neki gubici mogu biti pokriveni polisama osiguranja za sajber sigurnost, koje su postale sve češće u poslednjih nekoliko godina. Međutim, priroda ovog incidenta – gde je sam bezbednosni proizvod izazvao poremećaj – može dovesti do sporova oko odgovornosti i pokrića.

Mnoge pogođene organizacije će verovatno tražiti naknadu od CrowdStrike-a za nastalu štetu. To bi potencijalno moglo dovesti do talasa tužbi i vansudskih poravnanja, čiji puni obim možda neće biti poznat mesecima ili čak godinama.

Istorijski kontekst: Prethodni krahovi vezani za Antiviruse

Iako je obim incidenta CrowdStrike bez presedana, to nije prvi put da je antivirusni ili anti-malvare softver izazvao pad sistema ili poremećaje. Tokom godina, bilo je nekoliko značajnih incidenata:

U 2010. godini, McAfee je objavio neispravan update definicije virusa koji je pogrešno identifikovao ključnu sistemsku datoteku Windows kao zlonamerni softver, uzrokujući široko rasprostranjen pad sistema i ponovno pokretanje.

U 2015. godini, antivirusni softver Kasperski Lab-a greškom je označio i stavio u karantin osnovne Windows datoteke, što je dovelo do nestabilnosti sistema i pada za mnoge korisnike.

U 2019. godini, Sophos antivirusno ažuriranje prouzrokovalo je da se neki Windows sistemi ne pokreću, prvenstveno utičući na poslovne korisnike.

Ovi istorijski slučajevi naglašavaju bitnost ravnoteže koju bezbednosni softveri moraju da održavaju – zaštita sistema bez nenamernog nanošenja štete. Međutim, CrowdStrike incident se izdvaja zbog svog globalnog obima i kritične prirode pogođenih sistema.

Uticaj na budućnost sistema sa sajber bezbednost

Incident CrowdStrike-a od 19. jula 2024. godine će biti prekretnica u svetu sajber sigurnosti i IT infrastrukture, sama rešenja dizajnirana da nas zaštite mogu, pod određenim okolnostima, postati izvor značajnih poremećaja.

Ovaj događaj naglašava krucijalnu potrebu za robusnim testiranjem, postepenim primenama i puštanjem rešenja u produkciju, kao i sigurnosnim mehanizmima u razvoju i distribuciji sigurnosnog softvera.

Takođe, naglašava se važnost transparentnosti i brzog odgovora tehnoloških provajdera kada se pojave problemi.

Lekcije naučene iz ovog incidenta trebalo bi da utiču ne samo praksu CrowdStrike-a, već i čitave industrije sajber bezbednosti. Sve veća složenost i međusobna povezanost naše digitalne infrastrukture zahtevaju obnovljeni fokus na pouzdanost, sigurnost i otpornost sistema.

Na kraju, dok će tehnologija nastaviti da napreduje i pruža sve sofisticiraniju zaštitu od sajber pretnji, događaji poput ovog podsećaju nas na stalnu potrebu za budnošću, prilagodljivošću i uravnoteženim pristupom sajber bezbednosti.

Dok se krećemo kroz sve digitalniju budućnost, sposobnost učenja i sprečavanja takvih incidenata biće ključna u održavanju stabilnosti i sigurnosti svih naših međusobno povezanog svetova.

(Ivana Višnjić, MBA, Junior Partner, Egzakta Advisory)