فشل CrowdStrike والانهيار العالمي التالي لتكنولوجيا المعلومات في طور التكوين
عندما تكون شاشات الكمبيوتر أصبح أزرقًا في جميع أنحاء العالم يوم الجمعة، تم ايقاف الرحلات الجويةفي ذلك الوقت، أصبح تسجيل الوصول إلى الفنادق مستحيلاً، وتوقفت عمليات تسليم البضائع. ولجأت الشركات إلى استخدام الورق والقلم. واستقرت الشكوك الأولية على نوع من الهجوم الإرهابي الإلكتروني. لكن الواقع كان أكثر بساطة: تحديث برمجي فاشل من شركة الأمن السيبراني CrowdStrike.”في هذه الحالة، كان تحديثًا للمحتوى”، قال نيك هايات، مدير استخبارات التهديدات في شركة الأمن Blackpoint Cyber. ولأن CrowdStrike لديها قاعدة عريضة من العملاء، فقد كان تحديث المحتوى محسوسًا في جميع أنحاء العالم. قال هايات “كان لخطأ واحد نتائج كارثية. هذا مثال رائع على مدى ارتباط مجتمعنا الحديث بتكنولوجيا المعلومات – من المقاهي إلى المستشفيات إلى المطارات، فإن خطأ مثل هذا له عواقب وخيمة”. في هذه الحالة، كان تحديث المحتوى مرتبطًا ببرنامج مراقبة CrowdStrike Falcon. يقول هايات إن Falcon لديه اتصالات عميقة لمراقبة البرامج الضارة والسلوكيات الضارة الأخرى على نقاط النهاية، في هذه الحالة، أجهزة الكمبيوتر المحمولة وأجهزة الكمبيوتر المكتبية والخوادم. يقوم Falcon بتحديث نفسه تلقائيًا لمراعاة التهديدات الجديدة. قال هايات “تم طرح كود به أخطاء عبر ميزة التحديث التلقائي، حسنًا، ها نحن ذا”. تعد إمكانية التحديث التلقائي قياسية في العديد من تطبيقات البرامج، وليست فريدة من نوعها في CrowdStrike. وأضاف هايات “إن العواقب هنا كارثية بسبب ما تفعله شركة CrowdStrike”. تظهر أخطاء شاشة الموت الزرقاء على شاشات الكمبيوتر بسبب انقطاع الاتصالات العالمي الذي تسبب فيه CrowdStrike، التي تقدم خدمات الأمن السيبراني لشركة التكنولوجيا الأمريكية Microsoft، في 19 يوليو 2024 في أنقرة، تركيا. هارون أوزالب | الأناضول | صور جيتي على الرغم من تمكنت CrowdStrike من تحديد المشكلة بسرعةوقال إريك أونيل، وهو عميل سابق في مكتب التحقيقات الفيدرالي لمكافحة الإرهاب والاستخبارات المضادة وخبير في الأمن السيبراني: “نعتقد أن الأمر سيستغرق من ثلاثة إلى خمسة أيام قبل حل الأمور. هذه فترة توقف طويلة للمنظمات”. وقال أونيل إن انقطاع الخدمة حدث يوم جمعة صيفي حيث كانت العديد من المكاتب فارغة، ولم يكن من المفيد أن يساعد ذلك في حل المشكلة. يجب طرح تحديثات البرامج بشكل تدريجي. قال أونيل إن أحد الدروس المستفادة من انقطاع خدمة تكنولوجيا المعلومات العالمي هو أن تحديث CrowdStrike كان يجب أن يكون متاحًا في غضون ساعات قليلة. تم طرحها تدريجيا“ما كان Crowdstrike يفعله هو طرح تحديثاته للجميع في وقت واحد. هذه ليست أفضل فكرة. أرسلها إلى مجموعة واحدة واختبرها. هناك مستويات من مراقبة الجودة يجب أن تمر بها”، قال أونيل. “كان يجب اختبارها في صناديق رملية، في العديد من البيئات قبل طرحها”، قال بيتر أفيري، نائب رئيس الأمن والامتثال في Visual Edge IT. ويتوقع أن تكون هناك حاجة إلى المزيد من الضمانات لمنع الحوادث المستقبلية التي تكرر هذا النوع من الفشل. “أنت بحاجة إلى الضوابط والتوازنات الصحيحة في الشركات. ربما