عندما تكون شاشات الكمبيوتر أصبح أزرقًا في جميع أنحاء العالم يوم الجمعة، تم ايقاف الرحلات الجويةفي ذلك الوقت، أصبح تسجيل الوصول إلى الفنادق مستحيلاً، وتوقفت عمليات تسليم البضائع. ولجأت الشركات إلى استخدام الورق والقلم. واستقرت الشكوك الأولية على نوع من الهجوم الإرهابي الإلكتروني. لكن الواقع كان أكثر بساطة: تحديث برمجي فاشل من شركة الأمن السيبراني CrowdStrike.
وقال نيك هايات، مدير استخبارات التهديدات في شركة الأمن بلاك بوينت سايبر: “في هذه الحالة، كان الأمر يتعلق بتحديث المحتوى”.
وبما أن CrowdStrike تتمتع بقاعدة عريضة من العملاء، فقد كان تحديث المحتوى محسوسًا في جميع أنحاء العالم.
وقال هايات “إن خطأ واحد أدى إلى نتائج كارثية. وهذا مثال رائع على مدى ارتباط مجتمعنا الحديث بتكنولوجيا المعلومات – من المقاهي إلى المستشفيات إلى المطارات، وخطأ مثل هذا له عواقب وخيمة”.
في هذه الحالة، تم ربط تحديث المحتوى ببرنامج مراقبة CrowdStrike Falcon. وتقول شركة Hyatt إن Falcon لديه اتصالات عميقة لمراقبة البرامج الضارة وغيرها من السلوكيات الخبيثة على نقاط النهاية، في هذه الحالة أجهزة الكمبيوتر المحمولة وأجهزة سطح المكتب والخوادم. يقوم Falcon بتحديث نفسه تلقائيًا للتعامل مع التهديدات الجديدة.
قال هايات: “لقد تم طرح الكود المعيب من خلال ميزة التحديث التلقائي، وها نحن ذا”. تعد إمكانية التحديث التلقائي قياسية في العديد من تطبيقات البرامج، وليست فريدة من نوعها بالنسبة لشركة CrowdStrike. وأضاف هايات: “بسبب ما تفعله شركة CrowdStrike، فإن العواقب هنا كارثية”.
تظهر أخطاء شاشة الموت الزرقاء على شاشات الكمبيوتر بسبب انقطاع الاتصالات العالمي الذي تسببت فيه شركة CrowdStrike، التي تقدم خدمات الأمن السيبراني لشركة التكنولوجيا الأمريكية Microsoft، في 19 يوليو 2024 في أنقرة، تركيا.
هارون أوزالب | الأناضول | صور جيتي
بالرغم من تمكنت CrowdStrike من تحديد المشكلة بسرعةوعلى الرغم من أن العديد من الأنظمة عادت للعمل خلال ساعات، إلا أن سلسلة الأضرار العالمية لا يمكن عكسها بسهولة بالنسبة للمؤسسات التي لديها أنظمة معقدة.
قال إريك أونيل، وهو عميل سابق في مكتب التحقيقات الفيدرالي لمكافحة الإرهاب والاستخبارات المضادة وخبير في الأمن السيبراني: “نفكر لمدة تتراوح بين ثلاثة إلى خمسة أيام قبل حل الأمور. وهذا يعني فترة توقف طويلة للمنظمات”.
وقال أونيل إن الأمر لم يساعد في حدوث الانقطاع يوم جمعة صيفي حيث كانت العديد من المكاتب فارغة، وكان هناك نقص في تكنولوجيا المعلومات للمساعدة في حل المشكلة.
ينبغي طرح تحديثات البرامج بشكل تدريجي
قال أونيل إن أحد الدروس المستفادة من انقطاع تكنولوجيا المعلومات العالمي هو أن تحديث CrowdStrike كان يجب أن يكون تم طرحها تدريجيا.
“ما كان يفعله Crowdstrike هو طرح تحديثاته للجميع في وقت واحد. هذه ليست أفضل فكرة. إرسالها إلى مجموعة واحدة واختبارها. هناك مستويات من مراقبة الجودة يجب أن تمر بها”، كما قال أونيل.
قال بيتر أفيري، نائب رئيس الأمن والامتثال في شركة Visual Edge IT: “كان ينبغي اختبار البرنامج في بيئات محمية، وفي العديد من البيئات قبل إطلاقه”.
ويتوقع أن تكون هناك حاجة إلى مزيد من الضمانات لمنع وقوع حوادث مستقبلية تتكرر فيها هذا النوع من الفشل.
