התקלה שהשביתה את העולם: קריאת השכמה טכנולוגית

זה תסריט הוליוודי שכמעט כותב את עצמו. בזה אחר זה, מחשבים ברחבי העולם קורסים ומציגים מסך תקלה כחול. שדות תעופה, נמלי ים, בתי חולים, בנקים, גופי שידור, משרדי ממשלה ועוד מאות אלפי גופים משותקים, או נאלצים להסתמך על פתרונות עתיקים דוגמת עט ונייר. הציבור בבית צופה בתדהמה: האם זה הרגע שבו העולם יעמוד מלכת?

אבל המציאות מוכיחה שהיא מתוחכמת יותר מכל תסריטאי מדומה. כי בשעה שהוא אולי היה הולך על סרט מתח/אקשן, כאן, מדובר יותר בקומדיה מצערת של טעויות. לא האקרים מתוחכמים בשליחות מעצמה עלומה, אלא תקלה בקוד תוכנה מחברה שמרבית העולם לא שמע עליה. ובמקום שהכל ייפתר בסצנת שיא מותחת ועתירת פיצוצים, כאן המענה היה משמים ואפור, היישר מספר ההוראות לטכנאי המחשבים המתחיל: לנסות לכבות ולהדליק את המחשב. 15 פעמים.

קריסת המחשבים העולמית, שנגרמה כתוצאה מתקלה בתוכנה של חברת הגנת הסייבר קראודסטרייק (CrowdStrike), החלה בלילה שבין חמישי לשישי (שעון ישראל), ושיתקה מערכות מחשב בכל העולם. בישראל נפגעו ממנה שורה של בתי חולים, סניפים של סופר פארם, רשת H&M, בנקים, חברות השכרת רכב (שעברו למילוי טפסים ידני) ועוד. בחו"ל נפגעו ממנה חברות תעופה, בנקים, בורסות וכלי תקשורת. חברות תעופה רבות נאלצו להשבית את פעילותן, ושדות תעופה נאלצו לעבור להנפקת כרטיסי עלייה למטוס ולבצע בדיקות ביטחון בצורה ידנית, מה שיצר עיכובים ועומסים עולמיים. רשת החדשות הבריטית, סקיי ניוז, נאלצה להפסיק את שידוריה החיים למשך שעות רבות, מאורע נדיר אולי חסר תקדים. נפגעים נוספים כוללים בתי מלון (שנאלצו לבצע צ'ק אין לאורחים בצורה ידנית), בורסת לונדון (שלא יכלה לפרסם דיווחים), גופי ממשל (נאסא וה־FBI הודיעו שנפגעו מהתקלה), רשתות התחבורה הציבורית בניו יורק ובוושינגטון דיסי, ועוד רבים מספור.

התקלה אמנם זוהתה ובודדה, אבל טיפול והחזרה לפעילות של כל המחשבים שנפגעו ייקח ימים או שבועות, שכן יש לבצע פעולות ידניות שונות בכל מחשב שנפגע. בשלב זה, כשהאירוע עדיין מתגלגל, עוד מוקדם להעריך את היקפי ועצמת הנזקים שגרמה התקלה, אך אלו צפויים להיות משמעותיים ומשורשרים.

כך לדוגמה התקלה שיבשה את הפעילות השוטפת של נמל רוטרדם בהולנד, הנמל הימי הגדול באירופה. להערכת הנמל, היא הדבר ישפיע על 3,000 החברות שעושות שימוש בשירותיו. זו תוצאה אחת של שיבושים במקום אחד. ולהערכת אנליסטים, ביחד עם שיבושים בנמלים נוספים ובשירותים אחרים שקשורים לנמלים, הדבר יכול ליצור שיבושים ארוכי טווח במערכת הלוגיסטיקה העולמית, שכן זו פועלת כיום ללא מרווח תמרון.

עדכון התוכנה שגרם לתקלה

יעבור זמן עד שאפשר יהיה להעריך בצורה מלאה את השפעות התקלה. אבל הסיבה לה כבר ידועה היטב. והיא נמצאת בחברת הסייבר קראודסטרייק. מדובר באחת מחברות הגנת הסייבר הגדולות בעולם, שנחשבת למתחרה מרכזית של וויז ופאלו אלטו נטוורקס. טרם התקלה היא נסחרת בנאסד"ק לפי שווי של 83.5 מיליארד דולר (מאז, איבדה כ־9 מיליארד דולר משוויה).

מקור התקלה הוא מוצר ה־EDR (ראשי תיבות של endpoint detection and response, זיהוי ותגובה בנקודת קצה) של החברה למחשבי ווינדוס. מדובר בתוכנה שמותקנת על המחשב, סורקת אותו בחיפוש אחר איומים שונים, ומגיבה אוטומטית. מעין אנטי־וירוס משודרג. ואולם, בשעה שאנטי־וירוס מסוגל לזהות איומים קיימים על סמך מאגר מידע מתעדכן, תוכנת EDR יכולה לזהות איומים לא מוכרים באמצעות ניתוח התנהגות חשודה.

מטבע הדברים, תוכנת EDR נדרשת לעדכונים תדירים, ובגלל חשיבות העדכונים ותכיפותם אלו מותקנים כברירת מחדל באופן אוטומטי. בשגרה, העדכונים נבדקים ומאומתים לפני הפצתם, על מנת לוודא שהם לא גורמים נזקים למערכת הלקוח. הפעם, מסיבה לא ברורה – ייתכן טעות אנוש, ייתכן כשל בכלים שמשמשים לאימות העדכון – הופץ עדכון תוכנה שגרם לתקלה. מכיוון שלצורך פעולה תקינה תוכנת EDR נדרשת לגישה לרמות המאובטחות ביותר של מערכת הפעלה, כשל בתוכנה יכול להביא לשיבוש בליבת המערכת.