كان شخصًا واحدًا هو الذي قرر دفع هذا التحديث، أو اختار شخص ما الملف الخطأ لتنفيذه”، قال أفيري. تطلق صناعة تكنولوجيا المعلومات على هذا مصطلح “الاختبارات”. فشل نقطة واحدة — خطأ في جزء واحد من النظام يخلق كارثة تقنية عبر الصناعات والوظائف وشبكات الاتصالات المترابطة؛ تأثير الدومينو الهائل. دعوة لبناء التكرار في أنظمة تكنولوجيا المعلومات يمكن أن يتسبب حدث يوم الجمعة في دفع الشركات والأفراد إلى رفع مستوى استعدادهم السيبراني. قال أفيري: “الصورة الأكبر هي مدى هشاشة العالم؛ إنها ليست مجرد مشكلة سيبرانية أو تقنية. هناك الكثير من الظواهر المختلفة التي يمكن أن تسبب انقطاعًا، مثل التوهجات الشمسية التي يمكن أن تدمر اتصالاتنا والإلكترونيات”. في النهاية، لم يكن الانهيار الذي حدث يوم الجمعة اتهامًا لشركة Crowdstrike أو Microsoft، بل كان اتهامًا لكيفية نظر الشركات إلى الأمن السيبراني، كما قال جافيد عابد أستاذ مساعد لأنظمة المعلومات في كلية جونز هوبكنز كاري للأعمال. وقال عابد: “يجب على أصحاب الأعمال التوقف عن النظر إلى خدمات الأمن السيبراني باعتبارها مجرد تكلفة، بل باعتبارها استثمارًا أساسيًا في مستقبل شركتهم”. وينبغي للشركات أن تفعل ذلك من خلال بناء التكرار في أنظمتها. وقال عابد: “لا ينبغي لنقطة فشل واحدة أن تكون قادرة على إيقاف الأعمال، وهذا ما حدث”. وقال عابد “لا يمكنك الاعتماد على أداة واحدة فقط للأمن السيبراني، الأمن السيبراني 101”. وفي حين أن بناء التكرار في أنظمة المؤسسات أمر مكلف، فإن ما حدث يوم الجمعة أكثر تكلفة. وقال عابد “آمل أن يكون هذا بمثابة جرس إنذار، وآمل أن يتسبب في بعض التغييرات في عقلية أصحاب الأعمال والمؤسسات لمراجعة استراتيجياتهم للأمن السيبراني”. ماذا تفعل بشأن الكود “على مستوى النواة” على المستوى الكلي، من العدل أن نلقي بعض اللوم النظامي داخل عالم تكنولوجيا المعلومات المؤسسية الذي غالبًا ما ينظر إلى الأمن السيبراني وأمن البيانات وسلسلة توريد التكنولوجيا على أنها “أشياء لطيفة” بدلاً من الأساسيات، ونقص عام في قيادة الأمن السيبراني داخل المنظمات، كما قال نيكولاس ريس، المسؤول السابق في وزارة الأمن الداخلي والمدرس في مركز SPS للشؤون العالمية بجامعة نيويورك. وعلى المستوى الجزئي، قال ريس إن الكود الذي تسبب في هذا الاضطراب كان كودًا على مستوى النواة، مما أثر على كل جانب من جوانب الاتصال بين الأجهزة والبرامج في الكمبيوتر. وقال ريس “يجب أن يخضع الكود على مستوى النواة لأعلى مستوى من التدقيق”، مع ضرورة أن تكون الموافقة والتنفيذ عمليتين منفصلتين تمامًا مع المساءلة. وهذه مشكلة ستستمر في النظام البيئي بأكمله، حيث تغمره منتجات البائعين من جهات خارجية، وكلها بها نقاط ضعف. وقال ريس “كيف ننظر عبر النظام البيئي للبائعين من جهات خارجية ونرى أين ستكون الثغرة التالية؟ يكاد يكون الأمر مستحيلًا، لكن يتعين علينا المحاولة”. “إنه ليس احتمالًا، ولكنه أمر مؤكد حتى نتصارع مع عدد نقاط الضعف المحتملة. نحن بحاجة إلى التركيز على النسخ الاحتياطي والتكرار والاستثمار فيه، لكن الشركات تقول إنها لا تستطيع تحمل تكاليف الأشياء التي قد لا تحدث أبدًا. إنها حالة صعبة”.
المصدر