“إنك بحاجة إلى الضوابط والتوازنات الصحيحة في الشركات. ربما كان شخصًا واحدًا هو الذي قرر دفع هذا التحديث، أو ربما اختار شخص ما الملف الخطأ لتنفيذه”، كما قال أفيري.
وتسمي صناعة تكنولوجيا المعلومات هذا فشل نقطة واحدة – خطأ في جزء واحد من النظام يؤدي إلى كارثة تقنية في مختلف الصناعات والوظائف وشبكات الاتصالات المترابطة؛ وهو ما يسمى بتأثير الدومينو الهائل.
دعوة لبناء التكرار في أنظمة تكنولوجيا المعلومات
وقد يؤدي حدث يوم الجمعة إلى دفع الشركات والأفراد إلى رفع مستوى استعدادهم السيبراني.
“إن الصورة الأكبر هي مدى هشاشة العالم؛ إنها ليست مجرد مشكلة إلكترونية أو تقنية. هناك عدد كبير من الظواهر المختلفة التي يمكن أن تسبب انقطاع التيار الكهربائي، مثل التوهجات الشمسية التي يمكن أن تدمر اتصالاتنا وأجهزتنا الإلكترونية”، كما قال أفيري.
وفي نهاية المطاف، لم يكن الانهيار الذي حدث يوم الجمعة اتهاماً لشركة كرودسترايك أو مايكروسوفت، بل كان اتهاماً لكيفية نظر الشركات إلى الأمن السيبراني، كما قال جاويد عابد، الأستاذ المساعد لأنظمة المعلومات في كلية كاري للأعمال بجامعة جونز هوبكنز. وأضاف عابد: “يتعين على أصحاب الأعمال التوقف عن النظر إلى خدمات الأمن السيبراني باعتبارها مجرد تكلفة، بل باعتبارها استثماراً أساسياً في مستقبل شركتهم”.
ينبغي للشركات أن تفعل هذا من خلال بناء التكرار في أنظمتها.
وقال عابد: “لا ينبغي لنقطة فشل واحدة أن توقف أي عمل تجاري، وهذا ما حدث”. وأضاف عابد: “لا يمكنك الاعتماد على أداة واحدة للأمن السيبراني، وهي أساسيات الأمن السيبراني”.
في حين أن بناء التكرار في أنظمة المؤسسات أمر مكلف، فإن ما حدث يوم الجمعة أكثر تكلفة.
وقال عابد “آمل أن يكون هذا بمثابة جرس إنذار، وآمل أن يؤدي إلى بعض التغييرات في عقلية أصحاب الأعمال والمؤسسات لمراجعة استراتيجياتهم للأمن السيبراني”.
ماذا تفعل بشأن الكود “على مستوى النواة”
وعلى المستوى الكلي، من العدل أن نلقي بعض اللوم على النظام في عالم تكنولوجيا المعلومات في المؤسسات الذي ينظر غالبًا إلى الأمن السيبراني، وأمن البيانات، وسلسلة توريد التكنولوجيا باعتبارها “أشياء لطيفة” بدلاً من الأساسيات، ونقص عام في قيادة الأمن السيبراني داخل المنظمات، كما قال نيكولاس ريس، المسؤول السابق في وزارة الأمن الداخلي والمدرس في مركز SPS للشؤون العالمية بجامعة نيويورك.
وعلى المستوى الجزئي، قال ريس إن الكود الذي تسبب في هذا الاضطراب كان كودًا على مستوى النواة، مما أثر على كل جانب من جوانب الاتصال بين الأجهزة والبرامج في الكمبيوتر. وقال ريس: “يجب أن يخضع الكود على مستوى النواة لأعلى مستوى من التدقيق”، مع ضرورة أن تكون الموافقة والتنفيذ عمليتين منفصلتين تمامًا مع المساءلة.
إنها مشكلة ستستمر في النظام البيئي بأكمله، حيث تعج بمنتجات البائعين الخارجيين، وكلها تحتوي على نقاط ضعف.
“كيف ننظر عبر النظام البيئي للبائعين من جهات خارجية ونرى أين ستكون الثغرة التالية؟ إنه أمر مستحيل تقريبًا، ولكن يتعين علينا المحاولة”، كما قال ريس. “ليس من الممكن، بل إنه أمر مؤكد حتى نتمكن من التعامل مع عدد الثغرات المحتملة. نحن بحاجة إلى التركيز على النسخ الاحتياطي والتكرار والاستثمار فيه، ولكن الشركات تقول إنها لا تستطيع تحمل تكاليف أشياء قد لا تحدث أبدًا. إنها حجة صعبة الإثبات”، كما قال.
