Инцидентът с ъпдейта на CrowdStrike към техните Windows потребители, който засегна милиони устройства миналата седмица, вероятно е резултат на пропуск или некачествено изпълнение на нужните стъпки преди активирането на автоматичното обновяване на системата. Винаги преди подобен основен ъпдейт трябва да се мине през т. нар. проверка 4 Eye Check - проверка от второ лице - и се прави проверка на съвместимостта на новия софтуер с целевите системи в изолирана среда. Това е инцидент, а не кибератака, но малко след случилото се се появиха множество опити за измами. Това коментира Красимир Коцев, основател и главен изпълнителен директор SoCyber, в предаването "Бизнес старт" с водещ Христо Николов.

CrowdStrike изключително бързо пуснаха стъпки, с които да се реши проблемът, което бе добре координирано с Microsoft, но мащабът на случилото се означава, че не може да се очаква бързо възстановяване на системите. Още повече, решението (изтриването на файла с последния ъпдейт) включва физическо рестартиране на системите, което води до допълнително забавяне при използването на облачна среда, където достъпът на потребителите е ограничен, каза Коцев.

"Масово организациите по цял свят минават към облачна среда и този рестарт в Safe Mode не е възможен, тъй като нямаме достъп до тази функционалност, откъдето произлизат по-голяма част от щетите."

Има засегнати компании и в България, но тъй като е необходим вътрешен достъп, външни компании като SoCyber рядко могат да помогнат в такава ситуация, обясни Коцев.

CrowdStrike е водещ доставчик на решения за киберсигурност и е сертифициран по множество стандарти, че следва добри практики при своя софтуер. Методът да се контролират ъпдейтите е до голяма степен автоматизиран, каза Коцев.

Няма изтичане на данни или корпоративна информация при срива, но невъзможността за достъп до системите е нанесла щети от изгубен бизнес като при банките това може да възлиза на милиарди. В същото време има официални предупреждения за измами, които се възползват от случилото се с цел да откраднат пари или лични данни.

"Още в първите часове видяхме множество регистрирани домейни, които се представят, че са от CrowdStrike. CrowdStrike няма да ви изпрати имейл, където да пише къде да изпратите някаква информация или линк, върху който да кликнете. Стотици зловредни сайтове се възползваха от ситуацията - изпращат фалшив имейл на жертвата, подканят да се инсталира файл, за който твърдят, че ще ги спаси от ситуацията, или хиперлинк, който води към зловреден файл."

Целия разговор може да гледате във видеото.

Всички гости на предаването "Бизнес старт" може да намерите тук.

Още по темата

Глобалното IT прекъсване не е задължително да бъде повтарящ се кошмар

Сривът на CrowdStrike е засегнал 8,5 милиона устройства с Microsoft Windows

Пострадалите от IT краха вече стартират процедури за застрахователни обезщетения

Шефът на CrowdStrike Джордж Курц направи PR гаф със закъсняло извинение