פרשנות
השביתה את העולם: חברת הסייבר שאחראית לתקלת המחשוב הענקית
כל המערכות שנפגעו היו מבוססות ווינדוס של מיקרוסופט, אך זו כנראה לא אשמה כלל; מקור התקלה הוא בתוכנה של חברת קראודסטרייק, או ליתר דיוק מוצר ה-EDR שלה - שסורק אחר איומים שונים במחשב, מעין אנטי וירוס משודרג; יש להניח כי אירעה בו תקלת תוכנה ששיבשה את אחד מיישומי הליבה של ווינדוס, וכך אירעה הקריסה
איך חברה שמרבית העולם לא שמע עליה משתקת ברגע אחד את מערכות מחשוב, שדות תעופה, בתי חולים, בנקים, גופי תקשורת ועוד בכל העולם? ולמה, למרות שכל המערכות שנפגעו היו מבוססות ווינדוס, מיקרוסופט, כנראה, לא אשמה בכלל? הנה מה שידוע עד עכשיו על הגורמים שהובילה לקריסה ששיתקה את העולם.
מקור התקלה הוא תוכנה של חברת קראודסטרייק (CrowdStrike). החברה היא אחת מחברות הגנת הסייבר הגדולות בעולם, ונחשבת למתחרה מרכזית של וויז ופאלו אלטו נטוורקס. היא נסחרת בנאסד"ק לפי שווי של 83.5 מיליארד דולר. החברה היתה מעורבת בחקירת כמה ממתקפות הסייבר הבולטות של השנים האחרונות, ובהן המתקפה של קוריאה הצפונית נגד אולפני סוני ב-2014, והמתקפה נגד והדלפת המיילים של המפלגה הדמוקרטית בארה"ב ב-2016. בספטמבר שעבר, רכשה קראודסטרייק את חברת הסייבר הישראלית ביוניק בעסקה בשווי 350 מיליון דולר.
התקלה המדוברת התרחשה במוצר ה-EDR (ראשי תיבות של endpoint detection and response, זיהוי ותגובה בנקודת קצה) של החברה למחשבי ווינדוס. מדובר בתוכנה שמותקנת על המחשב, ובאופן רציף סורקת אותו בחיפוש אחר איומים שונים, ומגיבה אוטומטית במקרה שזיהתה כאלו. מדובר במעין אנטי-וירוס משודרג. ואולם, בשעה שאנטי-וירוס מסוגל לזהות איומים קיימים על סמך מאגר מידע מתעדכן, תוכנת EDR יכולה לזהות איומים לא מוכרים באמצעות ניתוח התנהגות חשודה.
מטבע הדברים, תוכנת EDR נדרשת לעדכונים תדירים, ובגלל חשיבות העדכונים ותכיפותם אלו מותקנים כברירת מחדל באופן אוטומטי. בשגרה, העדכונים נבדקים ומאומתים לפני הפצתם, על מנת לוודא שהם לא גורמים נזקים למערכת הלקוח. הפעם, מסיבה לא ברורה – ייתכן טעות אנוש, ייתכן כשל בכלים שמשמשים לאימות העדכון – הופץ עדכון תוכנה שגרם לתקלה. מכיוון שלצורך פעולה תקינה תוכנת EDR נדרשת לגישה לרמות המאובטחות ביותר של מערכת הפעלה, כשל בתוכנה יכול להביא לשימוש בליבת המערכת.
במקרה הנוכחי, אפשר להניח, התקלה בתוכנה של קראודסטרייק שיבשה את הפעילות של אחד מיישומי הליבה של ווינדוס, באופן שהוביל לקריסה מוחלטת של המערכת. מכיוון שהפתרון של קראודסטרייק הוא אחד הנפוצים בעולם, ומכיוון שווינדוס היא מערכת ההפעלה המועדפת ליישומים עסקיים רבים, התוצאה היתה קריסה של ממיליוני מערכות מחשב בעולם, והכאוס שנגרם בעקבות כך.