במקרה הנוכחי, התקלה בתוכנה של קראודסטרייק שיבשה את פעילות יישומי הליבה של ווינדוס, באופן שהוביל לקריסה מוחלטת של המערכת. מכיוון שהפתרון של קראודסטרייק הוא אחד הנפוצים בעולם, ומכיוון שווינדוס היא מערכת ההפעלה המועדפת ליישומים עסקיים רבים, התוצאה היתה קריסה של מיליוני מערכות מחשב בעולם, והכאוס שנגרם בעקבות כך.

לדברי נדב אביטל, ראש קבוצת מחקר ואיומים באימפרבה, "התקלה מדגישה את הצורך הקריטי בניהול סיכונים בשרשרת האספקה. ארגונים חייבים לוודא כי ספקי התוכנה שלהם נוקטים באמצעי אבטחה מחמירים בכל שלבי הפיתוח וההפצה. בנוסף, יש להקים מערכות גיבוי ונהלי חירום שיאפשרו התאוששות מהירה במקרה של תקלות בעדכונים. על ידי נקיטת אמצעים אלה, נוכל להקטין את הסיכון לאירועים דומים בעתיד ולהבטיח את המשכיות הפעילות העסקית בצורה בטוחה ואמינה".

עמירם שחר, מייסד ומנכ"ל Upwind, הוסיף שכבר עתה ניתן להפיק כמה לקחים לגבי האירוע: "עבור קראודסטרייק וספקים דומים, חיוני לחקור ביסודיות כל עדכון גרסה לפני שחרורו ללקוחות, תוך הבנה שתקלה טכנית יכולה לגרום לנזק משמעותי".

המחדל של קראודסטרייק מושך עליה, ובצדק, אש רבה. מגיבים ברשת מכנים את התקלה "נוזקת השנה", ואחרים שציינו שכל הכסף שהחברה אולי חסכה לארגונים במניעת התקפות סייבר, לא מתקרב לנזקים שהיא גרמה להם כתוצאה מהתקלה. היא עתידה לשלם על כך בדמות תביעות עתק, קנסות, חקירות רגולטוריות ועוד. יש חשש אמיתי ליציבות החברה בטווח הבינוני. "קראודסטרייק עשתה יותר כדי לשבש את הפעילות העסקית העולמית מאשר כל מתקפות הנוזקה גם יחד", אמר לבלומברג יו"ר חברת הגנת הסייבר Accelerynt, מייקל הנרי. "זה מדגים כמה סיכון אנחנו לוקחים על עצמנו כשאנו פורסים תוכנות הגנה: אם החבר'ה האלו טועים, הם יכולים להוריד את כל העסק שלך".

מה שמתחבר לרמת המחדל השנייה – זו של לקוחות קראודסטרייק. כל הלקוחות שנפגעו, ללא יוצא מן הכלל, קיבלו את העדכונים של קראודסטרייק בצורה אוטומטית, מבלי לבחון אותם קודם לכן בסביבה בטוחה. כאשר מדובר בגוף עם מאות, אלפי או עשרות אלפי מחשבים, ובפרט כזה שמפעיל שירותים קריטיים כמו בית חולים או חברת תעופה, זו התנהגות לא תקנית שמנוגדת לפרקטיקות הטובות ביותר. אלו מחייבות בדיקה עצמאית ומבודדת של כל יישום ועדכון, ובוודאי כאשר מדובר בכזה בעל גישה לליבת המערכת. האחריות אולי נופלת על כתפי קראודסטרייק, אבל גם לקוחותיה, שיכלו למנוע את התקלה לו רק היו פועלים בצורה אחראית יותר, נושאים חלק באשמה.

אבל יש גם בעיה עמוקה יותר ממחדל נקודתי או חוסר אחריות של חברות. התקלה חושפת את השבריריות של מערכת המחשוב העולמי, שמסתמכת על כמה ספקים גדולים, בייחוד כשמדובר ביישומי ליבה. כל מחשבי הקצה בעולם עושים שימוש באחת ממספר מוגבל מערכות הפעלה – ווינדוס של מיקרוספט, macOS של אפל, Chrome OS או לינוקס בקוד פתוח – כאשר מיקרוסופט שולטת בכמעט שלושה רבעים מהשוק. בתחום תוכנת הסייבר לארגונים, לקראודסטרייק, השחקנית השנייה בגודלה, יש נתח שוק של 18%, לפי IDC, עם 29 אלף לקוחות. כשאחת מהחוליות האלו בשרשרת מתפרקת, גלי ההדף הם רחבים, והתוצאה היא פגיעה משמעותית בכלכלה העולמית.

השלב הבא צריך להיות בחינה של תנאי היסוד שהובילו למצב הנוכחי: מדוע לקומץ חברות, חלקן אלמוניות לציבור הרחב, יש כוח לבצע שיבושים כאלו רחבים בכלכלה העולמית. איך ניתן להכניס יותר גיוון לשוק ריכוזי זה. זו מטלה ראשונה במעלה שרגולטורים, והתעשייה עצמה, צריכים לקחת על עצמם. כי מהתקלה הבאה, לא בטוח שנצא כל כך בזול.