באג 2024: מ-"אירוע נדיר" דרך "נורת אזהרה" ועד "קריאת השכמה"

עדכון התוכנה הפגום של קראודסטרייק (CrowdStrike) הביא ביום ו' האחרון לשיבוש במחשוב העולמי, וכן לתגובות רבות של מומחים.

בריאן פלמה, מנכ"ל טרליקס (Trellix), המתחרה בקראודסטרייק, אמר כי "הזמן לשאלות בהחלט יגיע, לאחר השלמת התיקון והשחזור. יש לשאול: 'האם זה מקובל?' 'מי עוד עושה את זה ככה?' 'למה זה נעשה ככה?'. אם יש לך מאות אלפי, או מיליוני נקודות קצה, זה עניין גדול. ייקח שבועות להבין מה קרה, וזה סופר-קשה לעשות זאת באירוע בעל היקפי ענק. הבעיה לא תסתיים בתוך 24 עד 48 שעות". 

יורם הכהן, מנכ"ל איגוד האינטרנט הישראלי, אמר כי "זה אירוע נדיר יחסית, שממחיש מצד אחד את מידת התלות של הכלכלה והחברה במחשבים ומהצד השני, והמקביל, את מידת החשיבות בהגנה על התפקוד שלהם".

לפי ניר יהושע, סמנכ"ל מחקר ב-סייפוקס (CyFox), "כפתרון זמני, המשתמשים נדרשו להיכנס למצב בטוח במחשב ולמחוק קובץ מסוים, כדי לנסות לתקן את הבעיה. משתמשים שהפעילו BitLocker – מערכת הצפנה של חלונות (Windows) – נתקלו בקשיים נוספים, כיוון שלא יכלו לגשת ל'מצב בטוח', בלא מפתח השחזור. אירועי סייבר שהתרחשו באחרונה מדגישים את הסיכונים הקשורים לפתרונות EDR ברמת הקרנל (גרעין, ליבה). קרנל הוא הרכיב המרכזי של מרבית מערכות ההפעלה. זהו הגשר שבין תוכניות המחשב לבין עיבוד הנתונים עצמו, שמבוצע ברמת החומרה. אחד התפקידים העיקריים של הליבה הוא ניהול משאבי המערכת – התקשורת שבין רכיבי החומרה והתוכנה. פתרונות EDR ברמת הקרנל פועלים בליבת מערכת ההפעלה, ומסכנים את המערכת כולה במקרה של תקלה. האירוע מדגיש את החשיבות של תוכנות אבטחת סייבר ואת הצורך בבדיקות מעמיקות לפני שחרור עדכונים חדשים".

עשתה סטרייק לעולם. קראודסטרייק. צילום: עיבוד ממוחשב. מקור: Shutterstock

"כל ארגון חייב להכין תוכנית רציפות עסקית"

רפאל פרנקו, מנכ"ל קוד בלו לניהול משברי סייבר, ולשעבר סגן ראש מערך הסייבר הלאומי, אמר כי "התקלה מצביעה על התלות של כלל המערכות העסקיות והארגוניות במערכות המחשוב השונות, ולצד זאת – כמה הן פגיעות. האירוע הוא נורת אזהרה לכל הארגונים במשק הישראלי. כל ארגון חייב להכין תוכנית רציפות עסקית למקרה תקלה, או חמור מכך, אירוע סייבר משמעותי. ארגונים חייבים לנתח את נקודות הכשל השונות, לבנות תוכנית להתאוששות מתקלות וחזרה מהירה לשגרה".

איתי מלכיאור, מנכ"ל קודפרדיקט (CodePredict), אמר כי "השיבוש המשמעותי מדגיש נוהג נפוץ בעולם הדיגיטלי המודרני: ההסתמכות על עדכונים תקופתיים למערכות הפעלה. המערכות לא יכולות להסתמך על התקנות דרייברים וחומרה, אלא נדרשות ליכולות למידה עצמית ותיקון, בלא להישען על הזנת עדכונים ולימוד בדיעבד. גישה צופה פני עתיד, המשלבת מנגנוני למידה ותיקון עצמיים, יכולה לספק פתרון חזק ופרואקטיבי יותר. מודל ההגנה הנוכחי, המסתמך במידה רבה על עדכונים תקופתיים, פגום מיסודו".

"אירוע מתגלגל ומשנה מציאות גלובלית – ואנו רק בתחילתו"

עידו גנור, מרצה סייבר בכיר בטכניון ומנכ"ל איי פי וי סקיוריטי וסיסוטריה, אמר: "הפירצה הינה אירוע מתגלגל ומשנה מציאות גלובלית – ואנו רק בתחילתו. להערכתי, קיימת סבירות גבוהה שזה אירוע תקיפה, שאת השלכותיו עדיין איננו יודעים, ולא 'טעות אנוש' של קראודסטרייק. קבוצות התקיפה בעולם עוקבות ומנסות לנצל את המצב. המלצותינו לחברות שנפגעו, להפעיל את צוות הטיפול באירועים, ולהחליט האם להתקין את הפתרון הזמני, או להמתין. לחברות שלא נפגעו, מומלץ לבדוק מי משרשרת האספקה שלהן נפגע ומה השפעתו על הארגון, ולבצע חשיבה מחדש על אופן ביצוע העדכונים במערכות הקריטיות שלהן".

