Αρθρο του κ. Κώστα Παπαχριστοφή, Information Security Officer, Public Group (Olympia Group)

(πρώτη δημοσίευση στον προσωπικό του λογαριασμό στο linkedin)

Ας ξεκινήσουμε με το τι συνέβη. Μια απαραίτητη ενημέρωση λογισμικού (update) η οποία αστόχησε, είχε τεράστιο αντίκτυπο διότι είχε υψηλό μερίδιο της παγκόσμιας αγοράς, με αποτέλεσμα το σφάλμα αυτό να έγινε αισθητό σχεδόν σε ολόκληρο τον κόσμο. Αυτό μας δείχνει πόσο στενά συνδεδεμένη είναι η σύγχρονη κοινωνία με την πληροφορική, και πώς από μια μικρή εταιρεία, μέχρι τεράστιους οργανισμούς ή επιχειρήσεις – όπως τράπεζες, αεροδρόμια, βιομηχανίες, νοσοκομεία, λιανεμπόριο κ.α.- ένα λάθος όπως αυτό είχε και έχει ακόμη τεράστιες συνέπειες.

Η συγκεκριμένη λύση έχει βαθιές συνδέσεις στο επίπεδο του πυρήνα του λειτουργικού συστήματος (kernel level), με στόχο να εντοπίζει το κακόβουλο λογισμικό ή κακόβουλη συμπεριφορά στα endpoints (φορητούς υπολογιστές, σταθερούς υπολογιστές και servers) και ταυτόχρονα ενημερώνεται αυτόματα για να αναχαιτίζει συνεχώς νέες απειλές. Αυτά τα δυο χαρακτηριστικά ήταν
και είναι τα ανταγωνιστικά πλεονεκτήματα της λύσης στην αγορά, για αυτό και ήταν σε χρήση από μεγάλη βάση πελατών.

Το γεγονός ότι η αστοχία συνέβη Παρασκευή, σε καλοκαιρινή περίοδο, με πολλές εταιρείες και τμήματα IT που θα βοηθούσαν στην επίλυση του προβλήματος να υπολειτουργούν λόγω αδειών, σε συνδυασμό με την έλλειψη προσωπικού στον χώρο της πληροφορικής, έκανε το πρόβλημα ακόμη πιο δύσκολο στην επίλυσή του. Το κερασάκι στην τούρτα ήταν το γεγονός ότι η επίλυση απαιτούσε φυσική παρουσία σε κάθε σύστημα – και αυτό ήταν το τελειωτικό χτύπημα.

Πάμε να δούμε τι πραγματικά δεν πήγε καλά. Η ενημέρωση της CrowdStrike θα έπρεπε να είχε κυκλοφορήσει σταδιακά και όχι μαζικά. Όμως, πριν από αυτό, έπρεπε να προηγηθεί ένα ακόμη πιο σημαντικό βήμα και αυτό είναι του πιο αποτελεσματικού ποιοτικού ελέγχου (QA). Θα έπρεπε να είχε δοκιμαστεί σε πολλά περιβάλλοντα πριν γίνει το τελικό release.

Ένα άλλο ερώτημα είναι το πότε συνέβη κάτι παρόμοιο στο παρελθόν και συγκεκριμένα σε λύση endpoint protection. Ήταν το 2015, όταν ένα παρόμοιο λογισμικό είχε δημιουργήσει παρόμοιο πρόβλημα (https://www.bbc.com/news/technology- 31851125), όμως σε μικρότερη κλίμακα, λόγω μικρότερου market share. Άρα, το εν λόγω φαινόμενο δεν είναι κάτι συχνό, στοιχείο που πρέπει να ληφθεί υπόψη στις αξιολογήσεις ρίσκου. Υπάρχουν άλλα προβλήματα που είναι πιο συχνά και πολλές φορές εμφανίζονται μέσα στον ίδιο μήνα από τους τρεις μεγάλους κολοσσούς – cloud
providers.

Ας εξετάσουμε τι θα μπορούσαν να κάνουν οι επιχειρήσεις. Οι περισσότερες εταιρείες έχουν υλοποιήσει λύσεις κυβερνοασφάλειας τουλάχιστον από 2-3 διαφορετικούς vendors για διαφορετικά μέτρα ασφάλειας. Μια πρόταση θα ήταν να υπήρχαν δύο διαφορετικοί vendors στο ίδιο μέτρο ασφάλειας (endpoint protection). Βέβαια, αυτό σε πολλές περιπτώσεις είναι ανέφικτο και σίγουρα αρκετά δύσκολο στη διαχείριση. Ακόμη και αν γινόταν, γιατί να γίνει μόνο σε αυτό το μέτρο ασφάλειας και όχι και στα υπόλοιπα που έχει ένας οργανισμός (email security, web security κτλ.);

Ίσως για κάποιες εταιρείες να είναι μια λύση, αλλά αυτό δεν ισχύει για όλες. Αυτό που πρέπει να προσέχουμε στις αξιολογήσεις μας δεν είναι μόνο πόσο ψηλά τοποθετείται κάποιος από τους οίκους αξιολόγησης, αλλά να εξετάζουμε πλέον τα δύο σημεία που προκάλεσαν το χάος, δηλαδή πόσο καλός είναι ο ποιοτικός έλεγχος και ποιος είναι ο τρόπος ενημέρωσης
(ελεγχόμενος ή μη).

Αλήθεια, ποιος μπορεί να ρίξει την ευθύνη σε κάποιον που επέλεξε να υλοποιήσει λύση ενός εκ των κορυφαίων εταιρειών στον κλάδο του cybersecurity; Θα ήταν μεγάλο λάθος να κατηγορηθούν κάποιοι για αυτό, διότι σίγουρα δεν είναι σφάλμα επιλογής. Ας σκεφτούμε όλοι εμείς που έχουμε μια άλλη λύση, ότι αυτό το ενδεχόμενο μπορεί να παρουσιαστεί και σε αυτές που εμείς έχουμε επιλέξει. Και με τον τρόπο που υλοποιούνται οι λύσεις στο cloud, η πιθανότητα αυτή δεν είναι μικρή. Αντί να εξορκίζουμε το κακό, ας ενημερώσουμε και προετοιμάσουμε τις Διοικήσεις μας για αυτό το ενδεχόμενο. Ξέρουμε από την καθημερινότητά μας ότι αυτό που συνέβη σε μεγάλη κλίμακα (περίπου 8.500.000 συστήματα), συμβαίνει αρκετές φορές σε μικρότερη στις εταιρείες μας, από όλες τις λύσεις που διαθέτουμε.

Ελπίζω αυτό που συνέβη να λειτούργησε ως ένα κάλεσμα αφύπνισης για όλους μας και να προκαλέσει κάποιες αλλαγές στις νοοτροπίες μας έτσι ώστε να αναθεωρήσουμε τις
στρατηγικές μας για την ασφάλεια στον κυβερνοχώρο. Χρειάζονται περισσότερες διασφαλίσεις για την αποφυγή μελλοντικών περιστατικών που θα επαναλάβουν αυτού του είδους τις αστοχίες.
Σίγουρα δεν είναι θέμα συζήτησης το αν θα ξανασυμβεί – διότι είναι αναπόφευκτο ότι θα συμβεί – άλλα το πότε θα συμβεί και αν θα μας βρει προετοιμασμένους. Ας μην ασκούμε εύκολη κριτική σε κάποιους για την επιλογή τους, διότι δεν αποκλείεται να έλθει μια ημέρα που θα σηματοδοτήσει τη δική μας σειρά.