W piątek 19 lipca 2024 r. niemożliwe okazało się uruchomienie 8,5 miliona komputerów z systemem Windows. Przyczyną był błąd w kodzie aktualizacji oprogramowania ochronnego firmy CrowdStrike. Wprawdzie Microsoft uspokoił, że awaria dotknęła zaledwie 1 proc. takich urządzeń, lecz to marne pocieszenie nie tylko dla przedsiębiorców, ale i rodzin wybierających się w tym czasie na wakacje. Banki, linie lotnicze, szpitale, sieci fast foodów, markety czy porty morskie zmagały się z ogromnymi zakłóceniami.

– W czasie awarii wyszło na jaw, że wiele firm posiadało plany awaryjne, ale nie były one regularnie testowane i aktualizowane. W efekcie, podczas wystąpienia rzeczywistej awarii okazały się niewystarczające – tłumaczy Paweł Mączka, CTO Storware’u.

Niektórzy uważają, że lipcowa awaria może zachęcić część firm do zastąpienia „okienek” alternatywnym systemem operacyjnym. Jednak ze względu na koszty takiej operacji, a także przyzwyczajenie ze strony użytkowników do pewnych rozwiązań, raczej trudno sobie wyobrazić taki scenariusz.

Osobną, niezwykle istotną kwestią, jest czas powrotu do normalności po awarii. Jedni uporali się z tym dość szybko, inni mieli poważne kłopoty, co wygenerowało dodatkowe straty. Szczególnie ciekawy w tym kontekście jest przypadek znanej amerykańskiej linii lotniczej Delta Air Lines. Przewoźnik odwołał w sumie ponad 5 tys. lotów, a swoje straty wycenia na pół miliarda dolarów – dlatego zamierza wstąpić na drogę prawną, aby wyegzekwować pieniądze zarówno od CrowdStrike’a, jak i Microsoftu. Przez kilka tygodni w mediach trwał publiczny spór pomiędzy obiema stronami. Co ciekawe, Microsoft oraz CrowdStrike przeszli do ofensywy, wytykając amerykańskiemu przewoźnikowi, że nie posiadał planu B.

– Nasz wstępny przegląd sugeruje, że Delta, w przeciwieństwie do swoich konkurentów, najwyraźniej nie zmodernizowała swojej infrastruktury IT, ze stratą dla swoich klientów, jak też dla pilotów i stewardess – oznajmił jeden z prawników Microsoftu.

Co lepsze: backup czy polisa ubezpieczeniowa?

Według firmy ubezpieczeniowej Parametrix awaria CrowdStrike’a kosztowała dotknięte nią firmy z listy Fortune 500 łącznie 5,4 mld dol. Przy czym wartość ta nie obejmuje własnych kosztów Microsoftu związanych z wdrażaniem poprawek i przywracaniem maszyn do pracy. Ubezpieczyciel szacuje, że 80–90 proc. strat nie zostanie objętych cyberpolisami. Opisywany incydent, nota bene nie będący cyberatakiem, to tylko jedno z wielu zagrożeń czyhających na firmy oraz instytucje.

– Firmy popełniają różne błędy, które mszczą się w takich sytuacjach, jak ta związana z awarią aktualizacji CrowdStrike. Przede wszystkim uzależniają się od jednego dostawcy oprogramowania, a gdy ten napotyka problemy, poważne konsekwencje czekają wielu jego klientów. Po drugie, rzadko przedsiębiorstwa zapewniają sobie dostęp do nadmiarowego, zapasowego sprzętu, a to przede wszystkim on umożliwia utrzymanie ciągłości działania w przypadku awarii. Po trzecie zaś, zawsze warto, a szczególnie w przypadku sprzętu i oprogramowania, którego awaria może wpłynąć na wizerunek firmy, prowadzić dokładne testy udostępnianych aktualizacji przed ich wdrożeniem. Istnieją specjalne narzędzia do tego celu – mówi Paweł Kopeć, Advanced Solutions Architect w TD Synnex Polska.

Tymczasem od aktualizacji oprogramowania nie da się uciec. Według Qualys Threat Research Unit od stycznia do połowy lipca roczna liczba zgłoszonych powszechnych podatności i ekspozycji (CVE) wzrosła o około 30 proc. – z 17 tys. w 2023 r. do 22 tys. w roku 2024. Dobra wiadomość jest taka, że tylko niewielki podzbiór podatności (około 1 proc.) stanowi poważne zagrożenia. A zła? Napastnicy potrafią zrobić użytek nawet ze stosunkowo niewielkiej liczby luk.

Duże osiągnięcia mają na tym polu gangi ransomware, które wykorzystują podatności do infiltracji sieci. Jak wynika z badania Veeam „Ransomware Trends 2024” tego typu zagrożenie jest powszechne, gdyż dotknęło w ubiegłym roku trzy na cztery podmioty. Co ciekawe, aż 81 proc. firm zapłaciło okup, aby zakończyć atak i odzyskać cenne dane. Niestety, spośród tych przedsiębiorstw jedno na trzy nadal nie było w stanie ich przywrócić, mimo dokonania płatności. W tym roku odnotowano też rekordową kwotę haraczu: według raportu Zscaler ThreatLabz, firma z listy Fortune 50 zapłaciła gangowi ransomware Dark Angels rekordową kwotę 75 mln dol.

To nie zmienia faktu, że żadne zabezpieczenia nie zastąpią dobrej, regularnie weryfikowanej kopii zapasowej. Kluczowymi wskaźnikami do zdefiniowania jej parametrów są współczynniki RPO (Recovery Point Objective) i RTO (Recovery Time Objective). RPO odnosi się do punktu w przeszłości, w którym ostatni raz była wykonana kopia, a więc określającego ile danych może stracić firma. RTO natomiast to ilość czasu, który będzie potrzebny na przywrócenie normalnej działalności po ataku.

– Wartość parametrów RPO i RTO, którą chciałyby osiągnąć przedsiębiorstwa, jest coraz bardziej wyśrubowana, a to – przy coraz wyższym poziomie złożoności procesu zabezpieczania środowisk – musi przełożyć się na znaczący wzrost kosztów usług. Zmiana wymagań powinna pociągać za sobą innowacyjne podejście do ochrony danych i ich odzyskiwania, uwzględniające automatyzację i nowoczesne repozytoria kopii zapasowych – tłumaczy Andrzej Niziołek, dyrektor regionalny Veeam na Europę Środkowo-Wschodnią.