As CrowdStrike continues to work with customers and partners to resolve this incident, our team has written a technical overview of today’s events. We will continue to update our findings as the investigation progresses. https://t.co/xIDlV7yKVh

— George Kurtz (@George_Kurtz) July 20, 2024

"התקרית מציפה את הצורך בגיוון השימוש בתשתיות IT בקנה מידה גדול"

חוקרי ESET אמרו כי "לאחר שרבים חוו את מסך המוות הכחול (BSOD), הם מיהרו לחשוד במתקפת סייבר, והדבר הוסיף בלבול. עסקים חייבים לבדוק את התשתית שלהם ולוודא שיש להם אמצעי גיבוי מרובים, בלא קשר לגודל החברה, מה שנקרא תוכנית חוסן, עמידות סייבר. לרוב, בלתי אפשרי לדמות את הגודל והעוצמה של הבעיה בסביבה בטוחה, בלא בדיקה של הרשת בפועל".

בחברה המשיכו וציינו כי "האירוע מהווה תזכורת לתלות שלנו בטכנולוגיות של חברות גדולות כמו מיקרוסופט, בניהול חיינו ועסקינו היומיומיים. התקרית מציפה את הצורך בגיוון השימוש בתשתיות IT בקנה מידה גדול. כשהגיוון מועט, תקרית טכנית בודדת, שלא לדבר על בעיית אבטחה, עלולה להוביל להשבתות בקנה מידה עולמי".

"כל השבתה של פעילות של בית חולים צריכה להיתפש כתרחיש אימה"

לאון לרמן, מנכ״ל ומייסד שותף בסיינריו, הפועלת להגנת סייבר בעולם הרפואי, אמר כי "פגיעה במערכות בריאות אינה חדשה, משקפת מגמה מדאיגה, ובהרבה מקרים משביתה פעילות. כל השבתה של פעילות של בית חולים צריכה להיתפש כתרחיש אימה – בדיוק כמו רעידת אדמה, הפסקת חשמל או תקיפה אווירית. מערכת הבריאות היא תשתית קריטית, ופגיעה בה פוגעת בחיי אדם. בתי חולים בארה"ב חווים אירוע סייבר כל 6.8 שניות, והנתון ממשיך לצמוח. בתי חולים הם יעד נוח לתוקפים: יש בהם טכנולוגיות מתקדמות, אבל עם תלויות בתקשורת, ותקיפה עלולה להדביק במהירות את כל הרשת. התקלה מציפה בעיה נוספת: מערכות הגנה רבות בבתי החולים הן גנריות – בעוד ארגוני הבריאות נדרשים לפתרון ייחודי". 

עו"ד אסנת סרוסי פירסטטר, ראש מחלקת היי-טק וטכנולוגיה באגמון ושות', שהיא גם מנתחת מערכות מידע, אמרה: "האירוע מדגיש את הסיכון שיש בתלות בפלטפורמה אחת ב'כפר הגלובלי': זו 'טעימה' לסוגיות שרידות והמשכיות עסקית. יש חשיבות גבוהה לתצורה שבה ארגונים עובדים עם ענן ציבורי, פרטי או און פרם. יש משמעות להגדרה מראש של ה-SLA, כדי שתכניתנים יוכלו לתת פתרונות זמניים ומעקפים לבעיה. היבט חשוב נוסף, הוא כמה התוכנה פתוחה, והאם מפתחים, חוץ מספקית ה-IT, יכולים לתת פתרונות מבוססי חוכמת ההמונים. ארגונים צריכים להיערך ולנהל סיכוני IT ולגבש צוות מענה, לא רק לסיכוני סייבר – אלא בכלל להתאוששות מכשל תוכנה".

"אירוע מכונן, גם אם תקלה"

לדברי אופיר זילביגר, מנהל פעילות הסייבר הגלובלית ברשת BDO ומנהל מרכז הסייבר שלה בישראל, "אירוע קראודסטרייק הוא אירוע מכונן, גם אם הוא תקלה. אני ⁠לא פוסל שזה היה אירוע זדוני – לדוגמה, כזה שגרם עובד ממורמר. זה לכל הפחות מתווה אפשרי, שכבר קרה בעבר". זילביגר אמר כי "האירוע הזה הוא פתח אפשרי למתקפות שונות, והוא נועד לזריעת כאוס".

הוא ציין כי "האירוע הזה ⁠מראה שסייבר בא עם מחיר וסיכונים בעצמו, והיה תמיד, והופך להיות יותר ויותר, חלק קריטי בשרידות ארגונית". זילביגר קרא ליצרני סייבר "לעבוד ברמת איכות מאוד גבוהה – הן בהיבטי האבטחה והן בהיבטי האיכות, ואולי דרושה רגולציה ספציפית ליצרנים אלה, בגלל התלות הגבוהה בהם גלובלית". לארגונים הוא קרא "להכין תוכניות להתמודדות עם מתווים שבהם קורסת תשתית טכנולוגית שלמה שעליה הם מסתמכים לליבה העסקית שלהם – מה שנקרא המשכיות עסקית".

הוא סיכם באומרו כי "⁠שרשרת האספקה בעולם הטכנולוגי הופכת להיות קריטית יותר ויותר, ודורשת ניהול סיכונים קפדני מצד ארגונים וממשלות".