"פתרונות EDR פועלים בליבת מערכת ההפעלה, ומסכנים את המערכת כולה במקרה של תקלה", אמר ניר יהושע, סמנכ"ל מחקר בחברת הסייבר CyFox. "בעקבות התקלה, משתמשים נתקלו בקשיים בהפעלה מחדש של המחשבים שלהם, כאשר חלקם נכנסו ללולאת אתחול שבה המחשב קורס מיד עם ההפעלה. כפתרון זמני, המשתמשים נדרשו להיכנס למצב בטוח במחשב ולמחוק קובץ מסוים כדי לנסות לתקן את הבעיה. משתמשים שהפעילו BitLocker, מערכת הצפנה של ווינדוס, נתקלו בקשיים נוספים, כיוון שלא יכלו לגשת למצב בטוח ללא מפתח השחזור".
לדברי נדב אביטל, ראש קבוצת מחקר ואיומים באימפרבה, לא מדובר בפעם הראשונה שמתרחשת תקלה מסוג זה. "תקלה דומה התרחשה לפני שנה כאשר HP הפיצה עדכון שגרם להשבתת מדפסות רבות", הוא אמר. "גם במקרה זה, התקלה גרמה לנזק תפעולי רחב היקף ולעלויות גבוהות של תיקון והחלפת המכשירים הפגומים. התקלה חשפה את התלות הקריטית בתוכנות ועדכונים, והצורך בהבטחת איכות מוקפדת בתהליך הפיתוח והבדיקה".
עמירם שחר, מייסד ומנכ"ל Upwind, הוסיף שההבדל הפעם הוא בעיקר בהיקף התקלה. "משבר המחשוב שאנחנו עדים לו כעת הוא בהיקף שלא ראינו מזה שנים – וכבר יש לו השפעה עצומה על תשתיות קריטיות ברחבי העולם, כולל בתי חולים, בנקים, נמלי תעופה ושירותי תקשורת", אמר. "מיליוני חברות מושפעות, שכן רוב הארגונים נאלצים לבצע עדכונים אוטומטיים. בהתחשב בכך שהתוכנה של קראודסטרייק מותקנת על מיליוני מכשירים, החל משרתים ועד מחשבים אישיים ומכשירי IoT, הנזק הוא חסר תקדים".
המקרה הנוכחי שייך לסוג של תקלות שמכונה כשל שרשרת אספקה – תקלה שבה המערכת הנפגעת או מתקפת סייבר שבה היעד הוא ספק שירות מרכזי של ארגונים רבים, ושכתוצאה משיבוש פעילותו נפגעים אותם ארגונים. "אחד המקרים הידועים ביותר של כשל בשרשרת האספקה הוא המתקפה על SolarWind, בה האקרים הצליחו לחדור לתהליך הפיתוח של החברה ולהחדיר קוד זדוני לעדכוני תוכנה שנפרסו על פני אלפי ארגונים ברחבי העולם", אמר אביטל. "התקפה זו הדגישה את הפוטנציאל ההרסני של התקפות שרשרת האספקה ואת הצורך בהגברת האבטחה והבקרה על תהליכי הפיתוח וההפצה.
"התקלה מדגישה את הצורך הקריטי בניהול סיכונים בשרשרת האספקה. ארגונים חייבים לוודא כי ספקי התוכנה שלהם נוקטים באמצעי אבטחה מחמירים בכל שלבי הפיתוח וההפצה. בנוסף, יש להקים מערכות גיבוי ונהלי חירום שיאפשרו התאוששות מהירה במקרה של תקלות בעדכונים. על ידי נקיטת אמצעים אלה, נוכל להקטין את הסיכון לאירועים דומים בעתיד ולהבטיח את המשכיות הפעילות העסקית בצורה בטוחה ואמינה".
שחר הוסיף שכבר עתה ניתן להפיק כמה לקחים לגבי האירוע: "עבור קראודסטרייק וספקים דומים, חיוני לחקור ביסודיות כל עדכון גרסה לפני שחרורו ללקוחות, תוך הבנה שתקלה טכנית יכולה לגרום לנזק משמעותי. אירוע זה מדגיש את יחסי האמון בין ספקי השירות ללקוחות, ומבליט את תפקידם הקריטי של ספקי הסייבר בתפעול היומיומי. מנקודת מבט ארגונית, הלקח העיקרי הוא חשיבות יישום תהליך הדרגתי לעדכון תשתיות קריטיות. ההיבט היחיד שצריך להתעדכן אוטומטית הוא הסביבה הבדיקתית. סביבות הפיתוח והייצור צריכות להתעדכן רק לאחר בדיקות מוצלחות. גישה זו מסייעת במניעת כשל טכני מהשפעה על פונקציות עסקיות קריטיות".